SyntaxHighlighter

2014年11月30日日曜日

Open TortoiseSVN for Google Chrome の Native Messaging Host 対応

Open TortoiseSVN for Google Chrome の Native Messaging Host 対応

前に書いたように、Google Chrome には、登録済みのローカルファイルを実行する仕組みがあり、Native Messaging と呼ばれています。
今回は、この具体的な作り方について書きます。

Native Messaging を使う Google Chrome 拡張機能

Chrome 拡張で Native Messaging を使うには、大きく分けて以下の対応が必要です。
なお、公式のページに、まとまった情報があります。

  • JSON 形式でやりとりする実行ファイルの準備
  • 実行ファイルのマニフェストファイルの準備
  • Chrome 拡張機能から、上記の実行ファイルの呼び出し

JSON 形式でやりとりする実行ファイル

やりとりするデータ形式

Native Messaging では、JavaScript 側と実行ファイル側が JSON 形式でデータをやりとりします。
JavaScript 側から渡すデータは JSON 形式にシリアライズされ、実行ファイルの標準入力から渡されます。
逆に、実行ファイル側からは、標準出力に JSON 形式でシリアライズしたデータを出力することで、JavaScript 側にデータを渡すことができます。

ただし、JSON データの長さ 4byte が、後にくる文字列の前に配置されます。

例えば、{"a":1234} というオブジェクトを、実行ファイル側から渡すことを考えます。
この JSON データの長さは 10 (0Ah) byte です。この場合、0A 00 00 00という 4byte が出力され、その後に JSON データが続きます。
サイズを示す先頭の 4byte は、Native Byte Order で渡すので、大抵の PC では Little Endian になります。

データ列の例
0A000000'{''"''a''"'':''1''2''3''4''}'

そのため、受け取る側はまず最初の 4byte を読み、そのサイズ分のデータを続けて読むことになります。

逆に実行ファイル側から出力する場合も同様です。

注意点

Windows 特有の注意点として、「標準入力と標準出力をバイナリモードで開く必要がある」ということがあります。

Windows では、ファイルを処理する際に「テキストモード」と「バイナリモード」があります。
説明は省きますが、標準入力や標準出力は「テキストモード」になっているので、その状態で \n を出力すると \r\n に自動で変換されることになります。
先の例では、0Ah\n なので、以下のようなバイト列になります。

データ列が変換される例
0D0A000000'{''"''a''"'':''1''2''3''4''}'

結果として、データを受け取る Chrome 側は 00000A0Dh つまり 2573byte の JSON データが送られてくると判断し、正しく動かなくなります。

そのため、C 言語であれば、以下のような Windows 依存のコードを実行しておくことで、標準入力や標準出力をバイナリモードにしておく必要があります。

#include <io.h>
#include <fcntl.h>

void set_binary_mode()
{
    _setmode(_fileno(stdin), _O_BINARY);
    _setmode(_fileno(stdout), _O_BINARY);
}

これらに注意して、好きな実行ファイルを作ります。

Open TortoiseSVN for Google Chrome の場合、 open_tortoise_svn_host.exe がその実行ファイルですが、この中では JSON を扱うために json11 を使わせてもらいました。
このライブラリは C++11 向けに書かれており、少し変更するだけで Visual Studio 2013 の C++ コンパイラでもコンパイルできます。

実行ファイルのマニフェストファイルの準備

作成した実行ファイルは、そのままでは Chrome から呼び出すことはできません。
呼び出せるようにするために、マニフェストファイルを作り、そのマニフェストファイルを Chrome に知らせる必要があります。

マニフェストファイル

公式のページにあるように、マニフェストファイルは以下のように定義します。

{
  "name": "com.my_company.my_application",
  "description": "My Application",
  "path": "chrome_native_messaging_host.exe",
  "type": "stdio",
  "allowed_origins": [
    "chrome-extension://knldjmfmopnpolahpmmgbagdohdnhkik/"
  ]
}

