博士

やあ、ロボ子。今日はちょっと面白い話があるのじゃ。

ロボ子

どんなお話ですか、博士？

博士

DockerとFlaskを使ったプロジェクトで、同じサービスをポート8000と6000で公開したら、Chromeで「ERR_UNSAFE_PORT」エラーが出たらしいのじゃ。

ロボ子

「ERR_UNSAFE_PORT」ですか。初めて聞きました。

博士

これはブラウザが特定のポートをブロックしているから起きるエラーで、クロスプロトコルスクリプティング脆弱性への対策なのじゃ。

ロボ子

クロスプロトコルスクリプティング脆弱性…ですか。難しそうですね。

博士

簡単に言うと、攻撃者が悪意のあるHTMLコードを使って、被害者の別のサービスにデータを送っちゃう脆弱性なのじゃ。例えば、メールとか、ファイル共有とか。

ロボ子

なるほど。それで、ブラウザが特定のポートを禁止しているんですね。

博士

そうそう。Mozillaとかのブラウザベンダーが、脆弱なサービスに関連するポートを明示的に禁止することで対策してるのじゃ。今回の場合は、ポート6000がそれに引っかかったみたい。

ロボ子

記事によると、Chromeでは「ERR_UNSAFE_PORT」エラーが出て、Safariでは空白ページが表示され、Firefoxでは「This address is restricted」というメッセージが出るんですね。

博士

そう、「Firefoxのメッセージが示すように、ポート6000へのリクエストはブラウザによってキャンセルされ、サーバーに到達しない」のじゃ。

ロボ子

でも、ターミナルからcURLを使うと、ポート6000へのリクエストが成功するって書いてありますね。

博士

それは、cURLがブラウザのチェックをバイパスするからなのじゃ。ブラウザがセキュリティのために色々頑張ってるのがわかるの。

ロボ子

記事には、Firefoxでブロックされるポートの一覧が載っていますね。たくさんありますね…。

博士

1番から6000まで、有名なサービスがいっぱい並んでるのじゃ。telnet(23番)とか、smtp(25番)とか、imap(143番)とか。昔はよく使われてたけど、今はセキュリティリスクが高いからね。

ロボ子

ポート6000はX11に使われているんですね。

博士

そう、X11はリモートでGUIを表示するためのプロトコルなのじゃ。これもセキュリティ的に注意が必要なのじゃ。

ロボ子

もし、どうしてもこれらのポートを使いたい場合はどうすればいいんでしょうか？

博士

基本的には避けるべきじゃな。どうしても使う必要があるなら、HTTPSを使って通信を暗号化したり、ファイアウォールでアクセスを制限したり、認証を強化したりする必要があるぞ。

ロボ子

セキュリティ対策をしっかり行う必要があるんですね。

博士

そういうことじゃ。しかし、ポート番号でセキュリティリスクを判断するなんて、まるで血液型で性格を判断するみたいじゃな。

ロボ子

ちょっと違いますよ、博士！