Secure Contexts （日本語訳）

◎要約

この仕様は、 “~secureな文脈” を定義する†。それにより，［一定の最小限な標準を成す［認証と機密性］が満たされるときに限り，ある種の特能を可能化する］ことを［ ~UAの実装者／仕様の策定者］に許容する。 ◎ This specification defines "secure contexts", thereby allowing user agent implementers and specification authors to enable certain features only when certain minimum standards of authentication and confidentiality are met.

【† 定義していたが、今や `HTML$r が`それを規範的に定義する＠#is-settings-object-contextually-secure$。】

1. 序論

◎非規範的

~web~platformが拡張され，より有用かつ強力な応用が可能化されるに伴い、［その種の応用を可能化する特能は、最小限な~security~levelを満たす文脈に限り，可能化される］ことを確保することが，ますます重要になっている。この文書は — `SECURING-WEB$r における TAG の推奨の拡張として — ~web上で特能を濫用する脅威~modelについて述べるとともに（ `§ 脅威~model＠#threat-models$ を見よ）、新たな特能を仕様化している文書に組入れるべき，規範的~要件について要旨する（ `§ 実装にあたっての考慮点＠#implementation-considerations$ を見よ）。 ◎ As the web platform is extended to enable more useful and powerful applications, it becomes increasingly important to ensure that the features which enable those applications are enabled only in contexts which meet a minimum security level. As an extension of the TAG’s recommendations in [SECURING-WEB], this document describes threat models for feature abuse on the web (see § 4.1 Threat Models) and outlines normative requirements which should be incorporated into documents specifying new features (see § 7 Implementation Considerations).

ここで論じられる要件のうち，最も明白なものは、敏感あるいは私的な~dataへの~accessを伴う~app~codeが［ ~data完全性を保証する認証-済み~channel越しに，機密的に送達される］ことである。 ~codeを~secureに送達することは、［その~appが，利用者の~securityや~privacy要件を満たす］ことを常に確保するわけではないが，必要yな前提条件である。 ◎ The most obvious of the requirements discussed here is that application code with access to sensitive or private data be delivered confidentially over authenticated channels that guarantee data integrity. Delivering code securely cannot ensure that an application will always meet a user’s security and privacy requirements, but it is a necessary precondition.

もう少し明白でないことは、 ~app~codeを認証-済みかつ機密的な~channel越しに送達するだけでは，［強力な特能に対する ~secureでない文脈からの利用を制限するには，十分でない］ことである。 `§ 先祖による~risk＠#ancestors$にて説明されるとおり、協力的な~frameたちを濫用することにより，さもなければ堅固な［特能に対する制約］は迂回され得る。以下に定義される各種~algoは、これらの迂回を困難かつ利用者から可視にすることを確保する。 ◎ Less obviously, application code delivered over an authenticated and confidential channel isn’t enough in and of itself to limit the use of powerful features by non-secure contexts. As § 4.2 Ancestral Risk explains, cooperative frames can be abused to bypass otherwise solid restrictions on a feature. The algorithms defined below ensure that these bypasses are difficult and user-visible.

以下に示す例に、後述の規範的な~textを要約する： ◎ The following examples summarize the normative text which follows:

1.1. ~top-level文書

`~top-level閲覧~文脈$内に開いた `http://example.com/^s は、認証-済みかつ暗号化された~channel越しに送達されてないので，`~secureな文脈$enVにならない。 ◎ http://example.com/ opened in a top-level browsing context is not a secure context, as it was not delivered over an authenticated and encrypted channel.

`fig-01^dgm

`~top-level閲覧~文脈$内に開いた `https://example.com/^s は、認証-済みかつ暗号化された~channel越しに送達されたので，`~secureな文脈$enVになる。 ◎ https://example.com/ opened in a top-level browsing context is a secure context, as it was delivered over an authenticated and encrypted channel.

`fig-02^dgm

~secureな文脈が，新たな~window内に `https://example.com/^s を開いた場合、その新たな~windowは，それ自体が~secureなので ~secureな文脈になる。 ◎ If a secure context opens https://example.com/ in a new window, that new window will be a secure context, as it is secure on its own merits:

`fig-03^dgm

同様に， ~secureでない文脈が新たな~window内に `https://example.com/^s を開いた場合、その~windowは~secureになる — それを開いた側が~secureでなかったとしても： ◎ Likewise, if a non-secure context opens https://example.com/ in a new window, that new window will be a secure context, even though its opener was non-secure:

`fig-05^dgm

1.2. ~frame内の文書

~frame内の文書は、それが［ `信用に価し得る生成元$から送達されたものであって, かつ`~secureな文脈$enV内に埋込まれている］ならば， `~secureな文脈$enVになれる。すなわち： ◎ Framed documents can be secure contexts if they are delivered from potentially trustworthy origins, and if they’re embedded in a secure context. That is:

`~top-level閲覧~文脈$内に開かれた `https://example.com/^s が，ある~frame内に `https://sub.example.com/^s を開いた場合、両者とも，認証-済みかつ暗号化された~channel越しに送達されたので`~secureな文脈$enVになる。 ◎ If https://example.com/ opened in a top-level browsing context opens https://sub.example.com/ in a frame, then both are secure contexts, as both were delivered over authenticated and encrypted channels.

