Hatena::ブログ(Diary)

hoshikuzu | star_dust の書斎 このページをアンテナに追加 RSSフィード Twitter

hoshikuzu|star_dustの日記について

書く内容の方針とかはフラフラしているのです。あまり考えていないかも知れません。面白いなぁと思うこと、大事なことだなぁと思うことを書いています。あんまり悲しいことは書かない主義。

 | 

2006-11-10

IE6 on WindowsXPsp2 スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけない IE6 on WindowsXPsp2 スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけないを含むブックマーク IE6 on WindowsXPsp2 スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけないのブックマークコメント

信用してはいけないこと、Microsoft社の正式な見解として仕様です。脆弱性ではありません。

サンプル
http://stardust.s2.xrea.com/hatena/200611/title0.html

上記サンプルでは、リンクでポップアップするサブウィンドウのタイトルバーにおいてGoogleのサイトのURLが表示されていますが、これは正しいドメインと一致していません。

この事実は、当日記にリンクして頂いた某ページに記載のあったもので、私からIPAに届け、脆弱性ではないとのMicrosoft社からの回答があり、IPAとして取り扱い終了となったものです。なお、同様の報告が他にもあったようです。IE6では修正の予定がありません。

IE6 on WindowsXPsp2 で、スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL強制表示が、XPsp2で追加されたセキュリティ対策であろうと考えることは出来ません。実際に、Microsoft社のサイトにおいて、その旨は、ひとことも出ていません。

やはり、ウィンドウがどこのコンテンツを表示しているのかを確認するためにはアドレスバー以外には有効な方法はないのだと覚悟しておくべきです。SSL併用ならもっと良いけれど、そもそもsubwindowで大事な情報入れることもしないほうが。

当日記における関連記事

hasegawayosukehasegawayosuke 2006/11/13 01:15 予想していたとはいえ、相変わらずの「仕様です」には辟易してしまいますね。お疲れ様でした。

hoshikuzuhoshikuzu 2006/11/14 16:43 はせがわさん、こんにちは。おせわになっております。
脆弱性だとしても修正には二の足を踏みそうな感じはあるのでしょうね、MS的には。 同一ドメインであったとしてもURLを強制表示する、、修正になることでしょう。で、世の中のデザイナーさん達から「このタイトルバー使えねぇ」「美しくねぇ」とか言われるのでしょう。
一番簡単な修正方法は、open()においてアドレスバー抑制指定を無視してしまう実装ですね。なんでそうしなかったのか。やはりデザイナーさん達から「かっちょわりぃ」と言われるかもというMSさんが感じる恐怖が想定されます。ずいぶんと時間がたちましたがアドレスバーの必要性は少しずつ浸透しているようではあります。
「覚悟の仕様」であったことと思われます。

トラックバック - http://d.hatena.ne.jp/hoshikuzu/20061110
 | 
最近のコメント