参考:IEやOperaにステータス・バーを偽装できる問題(セキュリティホール memo)。
追記:SafariのはWebKit frameworkレベルの問題で,Mail.appのHTMLメールでも偽装できるとのこと。
2005-11-23追記:大丈夫だと思われていたFirefoxでも問題がありうることをコメントで指摘していただいた。
へー。面白いですね。うちは Mozillaなので平気でしたよ。
IEで見るとその謎がわかるのでしょうか。職場に行ったら試してみなくては。
図にマウスカーソルを合わせても、ステータスバーにアドレスが表示されませんでした。他のリンクの所ではアドレスは表示されます。とりあえず偽装に騙されることはなさそうですが、期待される挙動とは少し違うような気も……。
Operaではクリックするとどちらに飛ぶのでしょうか。
~okumuraの方に飛びました。 外側のform actionの方が優先されるようです。
IE6で試したらwww.mie-u.ac.jpと表示されてるのに/~okumura/に飛ばされました。なるほど。
私も Opera 8.5(Windows)で試してみました。 三重大の校章(?)の真上では,ステータスバーに何も出ていませんが,クリックすると「奥村さんのページ」に飛びます。 これはfujitaさんと同じでしたが,カーソルをちょっとだけ下にずらす(先が校章の先端部分)と,ステータスバーに「三重大のURL」と,カーソル直下に「アドレス:三重大のURL」が表示され,クリックすると「三重大のトップページ」に飛びます。 ちょっとしたカーソルの位置で動作が異なるようです。
これはたまたまIE以外にMacのSafariでも簡単に再現してしまったので書いてみましたが,IEにはもっと深刻なものがありそうです:マイクロソフト セキュリティ アドバイザリ (911302): Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される。
トニイさんありがとうございます。マウスカーソルの位置によるというのは知りませんでした。
アイ・オー、ポータブルHDD「HDP-U」シリーズにウイルス混入の恐れとか,Windowsの世界は話題に事欠かないようです。MacやLinuxのシェアが増えて今のWindowsみたいにならないほうが私は幸せかも。
Linux Zaurus上でのNetFront3.1ではでは奥村先生の方に行きました。OSX-10.3上のfirefoxでは三重大。IEではセキュリティで保護されていないフォームを送信しようとしていますと警告が出て、送信するをクリックすると奥村先生の方に行きました。
w3m では、Unicode の洗礼がありましたが、三重大学に Jump しました。
Ctrl + クリックをすると,自タブは奥村さんのペイジに,新タブは三重大学のペイジに飛びます.
au W21SA のブラウザでも 三重大学 でした。
Macではcommand+クリックがそれに相当すると思いますが,同じ現象が起きました。1クリックで二つのページに飛ぶなんて,なかなかのものですね。
Windows Mobile 2003 SE の Pocket IE では ~okumura に飛ばされました。
右クリックメニューから、新しいウィンドウを開く(N)で開くと 期待されたとおりの動作になります。
FirefoxではShift+クリックもおかしな動作をすることを教えていただきました。
へー。面白いですね。
へー。面白いですね。うちは Mozillaなので平気でしたよ。
IEで見るとその謎がわ
IEで見るとその謎がわかるのでしょうか。職場に行ったら試してみなくては。
Opera 8.5(Windows)ですが
図にマウスカーソルを合わせても、ステータスバーにアドレスが表示されませんでした。他のリンクの所ではアドレスは表示されます。とりあえず偽装に騙されることはなさそうですが、期待される挙動とは少し違うような気も……。
Operaではクリックする
Operaではクリックするとどちらに飛ぶのでしょうか。
Operaでクリックすると
~okumuraの方に飛びました。
外側のform actionの方が優先されるようです。
IE6で試したらwww.mie-u.ac
IE6で試したらwww.mie-u.ac.jpと表示されてるのに/~okumura/に飛ばされました。なるほど。
Opera 8.5(Windows)では
私も Opera 8.5(Windows)で試してみました。
三重大の校章(?)の真上では,ステータスバーに何も出ていませんが,クリックすると「奥村さんのページ」に飛びます。
これはfujitaさんと同じでしたが,カーソルをちょっとだけ下にずらす(先が校章の先端部分)と,ステータスバーに「三重大のURL」と,カーソル直下に「アドレス:三重大のURL」が表示され,クリックすると「三重大のトップページ」に飛びます。
ちょっとしたカーソルの位置で動作が異なるようです。
IEの脆弱性はまだまだありそう
これはたまたまIE以外にMacのSafariでも簡単に再現してしまったので書いてみましたが,IEにはもっと深刻なものがありそうです:マイクロソフト セキュリティ アドバイザリ (911302): Internet Explorer の onLoad イベントを処理する方法の脆弱性のため、リモートでコードが実行される。
Re: Opera 8.5(Windows)では
トニイさんありがとうございます。マウスカーソルの位置によるというのは知りませんでした。
偽装以外にも……
アイ・オー、ポータブルHDD「HDP-U」シリーズにウイルス混入の恐れとか,Windowsの世界は話題に事欠かないようです。MacやLinuxのシェアが増えて今のWindowsみたいにならないほうが私は幸せかも。
NetFront3.1では奥村先生の方に行きました
Linux Zaurus上でのNetFront3.1ではでは奥村先生の方に行きました。OSX-10.3上のfirefoxでは三重大。IEではセキュリティで保護されていないフォームを送信しようとしていますと警告が出て、送信するをクリックすると奥村先生の方に行きました。
w3m では、Unicode の洗礼
w3m では、Unicode の洗礼がありましたが、三重大学に Jump しました。
Firefox タブを活用すると
Ctrl + クリックをすると,自タブは奥村さんのペイジに,新タブは三重大学のペイジに飛びます.
au W21SA のブラウザでも
au W21SA のブラウザでも 三重大学 でした。
Re: Firefox タブを活用すると
Macではcommand+クリックがそれに相当すると思いますが,同じ現象が起きました。1クリックで二つのページに飛ぶなんて,なかなかのものですね。
Windows Mobile 2003 SE の Poc
Windows Mobile 2003 SE の Pocket IE では ~okumura に飛ばされました。
IE6でも
右クリックメニューから、新しいウィンドウを開く(N)で開くと
期待されたとおりの動作になります。
Shift+クリックも
FirefoxではShift+クリックもおかしな動作をすることを教えていただきました。