昨年から問題になっていたURL詐称(スプーフィング)に対処する修正プログラムがやっとリリースされた。但し、これで先の不具合が改修されるわけではなく、ユーザー名とパスワードをURLの中に含めることができなくする事によって暫定的に危険を回避するだけのものである。
一方でこの仕様変更によってアクセスに影響を受けるWebサイトが少なくないかもしれないので、社内システムのUIにブラウザを使っている場合はかなり注意が必要だ。詳細は![[External]](/~yano/parts/extlink.png)
マイクロソフト サポート技術情報 - 834489を参照。
2ヶ月近くを経ても改修できなかったのねんという残念感もあるが、取り敢えずは危険を回避する手段を提供したマイクロソフトのスタンスは評価したい。…のだが、この修正プログラムを適用すると認証ダイアログボックスで「パスワードを保存する」を選択しても保存されない場合がある、という問題も報告されており、やっぱりなんだかなぁという感じだ。
ちなみにトラブル・メンテナンス速報によると
この現象が発生した場合、以下の手順でユーザー名とパスワードを表示させることが出来る場合があります。という事だ。
1) 一旦、全ての Internet Explorer の画面を閉じる
2) Internet Explorer を起動する(どのページを表示していてもかまいません)
3) もう一つ、別に Internet Explorer を起動する
4) 2番目に起動した Internet Explorer で、ユーザー名とパスワードの入力を行うダイアログボックスを再度表示する
【参照】
●ITmedia http://www.itmedia.co.jp/
┣クローン携帯をめぐる、"真偽"の判断 2004年2月3日
┣MS、IE緊急パッチの「副作用」に注意呼びかけ 2004年2月4日
┣MS、IEの脆弱性に対応の臨時パッチ 2004年2月3日
┗IE用の新パッチ発行で電子商取引に混乱の可能性も 2004年2月2日
●TechNetセキュリティセンター http://www.microsoft.com/japan/technet/security/
┣MS04-004 - Internet Explorer 用の累積的なセキュリティ修正プログラム (832894) 【緊急】
┗Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するソフトウェア アップデートのリリースについて http://support.microsoft.com/?id=834489