`fig-06^dgm

`https://example.com/^s が，どうにかして `http://non-secure.example.com/^s を~frame内に入れれた場合（たぶん，利用者が混在~内容の検査-法を上書きしたがため？）、 ~top-level~frameは~secureであり続けるが，~frame内の内容は~secureな文脈にならない。 ◎ If https://example.com/ was somehow able to frame http://non-secure.example.com/ (perhaps the user has overridden mixed content checking?), the top-level frame would remain secure, but the framed content is not a secure context.

`fig-07^dgm

一方で、 `http://non-secure.example.com/^s の内側の~frame内に入れられた `https://example.com/^s は、 ~secureな文脈に`ならない^em — その先祖は、認証-済みかつ暗号化された~channel越しに送達されてないので。 ◎ If, on the other hand, https://example.com/ is framed inside of http://non-secure.example.com/, then it is not a secure context, as its ancestor is not delivered over an authenticated and encrypted channel.

`fig-08^dgm

1.3. ~web~worker

`専用~worker$は、その資質において~frame内の文書に類似する。それは、［ `信用に価し得る生成元$から送達され, なおかつその所有者~自身も`~secureな文脈$enVである］ときに限り，`~secureな文脈$enVになる： ◎ Dedicated Workers are similar in nature to framed documents. They’re secure contexts when they’re delivered from potentially trustworthy origins, only if their owner is itself a secure context:

`~top-level閲覧~文脈$内の `https://example.com/^s が `https://example.com/worker.js^s を走らせた場合、その文書, ~workerの両者とも`~secureな文脈$enVになる。 ◎ If https://example.com/ in a top-level browsing context runs https://example.com/worker.js, then both the document and the worker are secure contexts.

`fig-09^dgm

`~top-level閲覧~文脈$内の `http://non-secure.example.com/^s が `https://example.com/^s を~frame内に入れていて，後者が `https://example.com/worker.js^s を走らせた場合、 ~frame内の文書, ~workerの両者とも，`~secureな文脈$enVにならない。 ◎ If http://non-secure.example.com/ in a top-level browsing context frames https://example.com/, which runs https://example.com/worker.js, then neither the framed document nor the worker are secure contexts.

`fig-10^dgm

1.4. 共用~worker

`共用~worker$ %S は、複数の文脈に添付され得る：

%S を作成したのが`~secureな文脈$enVならば、 %S は`~secureな文脈$enVになり， %S が添付されてよい文脈は `~secureな文脈$enVに限られる。
%S を作成したのが~secureでない文脈ならば、 %S は`~secureな文脈$enVには`ならず^em， %S が添付されてよい文脈は ~secureでない文脈に限られる。

◎ Multiple contexts may attach to a Shared Worker. If a secure context creates a Shared Worker, then it is a secure context, and may only be attached to by other secure contexts. If a non-secure context creates a Shared Worker, then it is not a secure context, and may only be attached to by other non-secure contexts.

`~top-level閲覧~文脈$内の `https://example.com/^s が `https://example.com/worker.js^s を共用~workerとして走らせた場合、その文書と~workerの両者とも，~secureな文脈と見なされる。 ◎ If https://example.com/ in a top-level browsing context runs https://example.com/worker.js as a Shared Worker, then both the document and the worker are considered secure contexts.

`fig-11^dgm

異なる`~top-level閲覧~文脈$内（例：新たな~window内）の `https://example.com/^s は，いずれも~secureな文脈になるので、 ~secureな共用~workerに~accessできる： ◎ https://example.com/ in a different top-level browsing context (e.g. in a new window) is a secure context, so it may access the secure shared worker:

`fig-12^dgm

`http://non-secure.example.com/^s 内に入子にされた `https://example.com/^s は、 ~secureな文脈でないので，~secure~workerには接続できない： ◎ https://example.com/ nested in http://non-secure.example.com/ may not connect to the secure worker, as it is not a secure context.

`fig-13^dgm

同様に、 `http://non-secure.example.com/^s 内に入子にされた `https://example.com/^s が， `https://example.com/worker.js^s を共用~workerとして走らせた場合、その文書と~workerの両者とも~secureでないと見なされる。 ◎ Likewise, if https://example.com/ nested in http://non-secure.example.com/ runs https://example.com/worker.js as a Shared Worker, then both the document and the worker are considered non-secure.

`fig-14^dgm

1.5. ~sw

~swは、常に`~secureな文脈$enVになる。 ~swを登録できるのは，`~secureな文脈$enVに限られ、 ~swの~clientもまた，`~secureな文脈$enVに限られる。 ◎ Service Workers are always secure contexts. Only secure contexts may register them, and they may only have clients which are secure contexts.

`~top-level閲覧~文脈$内の `https://example.com/^s が `https://example.com/service.js^s を登録した場合、文書と~swの両者とも~secureな文脈と見なされる。 ◎ If https://example.com/ in a top-level browsing context registers https://example.com/service.js, then both the document and the Service Worker are considered secure contexts.