上記のようなマニフェストファイルを任意のファイル名で作成します。
name は、この Native Messaging 機能の名前を任意で決めて指定します。
path には実行ファイルの名前を指定します。実行ファイルは絶対パスで指定しますが、Windows ではマニフェストファイルがあるディレクトリからの相対パスでも構いません。
type は、現状 stdio しか指定できません。これは上で説明したような JSON 形式のデータを標準入力と標準出力でやりとりすることを意味しています。
allowed_origins には、この Native Messaging Host にアクセスしてよい拡張機能の名前を指定します。この名称は、拡張機能一覧のページ (chrome://extensions/) で ID をチェックすることで分かります。

というか、公式のページの説明を見ましょう。

マニフェストファイルの登録

続いて、作成したマニフェストファイルを Chrome に知らせる必要があります。

これも公式のページに書いてあるように、Windows の場合はレジストリで指定します。
HKEY_CURRENT_USER\SOFTWARE\Google\Chrome\NativeMessagingHosts\com.my_company.my_application にマニフェストファイルの絶対パスを書き込めばよいです。
HKEY_LOCAL_MACHINE 以下でもよいですが、HKEY_CURRENT_USER の下の方が管理者権限が不要なので楽でしょう。

Chrome 拡張機能から、上記の実行ファイルの呼び出し

Native Messaging には、実行ファイルが常駐するタイプと、毎回起動するタイプがあります。
Open TortoiseSVN for Google Chrome は後者のタイプです。

この場合、下記の公式ページの例のように sendNativeMessage を用いて、送信した JSON データと、受け取った JSON データを処理するためのコールバック関数を引数として渡すことで、好きな処理をすることができます。

chrome.runtime.sendNativeMessage('com.my_company.my_application',
  { text: "Hello" },
  function(response) {
    console.log("Received " + response);
  });

面倒になってきたので後半は省略しましたが、作成するのは簡単なのでローカルの実行ファイルと Chrome を連携させたい場合は利用するとよい機能だと思います。

Google Chrome の Native Messaging Host

Google Chrome の Native Messaging Host

Chrome 向けの Open TortoiseSVN を Native Messaging 対応したので、そのまとめです。
今回は、Native Messaging の概要についてです。

TechCrunch の記事にあるように、Chrome では NPAPI がブロックされます。
Open TortoiseSVN for Google Chrome では NPAPI を使っていたので、これを機に Native Messaging 版に変更しました。

Native Messaging

Native Messaging とは、 Google Chrome の Extension の機能の一つで、ローカルの実行ファイルを直接起動してやりとりするための仕組みです。
今回は、この機能を使ってローカルの TortoiseSVN を起動しています。

Native Messaging の概要

詳しくは Google Chrome の解説のページを見ると分かりますが、基本的には以下の通りです。

  • JavaScript から、あらかじめ登録済みのローカルの EXE を実行できる
  • その EXE と JSON 形式でメッセージのやりとりができる

なお、EXE と書きましたが、 BAT などでも問題ありません。

さらに、「EXE を実行してすぐに終了する」形式と「EXE を実行し、サービスのように常駐させてやりとりする」の二つの呼び出し形式がサポートされています。
また、JSON 形式でやりとりをする、という以外には、EXE の内容に制限はありません。

NPAPI プラグインとの違い

「ローカルの EXE (DLL) を呼び出し、JavaScript の制限外のことができる」という点では、NPAPI と似ています。
実際、これまで Open TortoiseSVN では、 NPAPI プラグインを使って、 JavaScript だけではできない「ローカルファイルを実行」を実現していました。

しかし、いくつか大きな違いがあります。

  • Native Messaging の場合、やりとりするデータは JSON に限られる
  • Native Messaging の場合、必ず別プロセスで起動される。

JavaScript のオブジェクトに比較的自由にアクセスできる NPAPI と異なり、Native Messaging では JSON 形式で明示的にやりとりしたデータしか EXE 側には渡らないので、意図せず JavaScript 側のグローバルオブジェクトにアクセスされたりせず、従来の JavaScript のセキュリティモデルは崩れません。
また、EXE を別プロセスで呼ぶため、クラッシュに悩まされることもなくなります。

