パスワードを含むURLで警告が出ない話
2010年8月20日(金曜日)
パスワードを含むURLで警告が出ない話
公開: 2010年8月22日13時45分頃
こんな話が……firefoxのiframeに脆弱性? (slashdot.jp)
URIには http://username:password@example.com/ のようにしてIDとパスワードを入れることができたのですが、この形式で http://bakera.jp:bar@example.com/ のようにすると異なるドメインのように見せかけられるというアドレスバー偽装の問題がありました。この問題に対して、IEはその形式のURLにアクセスできないようにするという対応を行いました。Firefoxの方はアクセスできないようにするのではなく、アクセスしようとしたときに警告が出るようにしています。
![[サイト www.st.ryukoku.ac.jp にユーザ名 "archives" でログインしようとしています。]](../img/firefox-password-url02)
アクセス先が認証を求めていない場合はさらに厳しい警告が出ます。
![[サイト bakera.jp にユーザ名 "foo" でログインしようとしていますが、Webサイトは認証を必要としていません。このサイトはあなたをだまそうとしている可能性があります。サイト bakera.jp に接続しますか?]](../img/firefox-password-url01)
今回話題になっているのは、このURLがiframeのsrc属性に指定してある場合に警告が出ない、というお話のようで。実際やってみると、確かに警告は出ないのですが、リロードすると警告が出たり、良く分からない動作になるようですね。
iframeの中であればアドレスバー偽装の問題は起きませんが、そもそもFirefoxではアドレスバーにIDとパスワードが残らないようになっているようで、いずれにしてもアドレスバー偽装としては問題にはならないように思いますが……。
- 「パスワードを含むURLで警告が出ない話」にコメントを書く
- 前(古い): CSS Nite in Ginza, Vol.51
- 次(新しい): 脆弱.inふたたび
