Confused deputy problem

この記事きじは検証けんしょう可能かのうな参考さんこう文献ぶんけんや出典しゅってんが全まったく示しめされていないか、不十分ふじゅうぶんです。出典しゅってんを追加ついかして記事きじの信頼しんらい性せい向上こうじょうにご協力きょうりょくください。（このテンプレートの使つかい方かた） 出典しゅってん検索けんさく?: "Confused deputy problem" – ニュース · 書籍しょせき · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL（2023年ねん1月がつ）

Confused Deputy Problem （混乱こんらんした使節しせつの問題もんだい）は、Capability-based securityの重要じゅうよう性せいを示しめす例れいとして 情報じょうほうセキュリティ分野ぶんやで取とり上あげられる問題もんだいである。 ユーザ及およびクライアントプログラムが、より権限けんげんの高たかい代理だいりプログラムを使用しようする事ことにより、想定そうてい外がいのセキュリティホールを生うむ可能かのう性せいがある。

Deputy[編集へんしゅう]

Deputy （使節しせつ、代理人だいりにん）は、クライアントによって呼よび出だされ、クライアントによって一時いちじ的てきに権限けんげんを与あたえられ、クライアントの代かわりに（使節しせつとなって）働はたらくアプリケーションである。クライアントは deputy にどのリソースに作用さようすべきか、その名前なまえを提供ていきょうする。deputy には作業さぎょうに必要ひつようとなる他ほかの作用さようを行おこなうための権限けんげんが組くみ込こまれている。

例たとえばパスワードを変更へんこうするためのUNIXの passwd コマンドが好例こうれいである。一般いっぱんのユーザはパスワードファイルへのアクセスが禁止きんしされているが、このコマンドを用もちいるとパスワードファイルを操作そうさすることができる。

混乱こんらんした Deputy[編集へんしゅう]

ここで、クライアントが自分じぶんには操作そうさする権限けんげんのないリソースを指名しめいしたとしよう。deputy はそのリソースに対たいし通常つうじょうどおり動作どうさしようとする。deputy には十分じゅうぶんな権限けんげんが組くみ込こまれているから、セキュリティ機構きこうはその動作どうさを許可きょかする。この組くみ込こみ権限けんげんの濫用らんようのせいで、deputy は意いに反はんして、セキュリティルールが排除はいじょしようとするクライアントの操作そうさに対たいする間接かんせつ的てきな共犯きょうはん者しゃになるのである。もしシステムの意味いみ論ろんが、「この動作どうさは私わたしのクライアントの権限けんげんに服ふくすべきであります」などと deputy に主張しゅちょうさせなければ、deputy を犯罪はんざい者しゃにすることもないはずなのだ。

passwdコマンドの例れいを続つづけよう。このコマンドには、他たのユーザのパスワードを変更へんこうするオプションがある。そのコマンドを起動きどうしたユーザの使節しせつとなって、他たのユーザのパスワードを変更へんこうする権限けんげんがコマンド自体じたいに実際じっさいに組くみ込こまれているのである。セキュリティホールを防ふせぐには、passwdコマンド自体じたいが厳きびしく（例たとえばルート権限けんげん下かで動作どうさしていることを）チェックするより他たない。

Capability を用もちいた解決かいけつ[編集へんしゅう]

Capability を導入どうにゅうすると、この問題もんだいは解決かいけつする。クライアントから Deputy に渡わたされる名前なまえを capability とし、必要ひつような権限けんげんを自然しぜんに含ふくむようにする。Deputy はその capability を通つうじて動作どうさする。クライアントは自分じぶんの所有しょゆうしない capability を提供ていきょうすることはできないはずである。

passwdコマンドの例れいでいえば、この手法しゅほうによってユーザは事実じじつ上じょうパスワードファイルの中なかで自分じぶん自身じしんのエントリーだけを変更へんこうできるようになる。passwdのようなコマンドを起動きどうするプログラムも同様どうようの制限せいげんを受うける。

関連かんれん項目こうもく[編集へんしゅう]

• setuid

外部がいぶリンク[編集へんしゅう]

• The Confused Deputy, the original article describing the problem

  ここでは、home file licenseを与あたえられたコンパイラの出力しゅつりょくオプションを悪用あくようしてコンパイラと同おなじディレクトリにある課金かきん情報じょうほうファイルを上書うわがき破壊はかいする例れいが示しめされている。課金かきん情報じょうほうファイルのファイル名めいが判わかりさえすれば、コンパイラのデバグ情報じょうほうファイルの名前なまえを意図いと的てきに課金かきん情報じょうほうファイルと同一どういつにしてコンパイラを起動きどうすればいい。ここでファイル名めいの代かわりに、ファイル名めいと上書うわがき権限けんげんを一体いったいにした capability をコンパイラが要求ようきゅうすれば、コンパイラを起動きどうした者ものが十分じゅうぶんな権限けんげんを持もたない場合ばあいファイル出力しゅつりょく段階だんかいで悪事あくじを防ふせぐことができるとしている。