[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0603] SafariにおけるURL偽装問題の続き

To: harden-mac@xxxxxxxxxx
Subject: [harden-mac:0603] SafariにおけるURL偽装問題の続き
From: vm_converter <vm_converter@xxxxxxx>
Date: Tue, 24 Feb 2004 13:38:11 +0900

石川＠久しぶりで済みません、です。 Security Update 2004-02-23 の中で、Jaguar用に関しては、 Safari: Fixes CAN-2004-0166 to improve the display of URLs in the status bar のfixが含まれていたので少々検証してみました。 # 古暮さん、翻訳有難うございます。少々古い話なので、リマインダとしてこの件がまとまっているポインタを２つ一応挙げておきます。 ○バーチャルネットハッカーっ娘沙耶16歳さんによる　『SayaWiki - URI偽装バグ』 http://saya.c-moon.jp/w/ pukiwiki.php?%5B%5BURI%B5%B6%C1%F5%A5%D0%A5%B0%5D%5D ○セキュリティホール memo さんによる該当記事 http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2003/ 12.html#20031211_IE 検証ですが、上記２つのページや [harden-mac:0577] の篠田さんの検証で用いられている、はてなダイアリー - hoshikuzu|stardustの書斎さんの『１２月１１日追記３－－－偽装度アップの巻－－－』は現在閲覧できませんので、 A. STUDIO KAMADA さんの日記の『IE6の危険な不具合（更新#2）』での“Google?” <http://homepage2.nifty.com/m_kamada/di200312.htm#10_03> B. セキュリティホール memo さんの Javascript 版での“Citibank” <http://www.st.ryukoku.ac.jp/%7Ekjm/test/citibank.html> の２つで、上記の“Google?”と“Citibank”にマウスを重ねた場合のステータスバーの表示を見てみました。なお、Safariは、・アップデート前＝Safari 1.0(v85.6) ・アップデート後＝Safari 1.0(v85.7) です。 # 単純にステータスバーの表示だけ見ているのは、どちらの検証でも # アドレスバーのURL欄の表示やクリックした場合の挙動に関しては # v85.6もv85.7も変わらないからです。 ============================================================ ■検証結果 □A. の場合・v85.6：× （http://www.google.co.jp と表示してしまう）・v85.7：○ （http://www.google.co.jp%00%01@xxxxxxxxxxxxxxxxxxx/m_kamada/ と表示） □B. の場合・v85.6：× ・v85.7：× （両方とも http://www.citibank.com/ と表示してしまう） ============================================================ という訳で、STUDIO KAMADAさんの例の場合では改善が見られたようです。なお、セキュリティホール memoさんの例では以前と変わらずステータスバーの表示が正常ではないのですが、太洋さんが ○はてなダイアリー - Underconstruction by Taiyo@hatena 　『Safari で偽装URLを見破るテスト』 <http://d.hatena.ne.jp/t_trace/20031218#1071778854> で公開されているユーザスタイルシートを使う方法で警告を出す事が可能です。 P.S. 私信＞太洋さん STUDIO KAMADAさんの例の方では、このユーザスタイルシートは効かないようですね。既にご存じだったかもしれませんが。 -- 石川泰久／vm_converter --[PR]------------------------------------------------------------------ ●☆‥…━━━━━━━━━━━━━━━━━━━━━━━━… 　　　【無料登録】お見合い相手がネットで探せる！！　　　本気で結婚相手、恋人、をお探しの貴方に今がチャンス！　　　★登録無料☆★会費無料☆★検索無料☆★申込無料☆ 　　　 http://ad.freeml.com/cgi-bin/ad.cgi?id=c66vw ------------------------------------------------------------------[PR]-- <GMO GROUP> Global Media Online www.gmo.jp

Prev by Date: [harden-mac:0602] [security-announce] , APPLE-SA-2004-02-23 Security Update 2004-02-23
Next by Date: [harden-mac:0604] Multiple issues with Mac OS X AFP client
Previous by thread: [harden-mac:0602] [security-announce] , APPLE-SA-2004-02-23 Security Update 2004-02-23
Next by thread: [harden-mac:0604] Multiple issues with Mac OS X AFP client
Index(es):
- Date
- Thread