`fig-15^dgm

2. ~framework

◎非規範的

2.1. WebIDL との統合

［ ~interface／~interface~member ］用には， [`SecureContext$] 拡張d属性が新たに可用にされている。それは、当の［ ~interface／~member ］が，~secureな文脈に限り`公開され$ることを確保する。次の例のように： ◎ A new [SecureContext] attribute is available for operators, which ensures that they will only be exposed into secure contexts. The following example should help:

interface ExampleFeature {
  /* 
この~callはすべての文脈で成功する。
◎
This call will succeed in all contexts.
 */
  Promise <double> calculateNotSoSecretResult();

  /* 
この演算は~secureでない文脈には公開されない。
◎
This operation will not be exposed to a non-secure context.
 */
  [`SecureContext$] Promise<double> calculateSecretResult();

  /* 
同様に次の演算も，~secureでない文脈には公開されない。
◎
The same applies here: the operation will not be exposed to a non-secure context.
 */
  [`SecureContext$] boolean getSecretBoolean();
};

[`SecureContext$] interface SecureFeature {
  /* 
この~interfaceは~secureでない文脈には公開されない。
◎
This interface will not be exposed to non-secure contexts.
 */
  Promise<any> doAmazingThing();
};

仕様の策定者には、新たな特能を定義するときは，この拡張d属性を利用することが奨励される。 ◎ Specification authors are encouraged to use this attribute when defining new features.

2.2. ~HTMLとの統合

2.2.1. 共用~worker

`SharedWorker$I の構築子は、［ `~secureな文脈$enVが`~secureな文脈$enVでない~workerを添付しようと試みた］とき, および［ ~secureでない文脈が`~secureな文脈$enVである~workerを添付しようと試みた］ときには、 `SecurityError$E 例外を投出することになる。 ◎ The SharedWorker constructor will throw a "SecurityError" DOMException exception if a secure context attempts to attach to a Worker which is not a secure context, and if a non-secure context attempts to attach to a Worker which is a secure context.

2.2.2. 特能の検出

~appは、自身が`~secureな文脈$enV内で実行されているかどうかを， `WindowOrWorkerGlobalScope$I に定義される `isSecureContext＠~HTMLGAPI#dom-issecurecontext$c が返す真偽値を検査して決定できる。 ◎ An application can determine whether it’s executing in a secure context by checking the isSecureContext boolean defined on WindowOrWorkerGlobalScope.

2.2.3. ~secureな文脈と~secureでない文脈

所与の`環境$が`~secureな文脈$enVになるかどうかは、 ~HTML標準 `HTML$r が定義する。これは、他の仕様から利用される首な仕組みである。 ◎ The HTML Standard defines whether an environment is a secure context or a non-secure context. This is the primary mechanism used by other specifications.

各~仕様は、所与の`大域~obj$に対し，それに`関連な設定群~obj$（それは`環境$でもある）が`~secureな文脈$enVかどうかを検査できる。 ◎ Given a global object, specifications can check whether its relevant settings object (which is an environment) is a secure context.

3. 各種~algo

3.1. 生成元は信用に価し得るか?

`信用に価し得る生成元@ （ `potentially trustworthy origin^en ）とは、 ~dataは~secureに送達されているものと，~UAが一般に信用できるものである。 ◎ A potentially trustworthy origin is one which a user agent can generally trust as delivering data securely.

この節に与える~algoは、ある種の［ ~host ／ ~scheme ／生成元］ — 伝統的な感覚では［認証され, かつ暗号化されるもの］ではないかもしれないそれら — に対しても，信用に価し得ると見なす。特に，~UAは、 `file^sc ~URLを信用に価し得るものと扱うべきである。原則的には、 ~UAは，局所~fileを信用に価しないものと扱うこともできるが、 `~UAに可用な情報が稼働時に与えられている下では^em，資源は~diskから~UAに~secureに~transportされたように現れる。加えて，公共に配備する前の~appを築いている開発者にとっては、そのような資源を信用に価し得るものと扱えた方が，簡便になる。 ◎ This algorithms considers certain hosts, scheme, and origins as potentially trustworthy, even though they might not be authenticated and encrypted in the traditional sense. In particular, the user agent SHOULD treat file URLs as potentially trustworthy. In principle the user agent could treat local files as untrustworthy, but, given the information that is available to the user agent at runtime, the resources appear to have been transported securely from disk to the user agent. Additionally, treating such resources as potentially trustworthy is convenient for developers building an application before deploying it to the public.

しかしながら、この開発者への親切さに~riskがないわけではない。そのような作り込みより~securityを優先する~UAは、より厳密に， `file^sc を除外する仕方で信用をアテガってもヨイ。 ◎ This developer-friendlyness is not without risk, however. User agents which prioritize security over such niceties MAY choose to more strictly assign trust in a way which excludes file.

他方、 ~UAは，この信用を，自身が`先天的に^em信用-済みであると決定できる他の~URL~scheme — `app^sc や `chrome-extension^sc の様な~vendorに特有な~URL~scheme — にまで拡張してもヨイ（詳細は、 `§ ~package化~app＠#packaged-applications$ を見よ）。 ◎ On the other hand, the user agent MAY choose to extend this trust to other, vendor-specific URL schemes like app: or chrome-extension: which it can determine a priori to be trusted (see § 7.1 Packaged Applications for detail).

