カハプロジェクト

Caja（発音：/ ˈ k ɑː h ɑː / KAH -hah）^{[ 1 ]}は、サードパーティのHTML、CSS、JavaScriptをサニタイズするためのGoogleプロジェクトでした。2021年1月31日、Googleは既知の脆弱性と最新のウェブセキュリティ研究に対応するためのメンテナンス不足により、このプロジェクトをアーカイブし、代わりにClosureツールキットを推奨しました。^[²^]

Caja プロジェクトは Jasvir Nagra が主導し、JavaScript 部分は Google の研究科学者Mark S. Millerが2008 年にオブジェクト機能の原則に基づいた「仮想 iframe」用の JavaScript 実装として設計しました^{[ 3 ]}^{[ 4 ]} 。JavaScript (技術的にはECMAScript 5 の厳密モードのコード)、HTML、CSS入力を受け取り、それを HTML と CSS の安全なサブセットと、自由変数のない単一の JavaScript 関数に書き換えます。つまり、このような関数がオブジェクトを変更できるのは、ホストページからオブジェクトへの参照が与えられた場合のみです。DOM オブジェクトへの直接参照の代わりに、ホストページは通常、HTML をサニタイズするラッパー、プロキシURLへの参照を提供し、ページのリダイレクトを防止します。これにより、Caja は特定のフィッシング攻撃やクロスサイトスクリプティング攻撃を防止し、マルウェアのダウンロードを防止できます。また、書き換えられたプログラムはすべて同じフレームで実行されるため、ホストページはあるプログラムから別のプログラムへのオブジェクト参照をエクスポートできます。フレーム間通信は単なるメソッド呼び出しでした。

「caja」という単語はスペイン語で「箱」または「金庫」（銀行など）を意味し、Caja は機能ベースの JavaScript であるだけでなく、JavaScript プログラムを安全に格納できるという考えに基づいています。

CajaはGoogleの Google Apps Script ^{[ 5 ]}製品で使用されていました。2008年にはMySpace ^{[ 6 ]}^{[ 7 ]}とYahoo! ^{[ 8 ]}がCajaの非常に初期のバージョンを導入していました。

参照

Joe-E 、 Javaのオブジェクト機能サブセット
E

参考文献

^ Miller, Mark (2007年10月10日). 「[e-lang] [cap-talk] Caja discussion on the Caplet Group」 . EROS-OS.org . 2008年5月17日時点のオリジナルよりアーカイブ。
^ “Introduction - Caja” . Google Developers . 2021年1月22日時点のオリジナルよりアーカイブ。
^ Miller, Mark S. ; Samuel, M. ; Laurie, B. ; Awad, I. ; Stay, M. (2008年6月7日). 「サニタイズされたJavaScriptにおける安全なアクティブコンテンツ」 . Google Scholar .
^ Synodinos, Dio (2011年2月25日). 「ECMAScript 5、Caja、そしてセキュリティの改良、Mark S. Millerとの対談」 InfoQ .
^ 「Html Service: Caja Sanitization」 . Google Developers . 2013年8月26日時点のオリジナルよりアーカイブ。
^ 「MySpace: Caja JavaScript scrubbing ready for prime time」 2008年2月4日。2008年10月1日時点のオリジナルよりアーカイブ。
^ 「Web 2.0投資家：Cajaに注目」。ティム・オーレンのデューデリジェンス。2008年4月11日。
^ Pullara, Sam (2008年10月28日). 「OpenSocial API Blog: Launched: Yahoo!'s First Implementation of OpenSocial Support」 . OpenSocial . 2008年12月16日時点のオリジナルよりアーカイブ。

外部リンク

公式サイト、ソースコード
カハ遊び場
Caja ドラフト仕様: 「サニタイズされた JavaScript 内の安全なアクティブコンテンツ」、Mark S. Miller、Mike Samuel、Ben Laurie、Ihab Awad、Mike Stay
Yahoo!/Google Caja Javascript Sandbox

[1] Miller, Mark (2007年10月10日). 「[e-lang] [cap-talk] Caja discussion on the Caplet Group」 . EROS-OS.org . 2008年5月17日時点のオリジナルよりアーカイブ。

[2] “Introduction - Caja” . Google Developers . 2021年1月22日時点のオリジナルよりアーカイブ。

[3] Miller, Mark S. ; Samuel, M. ; Laurie, B. ; Awad, I. ; Stay, M. (2008年6月7日). 「サニタイズされたJavaScriptにおける安全なアクティブコンテンツ」 . Google Scholar .

[4] Synodinos, Dio (2011年2月25日). 「ECMAScript 5、Caja、そしてセキュリティの改良、Mark S. Millerとの対談」 InfoQ .

[5] 「Html Service: Caja Sanitization」 . Google Developers . 2013年8月26日時点のオリジナルよりアーカイブ。

[6] 「MySpace: Caja JavaScript scrubbing ready for prime time」 2008年2月4日。2008年10月1日時点のオリジナルよりアーカイブ。

[7] 「Web 2.0投資家：Cajaに注目」。ティム・オーレンのデューデリジェンス。2008年4月11日。

[8] Pullara, Sam (2008年10月28日). 「OpenSocial API Blog: Launched: Yahoo!'s First Implementation of OpenSocial Support」 . OpenSocial . 2008年12月16日時点のオリジナルよりアーカイブ。

[ 1 ]

[

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

v t e オブジェクト機能セキュリティ
概念	最小特権の原則(PoLP) 混乱した副官問題周囲の権威ファイル記述子 Cリストオブジェクト機能モデル能力ベースのセキュリティ能力ベースのアドレス指定ズーコの三角形愛称
オペレーティングシステム、カーネル	トウガラシフクシアジェノデ GNOSIS → KeyKOS → EROS → CapROS ヒドラ iMAX 432 みどり NLTSS seL4 ハーモニーOS（ハーモニーOSネクスト）ファントムOS
プログラミング言語	カハ・カヒータ E ジョー・E ジュール
ファイルシステム	タホ-LAFS
特殊なハードウェア	ビインケンブリッジCAP シェリーフレックス IBM システム/38 インテル iAPX 432 プレッシーシステム250