PPAPI プラグインとの違い

一方で、NPAPI の置き換えとして Google が推進している PPAPI と比べると、PPAPI では呼べる API やローカルリソースへのアクセスに制限があるので、単純にできることが異なります。
基本的には PPAPI はサンドボックス化されており、NPAPI のように、任意の OS Native な API を呼べるわけではありません。

とても大雑把に言うと、NPAPI プラグインでできていたことのうち、「C/C++ で高速に動作するものを作りたい (が、ローカルリソースへの自由なアクセスは不要)」という部分は PPAPI に、「ローカルリソース (OS Native な API などを含む) に制限なくアクセスしたい」という部分が Native Messaging に分割され、整理されたということだと思います。

次回は Native Messaging を利用するための方法について、簡単に書きます。

2014年8月17日日曜日

ASCII 文字だけの場合も Windows BAT ファイルを LF 改行コードで保存してはいけない

ASCII 文字だけの場合も Windows BAT ファイルを LF 改行コードで保存してはいけない

とある作業中に気付いた BAT ファイルの謎挙動について、書いておきます。

概要

Windows では、通常テキストファイルの改行コードには CR LF の 2バイトを使います。
プレーンテキストで記述されている BAT ファイルも、当然のことながら CR LF を改行コードに使います。

しかし、実際には改行コードを LF にしても、問題なく動くことが多いです。
よく問題となるのは、日本語を含む BAT ファイルの場合で、改行コード LF で日本語を含むバッチファイルの動作がおかしい件改行コードがLFなバッチファイルなどで、実例が挙がっています。

しかし、最近、ASCII のみで構成された BAT ファイルであっても、改行コードが LF の場合に変な挙動を示すケースに出会いましたので、メモとして残しておきます。

結論としては、当たり前ですが、 CR LF で保存しましょう、ということ以外にないです。
最近は、テストの自動化などで、 Linux サーバーで動くソフトウェアから、 Windows 向けのテスト用 BAT ファイルを生成することもあるかと思いますが、注意しましょう。

再現方法

通常の動作

まずは、下記のような BAT ファイルを考えます。

この BAT ファイルを実行すると、 3行目の goto label で 10行目の :label までジャンプするので、 11行目で "good" が出力されて終了します。

これは、改行コードが LF であっても CR LF であっても、どちらでも同じ結果になります。

奇妙な動作

続いて、下記のような BAT ファイルを考えます。

先の例と比べ、 goto label でスキップされる部分に文字列を追加しただけなので、本質的な違いはありません。
そのため、実行すると "good" が出力されることが期待されます。

しかし、これを改行コードを LF として保存すると、 "bad" が出力されます。

BAT ファイルの謎の挙動

上述したことが起こるのは、 3行目の goto label と 14行目末尾の :label の間に 512 バイト (改行コード LF 含む) がある場合です。
より正確には、 512, 1024 など、512 の倍数が含まれている場合です。

この場合、どうやら 14行目末尾の :label をラベルと誤認するようです。

改行コードが LF の場合、これ以外にも 3行目の goto label と 19行目の :label の間が 512バイト (改行コード LF 含む) 付近の場合、 :label を見つけるのに失敗し、 goto label に失敗します。

そもそも BAT ファイルには意味不明な挙動が多いですが、うっかり改行コードを LF にすると、さらに謎の挙動に悩まされることになるので、 Linux サーバーなどで BAT を生成する場合は、注意しましょう。

追記

ちなみに、「とある作業」とは、 Windows 上での Ruby のビルドのことです。
Ruby をソースコードからコンパイルする際に、この現象に出会いました。

Revision 47015 から Revision 47204 までの間、 Subversion の EOL の扱いに起因して、ダウンロードのやり方によっては win32\configure.bat が LF になってしまっていました。
私が指定したコマンドラインオプションの場合、今回の現象が偶然に起こっていました。
現象を単純化するのにとても疲れました。