次の~algoは、所与の ( `生成元$ %生成元 ) に対し，信用に［ `価し得る^i ／ `価しない^i ］いずれか適切な方を返す： ◎ Given an origin (origin), the following algorithm returns "Potentially Trustworthy" or "Not Trustworthy" as appropriate.

~IF［ %生成元は`不透明な生成元$である］ ⇒ ~RET `価しない^i ◎ If origin is an opaque origin, return "Not Trustworthy".
~Assert： %生成元は`成分組~生成元$である ◎ Assert: origin is a tuple origin.
( %~scheme, %~host ) ~LET %生成元の ( `~scheme$, `~host$ ) ◎ ↓
~IF［ ~OR↓ ］ ⇒ ~RET `価し得る^i： ◎ ↓
- %~scheme ~IN { `https^l, `wss^l } ◎ If origin’s scheme is either "https" or "wss", return "Potentially Trustworthy".
  
  注記：これは、 `MIX$r における`先天的に認証-済み~URL$の概念に相似するよう意味されている。 ◎ Note: This is meant to be analog to the a priori authenticated URL concept in [MIX].
- %~host は， CIDR 記法による［ `127.0.0.0/8^c, `::1/128^c ］いずれかに合致する `RFC4632$r ◎ If origin’s host matches one of the CIDR notations 127.0.0.0/8 or ::1/128 [RFC4632], return "Potentially Trustworthy".
- ［ ~UAは `let-localhost-be-localhost$r による名前~解決規則に適合する］~AND［ ~OR↓ ］ ⇒＃ %~host ~IN { `localhost^l, `localhost.^l } ／ %~host は `.localhost^l または `.localhost.^l で終端する ◎ If the user agent conforms to the name resolution rules in [let-localhost-be-localhost] and one of the following is true: • origin’s host is "localhost" or "localhost." • origin’s host ends with ".localhost" or ".localhost." then return "Potentially Trustworthy".
  
  注記：この要件の詳細は、 `§ ~localhost＠#localhost$ を見よ。 ◎ Note: See § 5.2 localhost for details on the requirements here.
- %~scheme ~EQ `file^l ◎ If origin’s scheme is "file", return "Potentially Trustworthy".
- %~scheme は ~UAが認証-済みと見なすものである ◎ If origin’s scheme component is one which the user agent considers to be authenticated, return "Potentially Trustworthy".
  
  注記：詳細は `§ ~package化~app＠#packaged-applications$ を見よ。 ◎ Note: See § 7.1 Packaged Applications for detail here.
- %生成元は信用に価するものと環境設定されている ◎ If origin has been configured as a trustworthy origin, return "Potentially Trustworthy".
  
  注記：詳細は `§ 開発~環境＠#development-environments$ を見よ。 ◎ Note: See § 7.2 Development Environments for detail here.
~RET `価しない^i ◎ Return "Not Trustworthy".

注記： %生成元の［ `~domain$, `~port$ ］は、いずれも，`~secureな文脈$enVと見なされるかどうかには効果はない。 ◎ Note: Neither origin’s domain nor port has any effect on whether or not it is considered to be a secure context.

3.2. ~URLは信用に価し得るか？

`信用に価し得る~URL@ とは、作成元から文脈を継承する（ `about:blank^l ／ `about:srcdoc^l ／ `data:…^l ）か，または［その`生成元$urlは`信用に価し得る生成元$である］~URLである。所与の ( `~URL~record$ %~URL ) は、次の~algoが［ `価し得る^i ／ `価しない^i ］を返すならば，`信用に価し得る~URL$［である／でない］とされる： ◎ A potentially trustworthy URL is one which either inherits context from its creator (about:blank, about:srcdoc, data) or one whose origin is a potentially trustworthy origin. Given a URL record (url), the following algorithm returns "Potentially Trustworthy" or "Not Trustworthy" as appropriate:

~IF［ %~URL ~IN { `about:blank^l, `about:srcdoc^l } ］ ⇒ ~RET `価し得る^i ◎ If url is "about:blank" or "about:srcdoc", return "Potentially Trustworthy".
~IF［ %~URL の`~scheme$url ~EQ `data^l ］ ⇒ ~RET `価し得る^i ◎ If url’s scheme is "data", return "Potentially Trustworthy".
~RET `生成元は信用に価し得るか？$( %~URL の`生成元$url ) ◎ Return the result of executing § 3.1 Is origin potentially trustworthy? on url’s origin.

注記： `blob^sc ~URLの生成元は、それを作成した文脈の生成元になる。したがって，信用に価する生成元~内で作成された~blobは、それ自体も信用に価し得ることになる。 ◎ Note: The origin of blob: URLs is the origin of the context in which they were created. Therefore, blobs created in a trustworthy origin will themselves be potentially trustworthy.

