パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

欧州委、IEの「抱き合わせ販売」でMicrosoftに独禁法違反の異議告知書を送付」記事へのコメント

  • 過去にはISPのサポートセンターに、現在は社内シス管として働いている立場とすれば
    業務に用いる標準的なソフトウェアがある方がサポートを行う上で操作の誘導等を行い
    やすいので、IEが標準で入っている事に問題はないかなぁ。

    ユーザが使用したい事のかなりの割合がブラウザ経由での情報閲覧の筈なので、操作に
    関してもマニュアルの用意等に関しても助かるし。

    Linuxみたいにインストール時にパッケージの増減が出来たり、インターネットに接続出来る
    環境ならば、Onlineでソフト追加出来る仕組みで選ばせるってのはアリなんだけど気分で
    Chromeを入れた人の周りが全員Operaとかだと話も噛み合わないと思うんだよね。

    標準を変える手段として、新品メーカPCの電源投入時にSelectableにするのは良いとして
    (標準ブラウザの選択:hogehogeみたいな)バンドルすら禁止ってのは反対かなぁ。

    FTPソフトもコマンドも分からないユーザに、IEのアドレス枠にftp://hoge:hoge@127.0.0.1/
    とか入れさせてアクセスする方法とか案内したからなぁ。IE7でも確か出来るはず。
    • FTPソフトもコマンドも分からないユーザに、IEのアドレス枠にftp://hoge:hoge@127.0.0.1/
      とか入れさせてアクセスする方法とか案内したからなぁ。IE7でも確か出来るはず。

      その方法はセキュリティホール関係でつぶしてしまったんじゃなかったですかね~と
      思ってIE7で試してみたら本当にできてしまった! うげぇ!!

      Windows XPスマートチューニング 特定アプリでユーザー名:パスワード形式のURLを許す [mycom.co.jp]から
      その件の部分を引用してみると

      閑話休題。公開された 「Internet Explorer 用の累積的なセキュリティ修正プログラム(MS04-004)」 ですが、
      これを導入することで、URLに「http://user:password@hogehoge.com」というURL構文を使えなくなりました。
      もともと、Internet Explorer経由でベーシック認証へアクセスする際、先のURL構文でアクセスすることで
      認証ダイアログをバイパスすることが可能でした。

      このような手法を使うことは、数年前からリファラーが漏れる問題があることで非難されてきました。また、
      「 www.microsoft.com@hogehoge.com 」のような"成りすましURL"も、先の機能を使ったバグとして
      セキュリティに敏感なユーザーの間では話題に上っていました。これらの問題を解決するのが
      MS04-004: 832894のセキュリティ修正プログラムです。

      という話でした。
      2004年の記事かぁ。

      httpは制限したけどftpはできるよってことなのかな。まぁ、何にしても今ではあまり推奨できない方法ですね。

      親コメント
      • by Anonymous Coward

        >httpは制限したけどftpはできるよってことなのかな。

        ftpからダイレクトにどこかに飛んでリファラが見える事ってありましたっけ?

        • by Anonymous Coward

          ユーザ名とパスワードをHTTPのURLに含められないように変更されたのは,フィッシング詐欺対策であって,Refererヘッダの問題が原因ではありません.
          Refererの問題ならば,ユーザ名とパスワードをRefererヘッダに含めないようにすれば良いだけです.

          ちなみに,FTPでアクセスしたHTMLファイルからHTTPのURLへのリンクを辿った場合,Refererは出力されます.(Firefoxで確認)

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...