🔍

Google.comがiframeに埋め込めるようになるパラメータの謎

2022/08/15に公開約1,800字

はじめに

Google.com(のすべてかは分かりませんが少なくとも検索ページ)はX-Frame-OptionsヘッダーがSAMEORIGINに設定されているため、他のドメインからの埋め込みが出来なくなっています。

https://developer.mozilla.org/ja/docs/Web/HTTP/Headers/X-Frame-Options

こうなっているのは、クリックジャッキング攻撃を防いで、個人情報を抜き取ったり、悪意あるスクリプトを実行したりできないようにするためだそうです。

とあるパラメータを付けると埋め込めるようになる

google.com/~のURLの末尾にigu=1というパラメータを付け足すと、X-Frame-Optionsヘッダの設定が消えて何故か埋め込めるようになります

また、以前はigu=2というパラメータでも同様の効果があったそうです。

igu=2の謎

igu=2というパラメータは、2014年のエイプリルフールにGoogleが「com.google(現在リンク切れ)にアクセスすると文字が全て左右反転する」というジョークを仕掛けた時に用意されたようです。

「com.google」では、全画面のiframeにgoogle.comを埋め込むことでGoogleのようなページが表示されるようになっていました。

igu=2パラメータを付けてGoogleのページを埋め込むと、その画面内でアカウント設定なども開けてしまうらしく、「成りすましたサイト内で本物のgoogle.comを開き、データを抜き取る」といったような手口が可能になると問題になったようです。

海外のテック系メディアでは一日も経たないうちにこの事態が報じられ、タイトルに「No joke」と付いているのが何とも笑えません。

https://arstechnica.com/information-technology/2015/04/no-joke-googles-april-fools-prank-inadvertently-broke-sites-security/

発端となった報告記事

https://news.netcraft.com/archives/2015/04/17/googles-april-fools-prank-inadvertently-broke-their-security.html

igu=1の謎

igu=2に続いて現れたパラメータigu=1は、同様にiframeなどへの埋め込みが出来るようになります。

これは、2011年から開始されたGoogle公式のウェブサービス(ゲーム)である「A Google a Day」のために用意されたもののようです。
(開発ツールを開くと、例のパラメータが使われているのが分かります)

http://www.agoogleaday.com/

「A Google a Day」は指定されたお題をググってその時間を競うというものみたいです。

ゲーム内でGoogle検索を使用するという性質上、このゲームのために埋め込み可能にするパラメータが作成されたということですね。

こちらはigu=2とは違って一応セキリュティ対策がされており、ログインした状態で開いても右上にアイコンが表示されず、ログインボタンを押してもフレーム内では設定画面などが開けないようになっています。

igu=1パラメータ付きのリンクです。

https://www.google.com/?igu=1

おわりに

Wikipediaには「A Google a Day」は2013年にサービス終了したと書かれているので、このパラメータがいつ使えなくなるかは分かりませんが、セキリュティ上の問題はとりあえずなさそうです。

GitHubで編集を提案

Discussion

ログインするとコメントできます