6月末に報道された、フレーム詐称問題に関する記事がbiac の それさえもおそらくは幸せな日々の[IE] マスコミが報道しない、 「フレーム詐称問題」 の対処法に出ています。フレーム詐称問題というのは要は、信頼できると思われるサイトのフレームの中に偽のコンテンツを差し込むことが出来るという、いわゆる、フィッシングに使えると思われるセキュリティ問題です。
本件に関する、問題はマスメディアがSecuniaが発表したセキュリティ情報を流したのはいいがそのフォローをしなかったために、Secuniaが見逃した情報などがすっぽりと抜け落ちたことです。
これは、どういうことかというと、この問題は単純に言えばHTMLの仕様上の穴で、かつ、それをセキュリティを考慮せずに実装した場合に発生するミスです。で、SecusiaはMicrosoftがMS98-020を修正したときに修正したことはご存知でしたが、その内容を失念していたために 「Internet Explorer 5 には自動的に [高] のセキュリティ レベルで、 "Frame Spoof" の欠陥に対する保護が含まれます。 」という注意書きを見落としていたわけです。
単純に言うと、他のドメインからフレームの中身のコンテンツをいじれなくすると、実際には問題の出るサイト(恐らく、2chとかはそうでしょう)が存在するために、Internet Explorer 5.xではこのFrame Spoofを排除する設定はデフォルトでオフになっています。要するに、セキュリティを重視する設定にするにはこいつをオンにすればいいわけです。
こういった、バックグラウンドをきれいさっぱり忘れていたために、
Solution:
Do not visit or follow links from untrusted websites.
Use another browser.
などという、間抜けな解決策を出してしまったわけです。 結果的に、他のブラウザにも同様の問題が出たため、他のブラウザを使えというのは、意味のないアドバイスになり、新しいアドバイザリではその話は消えています。
コメントする