アンクルジョー・ドット・ネット ひやりはっとIT講座 | ひやりはっとIT事件簿 | PuzzleLinks | サポート | Shop | サイトマップ   
  Top > b3.セキュリティ > [フィッシング詐欺対策] > update後のIEは構文エラーになる 前の頁へ

 
update後のIEは構文エラーになる
 
Amazon.co.jp アソシエイト [フィッシング詐欺対策]
2004/09/27     Windows uncle-joe.net Project

<テスト環境>
(A).WindowsXP Professional SP1
(B).Internet Explorer 6.0 (2004/08/11最新のパッチを当てた状態)
 先日8月11日(先延ばししていた)Windows Updateを実行。最新のセキュリティパッチを当てました。
 更新した一連のWindows Updateの中に、IE修正パッチも入っていました。(これで昨年12月から問題視されていたいわゆる「URL偽装問題」も解消されるはず。(^_^;)

 さっそくIEで偽装URLを入力、どのように表示されるのかを試してみました。

<論旨の流れ>update後のIEは構文エラーになる
 (1).セキュリティパッチを当ててみると・・
(1-a).アドレス欄に偽装URL例を入力
(1-b).無効な構文エラーで拒否

(1).セキュリティパッチを当ててみると・・

 すでに旧聞に属しますが、IEに関するセキュリティパッチを当ててみると次のような問題が出てきました。
 URLにユーザー名とパスワードを埋め込んで基本認証をパスさせる方式、たとえば
http(s)://username:password@server/resource.ext
といった方式は利用できなくなる事態になり、別の認証方式に変えざるを得なくなったサービスもあったとの事。

(1-a).アドレス欄に偽装URL例を入力
アドレス欄に「http://www.yahoo.co.jp%01@www.uncle-joe.net/」とパンチして、移動ボタンをクリックします。

(1-b).無効な構文エラーで拒否
偽装URLを構文解析し、拒否しました。
この構文には悪意があるとして、最初から拒否するようになりました。
※いたちごっこなのですが、偽装URLにはまだ別の手口・方法があって、そちらに対するセキュリティパッチは今も用意されてないとの報道があります。


<更新履歴>
【2004/09/27脱稿】uncle-joe.netホームページ用に記述。
 









  Top > b3.セキュリティ > [フィッシング詐欺対策] > update後のIEは構文エラーになる 前の頁へ
表題 フィッシング詐欺対策 IEのサイト偽装問題
  1.eBANK銀行のフィッシング詐欺対策
  2.InternetExplorerのURL偽装例
  3.オペラとネスケのURL偽装例
  4.update後のIEは構文エラーになる
冒頭(本頁) Home | Top | a.開発者 | b.利用者 | c.アプリ | d.経営 | e.他
Copyright (C) 2003-2006 UncleJoe Inc. All rights reserved. 記述に誤りがありましたらフォーラムに投稿をお願いします。