4. 脅威~modelとその~risk

◎非規範的

4.1. 脅威~model

未認証の生成元に対し許可を是認することは、 ~network攻撃者が現に居れば，任意の生成元に対し許可を是認することに等価になる。 Internet においては、そのような~network攻撃者は，現に居ると見做さなければナラナイ。一般に，~network攻撃者は、受動的, 能動的の 2 つに分類される。 ◎ Granting permissions to unauthenticated origins is, in the presence of a network attacker, equivalent to granting the permissions to any origin. The state of the Internet is such that we must indeed assume that a network attacker is present. Generally, network attackers fall into 2 classes: passive and active.

4.1.1. 受動的~network攻撃者

“受動的~network攻撃者” は、流通~flowを観測できるが，この仕様が懸念する層における流通を改変する~~能を欠くか, 改変しないことにした者である。 ◎ A "Passive Network Attacker" is a party who is able to observe traffic flows but who lacks the ability or chooses not to modify traffic at the layers which this specification is concerned with.

この方式による~networkの調査は、 “通信している当の主体の合意なしに，彼らの意図をないがしろにする” ものであり， “他の行為者による監視を許容している者は — そのような監視を誰がどの程度善意であると見なすかを問わず — ほとんどの無法な行為者に抗して防御できない” ことを指す。 `RFC7258$r したがって，この文書に定義される~algoは、単純に完全性のみならず，~app層における~dataの~privacyを供する仕組みも要求する。 ◎ Surveillance of networks in this manner "subverts the intent of communicating parties without the agreement of these parties" and one "cannot defend against the most nefarious actors while allowing monitoring by other actors no matter how benevolent some might consider them to be." [RFC7258] Therefore, the algorithms defined in this document require mechanisms that provide for the privacy of data at the application layer, not simply integrity.

4.1.2. 能動的~network攻撃者

“能動的~network攻撃者” は、 “受動的~network攻撃者” が有する能力に加え，~networkを通過している~dataを［改変- ／阻止- ／再現- ］できる者である。これらの能力は、多くの~levelで敵対者に可用になる — 公共~無線~network内で［提供している／単純に関与している］ような弱体化された機器から，金銭的利益の流通を操作していながら ~securityや~privacyの脆弱性を間接的に導入している ISP （最近の例として、 `VERIZON$r や `COMCAST$r が挙げられる）まで、果ては［個々の利用者／組織／団体／あらゆる人々］でさえ~targetにできるような，~securityや~privacyを弱体化する意図を指図する主体までにわたる。 ◎ An "Active Network Attacker" has all the capabilities of a "Passive Network Attacker" and is additionally able to modify, block or replay any data transiting the network. These capabilities are available to potential adversaries at many levels of capability, from compromised devices offering or simply participating in public wireless networks, to Internet Service Providers indirectly introducing security and privacy vulnerabilities while manipulating traffic for financial gain ([VERIZON] and [COMCAST] are recent examples), to parties with direct intent to compromise security or privacy who are able to target individual users, organizations or even entire populations.

4.2. 先祖による~risk

`~secureな文脈$enVかどうか決定する~algoは、それを決定する際に，当の文脈のすべての先祖を巡回する。なぜ、文書は `iframe$e 内に~secureに送達されたこと自体では，~secureと見なされないのか？ ◎ The secure context algorithm walks through all the ancestors of a particular context in order to determine whether or not the context itself is secure. Why wouldn’t we consider a securely-delivered document in an iframe to be secure, in and of itself?

短く答えるなら、その~modelでは濫用-が可能化されるからである。 Chrome による `WEBCRYPTOAPI$r 実装による，~APIを~secureな文脈に~lockする早期の実験では、文脈の先祖を巡回していなかった。そこでは、 ~APIを，自身が~secureに送達された資源に~lockすることで、 ~secureな用法は十分に確保されると見做していた。しかしながらその結果は、 ~APIを~secureでない文脈に公開するような［ `iframe$e と `postMessage()＠~HTMLcomms#dom-window-postmessage$c ］に基づく~shimを築いた Netflix の様な実体であった。その制約は、 ~APIへの~secureでない~accessを段差舗装より少しばかり遅くするものであったが、その種の~accessを防止するには，何ら効果がなかった。 ◎ The short answer is that this model would enable abuse. Chrome’s implementation of [WEBCRYPTOAPI] was an early experiment in locking APIs to secure contexts, and it did not walk through a context’s ancestors. The assumption was that locking the API to a resource which was itself delivered securely would be enough to ensure secure usage. The result, however, was that entities like Netflix built iframe- and postMessage()-based shims that exposed the API to non-secure contexts. The restriction was little more than a speed-bump, slowing down non-secure access to the API, but completely ineffective in preventing such access.

この文書における~algoは，~secureでない文脈を`~secureな文脈$enVから完璧には隔離しないが（ `§ 不完全な隔離＠#isolation$ を見よ）、先祖の検査は，相応に堅牢な — そのような文脈に供されるべき［認証, 機密性, 完全性］を保証するような — 保護を供する。 ◎ While the algorithms in this document do not perfectly isolate non-secure contexts from secure contexts (as discussed in § 5.1 Incomplete Isolation), the ancestor checks provide a fairly robust protection for the guarantees of authentication, confidentiality, and integrity that such contexts ought to provide.