改行コードそのものは Revision 47205 で修正していただけました。

2014年6月22日日曜日

Rails で CSRF トークン検証エラーが出ることがある

Rails で CSRF トークン検証エラーが出ることがある

自分で作った Rails 製ウェブアプリで出会った話ですが、ちょっと原因に悩んだので書いておきます。

概要

Rails 製のウェブアプリのログを眺めていると、しばしば CSRF トークン検証エラーが記録されていました。ログインページでログインする際にデータを POST したときに、 CSRF トークン検証エラーが出たようです。
状況的に、外部から攻撃を受けているわけではなく、ユーザーもブラウザからアクセスしたようでした。

結局のところ、バグなどではなく、期待される挙動だったのですが、ちょっと悩んだので書いておきます。

再現手順

ブラウザ起動後の初回アクセスで、ウェブアプリのページを複数同時に開くと発生します。
「複数同時」というのがポイントです。

具体的には、以下の手順で発生します。

  1. 準備として Rails 製ウェブアプリで POST を使う複数のページを、二つブックマークに登録しておきます。
    例えば、「ログインページ」と「ユーザー登録ページ」などが該当するだろうと思います。
  2. 一旦ブラウザを閉じ、新たに開き直します。
  3. 「すべてのブックマークをタブで開く」などで、登録しておいた二つのページを同時に開きます。
  4. 開いた二つのページの少なくともどちらかでは、 POST 時に CSRF エラーが出ます。

原因や詳細

原因はセッション管理のされ方にあります。

Rails での CSRF 対応

Rails では、デフォルトで CSRF の対応がされています。
これは、セッション内に _csrf_token というキーで保存された値と、 POST 時に hidden field の authenticity_token で指定された値を比較することで、実現されています。
Ajax の場合には HTTP ヘッダ内に指定することもありますが、あまり関係ないので省略します。

要は、 CSRF トークンという、セッション毎にランダムに生成される値が、 POST で渡されてくる値と一致しているかを見ています。

セッションと Cookie

Rails では、セッションは URL Rewriting などではなく、デフォルトで Cookie を用いて実現されています。
また、 Cookie の有効期限はブラウザ終了までとなっています。

よって、デフォルトの設定では、セッションはブラウザを閉じたタイミングで破棄されます。つまり、ブラウザを開いた後の初回アクセス時に新規にセッションが生成されることになります。
この結果、 CSRF トークンは、ブラウザを開いた後の初回アクセス時に生成されます。
二回目以降のアクセスでは、セッション内に保存されている作成済みの CSRF トークンが使われます。

CSRF トークン検証エラーが起こる仕組み

以上のことから、複数のページを同時に開くと、以下の原理で CSRF トークン検証エラーが起こります。

  1. ブラウザを開きます。
  2. Rails 製ウェブアプリの複数のページを同時に開きます。
    仮に、ページ A, B とします。
  3. ページ A を GET する際に、新規にセッションが開かれ、それに伴い CSRF トークンが生成されます。
    このとき、ページ A 内の hidden field には、同じ CSRF トークンが設定されており、整合性がとれた状態になっています。
  4. これとほぼ同時に、ページ B が GET されます。
    ページ A の GET が完了してからであれば、ページ A で開かれたセッションが使われますが、ほぼ同時に開いた場合は、ページ A の GET は完了していないので、新規に別のセッションが開かれ、別の CSRF トークンが生成されます。
    ページ B 内の hidden field には、こちらの CSRF トークンが設定されることになります。
    この結果、ページ A の hidden field とページ B の hidden field には、別の CSRF トークンが authenticity_token として設定されることになります。
  5. この状態で、ページ A において POST をします。
    すると、セッションはページ B で開かれたものが使われます。
    これは、セッションが Cookie で管理されているためで、 Cookie は後から設定されたもので上書きされるためです。
  6. その結果、ページ A の hidden field の CSRF トークンと、セッション内の CSRF トークン (ページ B 由来のもの) は、異なるものとなり、 CSRF トークンの検証でエラーとなります。

最初は、どこかから CSRF 攻撃を受けているのかと思って、焦りました。
セキュリティ強度を下げずに回避するのは難しいかな。