インターネットのコンテンツを取り扱う製品においてセキュリティゾーンの考慮が欠けているという問題が指摘されている。
これはInternet Explorerの欠陥と言うよりもそれらアプリケーションにおける実装上の問題なのだが、セキュリティゾーンによる制御の限界を露呈したという事も言え、考えさせられる事は多い。
問題の内容は![[External]](/~yano/parts/extlink.png)
ユミルリンクのリリースがわかりやすい。
インターネット上の Web コンテンツは、[ローカルコンピュータ]ゾーンにある Web コンテンツより高いセキュリティレベルである[インターネット]ゾーンで表示されますが、「紙copi」「紙2001」で取り込んだWebコンテンツは、常に[ローカルコンピュータ]ゾーンで表示されます。さらに踏み込んで、下記のように具体的な内容まで書いている。
WebページからHTMLファイル形式もしくはMHTファイル形式で取り込む場合、取り込みHTMLのヘッダ部分に「Webのマーク」("saved from url")コメントを追加します。多くの人には「何これ?」かもしれないが、HTMLのソースを弄った事がある人には受け入れやすい、非常に好感が持てる対応だ。
この処理によって、取り込んだHTMLファイルは[ローカルコンピュータ]ゾーンではなく[インターネット]ゾーンにおいて表示されます。
以上の情報を総括すると、Webオートパイロット等、Webコンテンツをローカルに引き込むソフトには同じような盲点が隠されているかもしれないという事を遠まわしに表わしている。
極端に言うとfirefoxで保存したWebページをInternet Explorerで開くのも注意が必要だという事であり、ひいてはセキュリティゾーンによる制御の限界と思われるところだ。
【参照】
●ITmedia http://www.itmedia.co.jp/
┗IEコンポーネント採用の国産アプリに脆弱性、セキュリティゾーンの実装に問題 2005年7月12日
●日経IT Pro http://itpro.nikkeibp.co.jp/
┗IEのコンポーネントを使うアプリケーションにセキュリティ・ホール 2005年7月12日
●JP Vendor Status Notes http://jvn.jp/
┗JVN#257C6F28:Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性 2005年7月12日
●ユミルリンク株式会社 http://www.kamilabo.jp/
┗「紙copi」「紙2001」の表示で利用するMicrosoft Internet Explorer コンポーネントにおけるセキュリティゾーンの扱いに関する脆弱性 2005年7月12日
