水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > パスワードを含むURLで警告が出ない話

パスワードを含むURLで警告が出ない話

2010年8月20日(金曜日)

パスワードを含むURLで警告が出ない話

公開: 2010年8月22日13時45分頃

こんな話が……firefoxのiframeに脆弱性? (slashdot.jp)

URIには http://username:password@example.com/ のようにしてIDとパスワードを入れることができたのですが、この形式で http://bakera.jp:bar@example.com/ のようにすると異なるドメインのように見せかけられるというアドレスバー偽装の問題がありました。この問題に対して、IEはその形式のURLにアクセスできないようにするという対応を行いました。Firefoxの方はアクセスできないようにするのではなく、アクセスしようとしたときに警告が出るようにしています。

[サイト www.st.ryukoku.ac.jp にユーザ名 "archives" でログインしようとしています。]

アクセス先が認証を求めていない場合はさらに厳しい警告が出ます。

[サイト bakera.jp にユーザ名 "foo" でログインしようとしていますが、Webサイトは認証を必要としていません。このサイトはあなたをだまそうとしている可能性があります。サイト bakera.jp に接続しますか?]

今回話題になっているのは、このURLがiframesrc属性に指定してある場合に警告が出ない、というお話のようで。実際やってみると、確かに警告は出ないのですが、リロードすると警告が出たり、良く分からない動作になるようですね。

iframeの中であればアドレスバー偽装の問題は起きませんが、そもそもFirefoxではアドレスバーにIDとパスワードが残らないようになっているようで、いずれにしてもアドレスバー偽装としては問題にはならないように思いますが……。

関連する話題: Web / セキュリティ / UA / Firefox

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト