この日記はMozillaのプロダクトへの貢献者としての私の成果を中心に、気になったバグやWeb界隈の話題について書いていますが、 断り書きがある場合を除き、いかなる団体のオフィシャルな見解ではありません。あくまでも個人的なものです。 Mozilla Foundation、Mozilla Corporation、及び関連企業の公式情報ではないことに注意してください。

現在、XHTML 1.0 (もどき)から、HTML5なコンテンツに修正中です。古い日記は修正が完了していませんので表示が崩れます。 順次、修正していく予定ですのでしばらくお待ちください。

もずはっく日記(2005年3月)

2005年3月31日

Bug 4279 IDNを含むURL表示のセキュリティ問題(U+2215を含むドメイン名)
初回投稿日時: 2005年03月31日18時43分59秒
最終更新日時: 2005年04月01日06時36分32秒
カテゴリ: Firefox Opera Suite
SNS: (list)

Mozillaの全製品でIDNに対する対応が完了したので公開した。

以前、Operaのやり方ではまずいと言っていたのはこの問題があるため。(ただし、実際に検証できる環境が無いため、Operaでの実証実験は行っていない。)

この問題はslashによく似た、division slash(U+2215: ∕)を利用することで、サブドメインを通常のドメインのように見せかけて偽装するというもの。これは、サブドメインで行われるため、本来のTLDのレジストリがいかに信頼できるものであっても、偽装することが可能だ。例えば、以下のようなURIを生成すると、偽装できる。

http://www.nisemono.com∕subdomanin.honmono.jp/

左から三つ目のslashのような文字がdivision slashである。つまり、このURI自体、ドメイン(www.nisemono.com∕subdomanin.honmono.jp)のルートを表している。

この例では、サブドメインが、まだ短いため、偽物のドメインのすぐ後に本物のドメインが続いているので、気づき易いかもしれないが、サブドメインで更にdivision slashを多用して、偽のディレクトリ構造まで見せかけて、URI全体を長くするとより効果的だろう。(つまり、ブラウザのURLを表示する部分から本物のドメインがはみ出ていれば、良い。)

Opera社には、β2の時に報告しているが、何の返答も無いし、β3での修正点としてもアナウンスされていないので、まだ対応できていないと思われる。

関連するかもしれないエントリ

bug 4279を含むエントリ

このエントリへのリンク元