4.3. ~secureでない文脈に結付けられる~risk

利用者の~securityや~privacyに独特な影響iを及ぼすような，ある種の~web~platform特能は、上述の脅威に抗して防御するため，`~secureな文脈$enVに限って可用にされるべきである。 ~secureでない文脈にて可用な特能は、その能力を~network攻撃者に公開する~riskがある： ◎ Certain web platform features that have a distinct impact on a user’s security or privacy should be available for use only in secure contexts in order to defend against the threats above. Features available in non-secure contexts risk exposing these capabilities to network attackers:

敏感な~data（個人を特定する情報, 資格証, 対外支払い法, 等々）を読取る／改変する能 `CREDENTIAL-MANAGEMENT-1$r は、敏感な~dataを取扱う~APIの例である。 ◎ The ability to read and modify sensitive data (personally-identifying information, credentials, payment instruments, and so on). [CREDENTIAL-MANAGEMENT-1] is an example of an API that handles sensitive data.
利用者の機器~上の~sensorからの入力を［読取る／改変する］能（特に ~camera, ~microphone, GPS が挙げられるが、そこまで危険に見えない加速度計の様な~sensorも，間違いなく含まれる）。 `GEOLOCATION-API$r, `MEDIACAPTURE-STREAMS$r は、 ~sensor入力を利用する特能の歴史的な例である。 ◎ The ability to read and modify input from sensors on a user’s device (camera, microphone, and GPS being particularly noteworthy, but certainly including less obviously dangerous sensors like the accelerometer). [GEOLOCATION-API] and [MEDIACAPTURE-STREAMS] are historical examples of features that use sensor input.
利用者が~accessを有する他の機器についての情報に~accessする能。格好な例として， `DISCOVERY-API$r, `WEB-BLUETOOTH$r が挙げられる。 ◎ The ability to access information about other devices to which a user has access. [DISCOVERY-API] and [WEB-BLUETOOTH] are good examples.
利用者が一時的または持続的に利用している識別子を追跡する能 — 次に挙げるものが含まれる ⇒＃ある期間後に自身を設定し直す識別子（例： `sessionStorage＠~WEBSTORAGE#the-sessionstorage-attribute$c ）／利用者が手動で設定し直せる識別子（例： `ENCRYPTED-MEDIA$r, ~cookie `RFC6265$r, `IndexedDB$r ）／利用者が容易に設定し直せない~hardware特能を識別するもの ◎ The ability to track users using temporary or persistent identifiers, including identifiers which reset themselves after some period of time (e.g. window.sessionStorage), identifiers the user can manually reset (e.g. [ENCRYPTED-MEDIA], Cookies [RFC6265], and [IndexedDB]), as well as identifying hardware features the user can’t easily reset.
生成元に何らかの［閲覧~sessionを超えて持続化する状態］を導入する能。特に， `SERVICE-WORKERS$r が挙げられる。 ◎ The ability to introduce some state for an origin which persists across browsing sessions. [SERVICE-WORKERS] is a great example.
~UAの~native~UIを何らかの仕方で操作する能 — それらの文脈に関連な詳細~に対する利用者の理解を［除去する／遮る／操作する］ような。格好な例として， `FULLSCREEN$r が挙げられる。 ◎ The ability to manipulate a user agent’s native UI in some way which removes, obscures, or manipulates details relevant to a user’s understanding of their context. [FULLSCREEN] is a good example.
利用者に許可を要求するような何らかの機能性を導入する能。 ◎ The ability to introduce some functionality for which user permission will be required.

上の~listは網羅的ではないが、［仕様を書いたり実装するときに考慮すべき~risk ］の型について，感触を与えるであろう。 ◎ This list is non-exhaustive, but should give you a feel for the types of risks we should consider when writing or implementing specifications.

注記：特能~自身を`~secureな文脈$enVに制約することが~criticalである一方で、そのような情報を運ぶ便宜性（~network~accessの新たな仕組み, その他，~network~dataへの~accessを伴う汎用な関数など）も等しく敏感であることを，忘れるべきでない。 ◎ Note: While restricting a feature itself to secure contexts is critical, we ought not forget that facilities that carry such information (such as new network access mechanisms, or other generic functions with access to network data) are equally sensitive.

5. ~securityの考慮点

5.1. 不完全な隔離

この文書における~secureな文脈の定義は、ある生成元~上の “~secureな” ~viewを同じ生成元~上の “~secureでない” ~viewから完全には隔離しない。 `exfiltration^en 【外部への “裏口通信” 】は、依然として，見え難い部分を次第に拡げていくような仕組み — `localStorage＠~WEBSTORAGE#the-localstorage-attribute$c や `sessionStorage＠~WEBSTORAGE#the-sessionstorage-attribute$c の内容, `storage$et ~event, `BroadcastChannel$I, その他など — を介してアリになる。 ◎ The secure context definition in this document does not completely isolate a "secure" view on an origin from a "non-secure" view on the same origin. Exfiltration will still be possible via increasingly esoteric mechanisms such as the contents of localStorage/sessionStorage, storage events, BroadcastChannel, and others.

