IE6 on WindowsXPsp2 スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけない
信用してはいけないこと、Microsoft社の正式な見解として仕様です。脆弱性ではありません。
上記サンプルでは、リンクでポップアップするサブウィンドウのタイトルバーにおいてGoogleのサイトのURLが表示されていますが、これは正しいドメインと一致していません。
この事実は、当日記にリンクして頂いた某ページに記載のあったもので、私からIPAに届け、脆弱性ではないとのMicrosoft社からの回答があり、IPAとして取り扱い終了となったものです。なお、同様の報告が他にもあったようです。IE6では修正の予定がありません。
IE6 on WindowsXPsp2 で、スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL強制表示が、XPsp2で追加されたセキュリティ対策であろうと考えることは出来ません。実際に、Microsoft社のサイトにおいて、その旨は、ひとことも出ていません。
やはり、ウィンドウがどこのコンテンツを表示しているのかを確認するためにはアドレスバー以外には有効な方法はないのだと覚悟しておくべきです。SSL併用ならもっと良いけれど、そもそもsubwindowで大事な情報入れることもしないほうが。
当日記における関連記事