Internet Explorer の URL が偽装できてしまうバグについて、ほいじゃらソーシャルで使われやすい Outlook Express ではどんな挙動を見せるのか調べてみました。試してみたのは私の環境( Windows 2000 Professional SP4 + Internet Explorer 6.0 SP1 )のみです。
関連:
セキュリティホールmemo
hoshikuzu|stardustの書斎
バーチャルネットハッカーっ娘 沙耶16歳
えび日記
tessyの日記
STUDIO KAMADA
あとはぐぐってね。
TYPE1-4とTYPE2-4訂正 2003.12.19 18:20
以下の5つのパターンを作りまして、このページをOEのメールエディタの雛型として読み込んで、ひとつずつ動きをながめてみました。
1.アンカーで飛ばす基本形。
http://www.google.com/
中身:http://www.google.com@park14.wakwak.com/~swn/
2.アンカーで飛ばす基本形でステータスバーの@以下のURLを隠すタイプ。
http://www.google.com/
中身:http://www.google.com%00@park14.wakwak.com/~swn/
3.アンカーで飛ばす基本形でURLの末尾を/にしてさらに@以下のURLを隠すタイプ。
http://www.google.com/
中身:http://www.google.com%2f%00@park14.wakwak.com/~swn/
4.スクリプト付きでアンカーで飛ばす基本形でURLの末尾を/にしてさらに@以下のURLを隠すタイプ。
http://www.google.com/
中身:面倒だからソースを見てね。
5.スクリプトを使ってボタンで飛ばすタイプ。
中身:面倒だからソースを見てね。
1.ステータスバーの表示:http://www.google.com @park14.wakwak.com/~swn/
クリック後のアドレスバーの表示:http://www.google.com
クリック後に表示されるページ:park14.wakwak.com/~swn/
OEのステータスバーによる確認で回避可能です。
2.ステータスバーの表示:http://www.google.com
クリック後のアドレスバーの表示:http://www.google.co.jp{/}<-補完されます。
クリック後に表示されるページ:www.google.co.jp
なぜか偽装URLであるはずのGoogleが表示されましたので偽装失敗ので偽装失敗。
3.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp{/}<-補完されます。
クリック後に表示されるページ:www.google.co.jp
なぜか偽装URLであるはずのGoogleが表示されましたので偽装失敗。
4.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp{/}<-補完されます。
クリック後に表示されるページ:park14.wakwak.com/~swn/
ダメ度高し。飛ばし先のURLに1.のタイプを用いているため、ページの表示後プロパティでの確認は可。
5.ステータスバーの表示:なし
クリック後のアドレスバーの表示:http://www.google.com
クリック後に表示されるページ:http://park14.wakwak.com/~swn/
ダメ度高し。飛ばし先のURLに1.のタイプを用いているため、ページの表示後プロパティでの確認は可。
1.ステータスバーの表示:http://www.google.com @park14.wakwak.com/~swn/
クリック後のアドレスバーの表示:http://www.google.com
クリック後に表示されるページ:park14.wakwak.com/~swn/
OEのステータスバーによる確認で回避可能です。
2.ステータスバーの表示:http://www.google.com
クリック後のアドレスバーの表示:http://www.google.co.jp{/}<-補完されます。
クリック後に表示されるページ:www.google.co.jp
なぜか偽装URLであるはずのGoogleが表示されましたので偽装失敗。
3.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp{/}<-補完されます。
クリック後に表示されるページ:www.google.co.jp
なぜか偽装URLであるはずのGoogleが表示されましたので偽装失敗。
4.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp{/}<-補完されます。
クリック後に表示されるページ:park14.wakwak.com/~swn/
OEのステータスバーによる確認で回避可能です。
5.ステータスバーの表示:なし
クリック後のアドレスバーの表示:なし
クリック後に表示されるページ:なし
動作せず。
1.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp/
クリック後に表示されるページ:www.google.co.jp
テキストにするとアンカーエレメント内の文字列(つまり、URLとして書かれている文字列)がリンクとみなされるようです。
2.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp/
クリック後に表示されるページ:www.google.co.jp
テキストにするとアンカーエレメント内の文字列(つまり、URLとして書かれている文字列)がリンクとみなされるようです。
3.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp/
クリック後に表示されるページ:www.google.co.jp
テキストにするとアンカーエレメント内の文字列(つまり、URLとして書かれている文字列)がリンクとみなされるようです。
4.ステータスバーの表示:http://www.google.com/
クリック後のアドレスバーの表示:http://www.google.co.jp/
クリック後に表示されるページ:www.google.co.jp
テキストにするとアンカーエレメント内の文字列(つまり、URLとして書かれている文字列)がリンクとみなされるようです。
5.ステータスバーの表示:なし
クリック後のアドレスバーの表示:なし
クリック後に表示されるページ:なし
当然のことながらボタンは表示できません。
OEの各設定状況に対して5つのパターンについて検証してみた結果、あたりまえですが表示をテキストにしてスクリプトオフ(セキュリティ設定を制限付きサイトゾーンのデフォルト値)が一番安全なようです。正直なところ、現時点ではすべてのリンクを疑う必要がありそうです。アカウントを利用する際は、細心の注意を払って実行しませう。また、冒頭のリンク先などよく読まれますと、複数の事例とともに、回避方法などへの言及もあります。それほど遠くなくパッチがでると思われますので、それまでがまんがまん。