水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > WPAD の脆弱性

WPAD の脆弱性

2007年12月27日(木曜日)

WPAD の脆弱性

Webプロキシ自動発見(WPAD)の脆弱性に関する注意喚起と予約ドメイン名の追加指定について (jprs.jp)

IE の「LAN の設定」の中に「設定を自動的に検出する」というオプションがありますが、これが有効の場合、"wpad" とつくサブドメインから設定をダウンロードとようとします。そして、たとえば wpad.example.co.jp が見つからない場合、次に wpad.co.jp を探しに行ってしまうので、wapd.co.jp に悪意ある設定ファイルが置かれていると、任意のプロキシサーバを使わされてしまうことになります。

……という話を受けて、wpad.co.jp などが取得できないようにしたという話ですね。

しかし考えてみると、イントラ内で任意のユーザが自由にサブドメインを取得できたりする環境だとマズイということですよね。まあ、不用意に自動検出を有効にしたりしなければ良いという話ではあるのですが。

関連する話題: セキュリティ / Internet Explorer / DNS

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト