Mozilla Hacksに掲載された 「Trustworthy JavaScript for the Open Web」 を紹介します。
この記事のテーマは、Webアプリで実行されるJavaScriptをどう信頼するかです。エンドツーエンド暗号化をうたうメッセージングアプリや、金融・医療のような高機密なWebアプリでは、ブラウザ上で動くコードそのものが安全であることが重要になります。しかし従来のWebでは、ユーザーのブラウザに届くJavaScriptはサーバーが配信するため、サーバーが侵害された場合に、特定のユーザーへ改変コードを配るリスクが残ります。
WAICTが解こうとしている問題
記事で紹介されているWAICTは、Web Application Integrity, Consistency and Transparencyの略です。Webアプリが配るクライアント側コードをマニフェストに結びつけ、そのマニフェストを公開監査できるログへ記録することで、「実行されたコードが公開された内容と一致しているか」を検証しやすくする考え方です。
これにより、強い信頼モデルが必要なサイトはWAICTの enforcement にオプトインし、公開ログに記録されていないコードが届いた場合にはブラウザ側で拒否できるようになります。攻撃を完全になくすというより、これまで見えにくかった改変や差し替えを、観測・検証可能なものにする方向の提案です。
参照リンクから見えた補足
記事内で参照されている waict.dev では、WAICTの説明に加えて、ブラウザ対応チェックやデモアプリへのリンクが用意されています。そこでは、Firefox Nightlyで初期プロトタイプが試せること、現時点では他のブラウザが明確な立場を示していないことも説明されています。
また、WAICTの仕様リポジトリでは、WAICTがSubresource IntegrityやIntegrity-Policyの考え方を土台にしつつ、サイト全体のリソースとマニフェスト、公開ログの証明を組み合わせようとしていることが分かります。仕様案には、reportモードとenforceモード、マニフェストURL、max-ageなどのヘッダー設計も含まれています。
関連する講演は Real World Crypto 2026 の文脈で紹介されており、Firefox Nightlyは将来版の機能を早期に試すためのチャンネルとして案内されています。つまりWAICTは、すぐに一般サイトへ導入する完成機能というより、実装・標準化・フィードバックを進めるための初期段階の提案として読むのがよさそうです。
開発者が注目したい点
WAICTの面白さは、Webの配信モデルを維持しながら、アプリのコード完全性と透明性を上げようとしている点です。特に、E2EE、セキュアな業務アプリ、ウォレット、内部向け管理画面など、サーバーを完全には信頼しきれない脅威モデルを扱うプロダクトでは、今後の議論を追う価値があります。
まだ実験段階ではありますが、「ブラウザで開くだけで使える」というWebの強みと、「配信されたコードを第三者が検証できる」というセキュリティ要件をどう両立させるかを考えるうえで、重要な記事です。
参照元: Trustworthy JavaScript for the Open Web – Mozilla Hacks(2026年5月5日公開)
コメントを残す