5.2. ~localhost

`RFC6761$r の§ 6.3 では、 `localhost.^l や `.localhost.^l に類する名前の解決は特別であり、局所~解決器は，それらを特別に［扱うベキ／扱ってもヨイ］ものと示唆している。善悪は別として、解決器は，いくつかの状況下で［この示唆を無視して，~localhostを解決するために~networkへ送信する］ことが多い。 ◎ Section 6.3 of [RFC6761] lays out the resolution of localhost. and names falling within .localhost. as special, and suggests that local resolvers SHOULD/MAY treat them specially. For better or worse, resolvers often ignore these suggestions, and will send localhost to the network for resolution in a number of circumstances.

そのような不確かさをふまえ，~UAは、［ `let-localhost-be-localhost$r による~localhost名前~解決規則］を固守する場合（それは、~localhostは，決して非~loopback~addressに解決されないことを確保する）, その場合に限り，~localhost名を信用に価し得る生成元と扱ってもヨイ。 ◎ Given that uncertainty, user agents MAY treat localhost names as having potentially trustworthy origins if and only if they also adhere to the localhost name resolution rules spelled out in [let-localhost-be-localhost] (which boil down to ensuring that localhost never resolves to a non-loopback address).

6. ~privacyの考慮点

この文書における~secureな文脈の定義は、それ自体には，~privacyへの影響iはない。しかしながら，それは、［［［［完全性, 認証性, 機密性］に関して特定の保証を確保するような文脈］の中へ，自身を~lockする］ような，［関心を引く~privacy上の含意］が~~実際にある，他の特能］を可能化する。 ◎ The secure context definition in this document does not in itself have any privacy impact. It does, however, enable other features which do have interesting privacy implications to lock themselves into contexts which ensures that specific guarantees can be made regarding integrity, authenticity, and confidentiality.

~privacyの観点からは、仕様の策定者には，［自身が定義する特能に対し，~secureな文脈を要求する］ことを考慮することが奨励される。 ◎ From a privacy perspective, specification authors are encouraged to consider requiring secure contexts for the features they define.

7. 実装にあたっての考慮点

7.1. ~package化~app

~package化された~appを~supportする~UAは、［ ~UAにより認証-済みな内容を伴うような，特定の~URL~scheme ］を “~secure” と見なしてもヨイ。例えば， FirefoxOS ~appの資源は、 `app^sc `~scheme$urlの~URLで指される。同様に， Chrome の拡張／~appは、 `chrome-extension^sc ~schemeに住まう。これらを信用-済みな生成元と見なすのが，適理なこともある。 ◎ A user agent that support packaged applications MAY consider as "secure" specific URL schemes whose contents are authenticated by the user agent. For example, FirefoxOS application resources are referred to by a URL whose scheme component is app:. Likewise, Chrome’s extensions and apps live on chrome-extension: schemes. These could reasonably be considered trusted origins.

7.2. 開発~環境

~loopbackでない~host上で試験用~serverを走らす開発者を~supportするため、 ~UAは，特定の［生成元の集合］を — それらに対する `生成元は信用に価し得るか？$が，通常は `価しない^i を返すとしても — 信用に価するものと，利用者が環境設定できるようにしてもヨイ。 ◎ In order to support developers who run staging servers on non-loopback hosts, the user agent MAY allow users to configure specific sets of origins as trustworthy, even though § 3.1 Is origin potentially trustworthy? would normally return "Not Trustworthy".

7.3. 新たな特能の制約-法

◎非規範的

新たな特能~用の仕様を書く策定者／編集者には、［ ~secureな文脈に対する検査により，敏感な~APIを防護する］ことが推奨される。例えば、次の様に書く所から始めるのが良いであろう： ◎ When writing a specification for new features, we recommend that authors and editors guard sensitive APIs with checks against secure contexts. For example, something like the following might be a good approach:

~IF［ `現在の設定群~obj$は`~secureな文脈$enVでない］： ◎ If the current settings object is not a secure context, then:
1. ＜ここに何か適切なものを挿入する＞ — たぶん、次に挙げるものなど：
  - `Promise^I を `SecurityError^E で却下する,
  - ~error用の~callbackを~callする,
  - 何かの許可~要請を否認する, 等々。
  ◎ [insert something appropriate here: perhaps a Promise could be rejected with a SecurityError, an error callback could be called, a permission request denied, etc.].

別法として，策定者は、敏感な~APIを次のように [`SecureContext$] 拡張d属性で防護して，`~secureな文脈$enVに限り公開されるよう確保することもできる： ◎ Authors could alternatively ensure that sensitive APIs are only exposed to secure contexts by guarding them with the [SecureContext] attribute.

[`SecureContext$]
interface SensitiveFeature {
  Promise<double> getTheSecretDouble();
};

// あるいは：

interface AnotherSensitiveFeature {
  [`SecureContext$] undefined doThatPowerfulThing();
};

7.4. 旧来の特能の制約-法

◎非規範的

上述の~listには、明瞭に，現在は~secureでない~channel越しでも~webに可用な，既存の機能性も含まれている。そのような旧来の機能性は、適理にアリな限り，早急に`~secureな文脈$enVを要求し始めるよう改変する `W3C-PROCESS$r ことが推奨される — そのような特能が： ◎ The list above clearly includes some existing functionality that is currently available to the web over non-secure channels. We recommend that such legacy functionality be modified to begin requiring a secure context as quickly as is reasonably possible [W3C-PROCESS].

