アカウント名:
パスワード:
FTPソフトもコマンドも分からないユーザに、IEのアドレス枠にftp://hoge:hoge@127.0.0.1/とか入れさせてアクセスする方法とか案内したからなぁ。IE7でも確か出来るはず。
その方法はセキュリティホール関係でつぶしてしまったんじゃなかったですかね~と思ってIE7で試してみたら本当にできてしまった! うげぇ!!
Windows XPスマートチューニング 特定アプリでユーザー名:パスワード形式のURLを許す [mycom.co.jp]からその件の部分を引用してみると
閑話休題。公開された 「Internet Explorer 用の累積的なセキュリティ修正プログラム(MS04-004)」 ですが、これを導入することで、URLに「http://user:password@hogehoge.com」というURL構文を使えなくなりました。もともと、Internet Explorer経由でベーシック認証へアクセスする際、先のURL構文でアクセスすることで認証ダイアログをバイパスすることが可能でした。このような手法を使うことは、数年前からリファラーが漏れる問題があることで非難されてきました。また、「 www.microsoft.com@hogehoge.com 」のような"成りすましURL"も、先の機能を使ったバグとしてセキュリティに敏感なユーザーの間では話題に上っていました。これらの問題を解決するのがMS04-004: 832894のセキュリティ修正プログラムです。
閑話休題。公開された 「Internet Explorer 用の累積的なセキュリティ修正プログラム(MS04-004)」 ですが、これを導入することで、URLに「http://user:password@hogehoge.com」というURL構文を使えなくなりました。もともと、Internet Explorer経由でベーシック認証へアクセスする際、先のURL構文でアクセスすることで認証ダイアログをバイパスすることが可能でした。
このような手法を使うことは、数年前からリファラーが漏れる問題があることで非難されてきました。また、「 www.microsoft.com@hogehoge.com 」のような"成りすましURL"も、先の機能を使ったバグとしてセキュリティに敏感なユーザーの間では話題に上っていました。これらの問題を解決するのがMS04-004: 832894のセキュリティ修正プログラムです。
という話でした。2004年の記事かぁ。
httpは制限したけどftpはできるよってことなのかな。まぁ、何にしても今ではあまり推奨できない方法ですね。
>httpは制限したけどftpはできるよってことなのかな。
ftpからダイレクトにどこかに飛んでリファラが見える事ってありましたっけ?
ユーザ名とパスワードをHTTPのURLに含められないように変更されたのは,フィッシング詐欺対策であって,Refererヘッダの問題が原因ではありません.Refererの問題ならば,ユーザ名とパスワードをRefererヘッダに含めないようにすれば良いだけです.
ちなみに,FTPでアクセスしたHTMLファイルからHTTPのURLへのリンクを辿った場合,Refererは出力されます.(Firefoxで確認)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
サポートをする立場としては標準で何かある方が望ましい (スコア:3, すばらしい洞察)
業務に用いる標準的なソフトウェアがある方がサポートを行う上で操作の誘導等を行い
やすいので、IEが標準で入っている事に問題はないかなぁ。
ユーザが使用したい事のかなりの割合がブラウザ経由での情報閲覧の筈なので、操作に
関してもマニュアルの用意等に関しても助かるし。
Linuxみたいにインストール時にパッケージの増減が出来たり、インターネットに接続出来る
環境ならば、Onlineでソフト追加出来る仕組みで選ばせるってのはアリなんだけど気分で
Chromeを入れた人の周りが全員Operaとかだと話も噛み合わないと思うんだよね。
標準を変える手段として、新品メーカPCの電源投入時にSelectableにするのは良いとして
(標準ブラウザの選択:hogehogeみたいな)バンドルすら禁止ってのは反対かなぁ。
FTPソフトもコマンドも分からないユーザに、IEのアドレス枠にftp://hoge:hoge@127.0.0.1/
とか入れさせてアクセスする方法とか案内したからなぁ。IE7でも確か出来るはず。
Re:サポートをする立場としては標準で何かある方が望ましい (スコア:1)
その方法はセキュリティホール関係でつぶしてしまったんじゃなかったですかね~と
思ってIE7で試してみたら本当にできてしまった! うげぇ!!
Windows XPスマートチューニング 特定アプリでユーザー名:パスワード形式のURLを許す [mycom.co.jp]から
その件の部分を引用してみると
という話でした。
2004年の記事かぁ。
httpは制限したけどftpはできるよってことなのかな。まぁ、何にしても今ではあまり推奨できない方法ですね。
Re: (スコア:0)
>httpは制限したけどftpはできるよってことなのかな。
ftpからダイレクトにどこかに飛んでリファラが見える事ってありましたっけ?
Re: (スコア:0)
ユーザ名とパスワードをHTTPのURLに含められないように変更されたのは,フィッシング詐欺対策であって,Refererヘッダの問題が原因ではありません.
Refererの問題ならば,ユーザ名とパスワードをRefererヘッダに含めないようにすれば良いだけです.
ちなみに,FTPでアクセスしたHTMLファイルからHTTPのURLへのリンクを辿った場合,Refererは出力されます.(Firefoxで確認)