Firefox web browser - Faster, more secure & customizable |
Firefoxにはあやしいと考えられるURLが入力された場合、ユーザにその旨を通知して本当にそのサイトを訪れるかどうか確認する機能が用意されている。許可を出すと、以降はそのサイトにアクセスする際には警告は表示されなくなるが、許可を出さなければ常に警告が表示される。
この警告機能をバイパスする方法があるとBug 570658 – Username-in-URL obfuscation warning isn't shown for iframe loadsで指摘されている。iframe経由で利用されると警告ダイアログが表示されずにあやしいURLが利用できてしまうというものだ。問題そのものはAditya K Sood氏によって発見されたもので、同氏はVideo: Mozilla Firefox - URl Obfuscation in Frames/Iframesに掲載した動画で警告ダイアログの表示を回避しているところを紹介している。
あやしいURLを入力すると警告ダイアログが表示される - Obfuscated URLs within iframes / Mozilla Security Blogに掲載されているURLを使用した例 |
この問題に対するMozillaの対応がObfuscated URLs within iframes at Mozilla Security Blogで発表された。結果からいえば、この問題それ自体はもともとかなりリスクレベルの低いものであり、今のところ対処をする計画はない、というものだ。
この方法を使ってなんらかの悪意ある行為を実現するということは、ユーザがそのURLを見て混乱するかどうか、というところに依っている。iframeでこうしたURLを使うとなると、ユーザがそのページのHTMLを閲覧して、対象となるURLを見て混乱する必要があるわけだが、ほとんどのユーザはページのHTMLを見たりはしないため、そもそも危険性が低いというわけだ。
Firefoxはすでに詐欺サイト検出やマルウェアサイト検出の機能を内包しており、ユーザが危険なサイトを訪れようとした場合に警告するようになっている。この機能があるおかげで、すでにここで指摘されているような回避があったとしても問題にならないと説明がある。