広範に実装されていない場合：: 即時に、 `~secureな文脈$enVへの制約を含むよう，仕様を`改変する$xことが推奨される。 ◎ If such a feature is not widely implemented, we recommend that the specification be immediately modified to include a restriction to secure contexts.
広範に実装されているが，まだ広範には利用されていない場合：: 早急に、 `§ 新たな特能の制約-法＠#new$ に述べた検査を既存の実装に追加して， `~secureな文脈$enVに制約した上で、それに則って仕様も`改変する$xことが推奨される。 ◎ If such a feature is widely implemented, but not yet in wide use, we recommend that it be quickly restricted to secure contexts by adding a check as described in § 7.3 Restricting New Features to existing implementations, and modifying the specification accordingly.
広範に利用されている場合：: 非推奨にすることが推奨される。すなわち，当の仕様を，この文書に要旨した制約に適合しないことを注記するように`改変する$xことに加えて、特能の適合t~versionを提供して，既存の利用者をその新たな~versionに移行してもらう計画が開発されるべきである。 ◎ If such a feature is in wide use, we recommend that the existing functionality be deprecated; the specification should be modified to note that it does not conform to the restrictions outlined in this document, and a plan should be developed to both offer a conformant version of the feature and to migrate existing users into that new version.

7.4.1. 例： Geolocation

`GEOLOCATION-API$r は、そのような特能の格好な具象-例である。それは、広範に実装され，多数の~secureでない~siteで利用されている。適理な移行過程は、次の様になるであろう： ◎ The [GEOLOCATION-API] is a good concrete example of such a feature; it is widely implemented and used on a large number of non-secure sites. A reasonable path forward might look like this:

`~secureな文脈$enVに対する検査を含めるように，仕様~内の［ `getCurrentPosition()＠~GEOLOCATION#dom-geolocation-getcurrentposition$c ／ `watchPosition()＠~GEOLOCATION#dom-geolocation-watchposition$c ］~algoを実行する前の箇所に次を挿入するように`改変する$x： ◎ Modify the specification to include checks against secure context before executing the algorithms for getCurrentPosition() and watchPosition().
1. ~UAは次を走らすべきである：
  1. ~IF［ `現在の設定群~obj$は`~secureな文脈$enVでない］：
    1. 渡された %errorCallback を呼出す — 次のようにされた新たな `PositionError^I ~objを渡して ⇒ `code^c 属性 ~SET `PERMISSION_DENIED^c
    2. ~RET
◎ If the current settings object is not a secure context, then the algorithm should be aborted, and the errorCallback invoked with a code of PERMISSION_DENIED.
~UAは、［ ~secureでない文脈に対しては、 ~APIを特定の日付にて不能化すること］の明瞭な意図nを公告した上で、それに則って開発者にも（例えば ~console~messageを介して）警告するべきである。 ◎ The user agent should announce clear intentions to disable the API for non-secure contexts on a specific date, and warn developers accordingly (via console messages, for example).
~UAは、その日が来る前に，非推奨化についての期日を公告して、［ ~site作者に，~codeが道連れに機能停止する前に改変する必要を認識してもらう］こと, および［さしあたり，利用者を保護する］ことを確保するべきである。そのような計画は、次のうちいくつかを含むであろう： ◎ Leading up to the flag day, the user agent should announce a deprecation schedule to ensure both that site authors recognize the need to modify their code before it simply stops working altogether, and to protect users in the meantime. Such a plan might include any or all of:
- ~secureでない生成元を是認するような持続的な許可は、許容しない。 ◎ Disallowing persistent permission grants to non-secure origins
- ~secureでない生成元に対しては、 ~APIの正確度を粗くする（たぶん，地番~levelでなく府県~levelの~dataを一貫して返すようにするなど）。 ◎ Coarsening the accuracy of the API for non-secure origins (perhaps consistently returning city-level data rather than high-accuracy data)
- 利用者や~site作者に~riskを伝えるような，~UIの改変。 ◎ UI modifications to inform users and site authors of the risk

8. 謝辞

この文書は、 Chrome Security ~teamによる `POWERFUL-NEW-FEATURES$r に対する作業に大きく基づいている。特に，従事されていた `Chris Palmer, Ryan Sleevi, David Dorwin^en 各氏に。とりわけ参考になる~feedbackを寄せられた `Anne van Kesteren, Jonathan Watt, Boris Zbarsky, Henri Sivonen^en 各氏にも。 ◎ This document is largely based on the Chrome Security team’s work on [POWERFUL-NEW-FEATURES]. Chris Palmer, Ryan Sleevi, and David Dorwin have been particularly engaged. Anne van Kesteren, Jonathan Watt, Boris Zbarsky, and Henri Sivonen have also provided very helpful feedback.