Mozilla Firefox 0.9.1 にしよう!
2004-07-02
フレームを使って web サイトの偽装が可能になるという各地で話題のフレーム詐称問題ですが、手元にあるいくつかのブラウザで試してみました。
まず、Secunia - Multiple Browsers Frame Injection Vulnerability Test へ行って、そこからリンクしてある、msdn のページを別窓で開きます。開いた窓はそのままにしたまま、前のテストページの窓へ戻ります。ついで、2つ目のリンクをクリックすると、先ほどの msdn のページ(フレームが使われています)の中に、別ページが差し込まれるという仕組みです。
以下は、winIE6 であっさり引っかかってしまったところをキャプチャして縮小した画像です。
IEだけなら、毎度のことだで済まされるのですが、今回の問題は他の多くのブラウザでも同様に引っかかってしまう点で、Mozilla Firefox でも少し前の0.8などはやっぱりだめです。以下は、Mozilla Firefox 0.8 で引っかかったところのスクリーンキャプチャの縮小版です。
試してみたところ、他にも windows 版のOpera7.5 などでも駄目でした。しかし、NN4.8 はひっかからずに無事でした。んでは、これからは IE をやめて NN4.x にしよう! というわけにもなかなかいかないと思うので、ここは、やっぱり Mozilla Firefox 0.9.1 でしょう。Mozilla Firefox 0.8 がだめなのは、Bug 246448 が生きているからです。trunk なナイトリーは 0615版から fix されています。もちろん、0.9 も大丈夫です。
てことで、これからは Mozilla Firefox 0.9.1 でしょう!
ところで、フィッシング詐欺という言葉を最近よく聞きますが、私はずっと Fishing だと思っていたんですが、Phishing だったんですねぇ。:p)
- 参考URI
- Secunia - Advisories - Multiple Browsers Frame Injection Vulnerability
- ITmedia エンタープライズ:フレーム詐称の問題はIE以外のWebブラウザにも
- 修正済みのはずだったのに--IEの最新版にセキュリティホール - CNET Japan
「Mozilla Firefox 0.9.1 にしよう!」へコメントをつける
この記事へのツッコミ
- 1: もとひこ (2004-07-02T17:43:06+09:00)
- とはいえbug 246448の修正は多くの人には不便だったりする罠。2chのテンプレにはこれを無効にするのがあった記憶が。
# 今京ぽんにつき確認できず。 - 2: のり (2004-07-02T18:07:42+09:00)
- えっと、「フレームのリンクをクリックしてもページが読み込まれないことがある」ってやつのことでしょうか?うちでは、
user_pref( "docshell.frameloadcheck.disabled" , true);
にしていますが、phishing には引っかからないようです。
- この記事の永続的 URI ならびに トラックバック ping URI
- http://diary.noasobi.net/2004/07/diary_040702a.html