- JP Vendor Status Notes : JVN#15243167 携帯電話の Web ブラウザにおける referer ヘッダの扱いに関する問題
http://jvn.jp/jp/JVN%2315243167/ - KDDI au: トピックス一覧 > トピックス : au携帯電話、TU-KA携帯電話におけるEZwebブラウザのホームページURLの送出について
http://www.au.kddi.com/news/topics/au_topics_index20051209.html
au の携帯電話に搭載しているOpenwave Systems 社製Web ブラウザで、意図しないタイミングでreferer が送信されてしまう不具合があったようです。
RFC2616 に記載の仕様と異なる、ということらしいのだけど、再現条件がよく分からないなぁ。
- ハイパーテキスト転送プロトコル -- HTTP/1.1
http://www.studyinghttp.net/cgi-bin/rfc.cgi?2616#Sec14.36
該当機種に挙げられているW31S を用いて「ホームページURLが送出される特定の操作」 の通りに再現テストをやってみたのですが、特に問題はないような? やってみた手順は、「お気に入りリスト」(W31S の場合) からalectrope のトップページを表示、その後[ブラウザメニュー] - [更新] 、という手順では再現できず。
そもそも、お気に入りから飛んだ場合はreferer は空なんじゃないか(IE のお気に入りから飛んだ時と同じ挙動) と思うわけですが、それとも何か入ってるのかなぁ。
au のサイトで該当機種の一覧がありますので、該当してる場合で、ちょっと気になるヒトはソフトウェアの改修して貰ってもいいかも。作業時間は大体30分~1時間、場合によってはもうちょっとかかるようですので、時間の余裕のある時にでも。
(2005/12/10 00:48 追記)
- KDDI、リファラ漏洩が発生する端末の改修を実施
http://k-tai.impress.co.jp/cda/article/news_toppage/26929.html
(2005/12/11 00:06 追記)
昨晩はEZweb で障害が発生していたらしく、検証できなかったので改めて再検証したところ、確かに関係ないページのURL がreferer として送信されてますね。
再現の手順説明は上のインプレスの記事通りなんだけど、もう少し細かく書くと、まずどんなページ("ページA") でも良いので表示させた後、[ブラウザメニュー] - [お気に入りリスト] を表示、お気に入り内の任意のページ("ページB") を選択、表示させる。この段階では"ページB" のサーバにはreferer は空の状態で送信されています。このあと、[ブラウザメニュー] - [ページ更新] を行うと、"ページB" のサーバには"ページA" がreferer として送信されています。両者は全く無関係なページなのに、まるで"ページA" 内に"ページB" へのリンクがあり、そこをクリックして表示させたようになるわけです。
理屈の上ではこれを悪用(?) するとURL を確認することのできない、任意のページのURL をreferer を介して取得することができるわけですが、少なくともこの方法ではEZトップメニューのURL を取得することは出来なかったです(空になっていた)。
セキュリティリスクとしてはあんまり大きくないんかなぁ。どうなんだろ。
EZweb のIP アドレスは取得毎に動的に変わるし、UA から使っている機種名は推察できるけど、そこから個人に紐付けることは(au 以外には) 多分不可能だし、さほど神経質になることもないか…。ただ、「パスワード認証とかは導入せず、URL を秘密にすることで利用者制限をしている(つもり) のサイトのアドレス」 がうっかり漏れてしまって第三者にアクセスされる可能性はあるかもね。まぁそれはそういうポリシーで運営していること自体が間違っているわけだし。
利用者側でできる対策はソフトウェアの改修をしてもらうしかないね。時間があったらやってもらおうっと。