Mac用ブラウザにおけるURL偽装攻撃の検証
セキュリティホールmemoさんのところでOS8・9用IEの検証をされているのですが、OS X向けの検証をされていなかったので独自に検証してみました。
○…正常・×…脆弱性あり
- Safari 1.1(Panther向けv100.1)
- アドレスバー→○
- ステータスバー→○
- プロパティ→機能なし
- ※プロパティ同等機能はないが[ウインドウ]→[構成ファイル一覧]で確認出来るURLは○
- OmniWeb 4.5(v496)
- アドレスバー→○
- ステータスバー→○
- プロパティ→機能なし
- ※これもプロパティ同等機能はないが[Tools]→[Show Info]で確認できるURLは○
- iCab 2.9.7(OS X)
- アドレスバー→○
- ステータスバー→○
- プロパティ→機能なし
- ※上記2つのブラウザにあったプロパティ同等機能がまったくないが、アドレスバー・onmouseした時のステータスバー表示共に「@」以前の不正文字列が全く表示されずちゃんと本来のURLを表示している(!)。今まで単なるしょぼいブラウザとしか思えなかったiCabに対する見方が変わりました!
かと言って iCab 常用する気にはならないなぁ(笑)