• 每天30分钟玩转日语发音
• 免费试听
• 详细介绍
• 新版标准日本语初级（上册）（唐蕾版）
• 免费试听
• 详细介绍
• 大家的日语(1)
• 免费试听
• 详细介绍
• 大家说日语(1)
• 免费试听
• 详细介绍
• 日语发音+大家说日语1.2套餐
• 免费试听
• 详细介绍

　　6月11日以降，Internet Explorer（IE）やMozillaに見つかったセキュリティ？ホールがメーリング？リストなどに投稿されている。悪用されると，実際アクセスしているサイトとは異なるURLをアドレス？バーに表示させられる。IEの場合には，「インターネットゾーン」のページを，制限が緩い「イントラネット」ゾーンや「信頼済みサイト」ゾーンで解釈させられる恐れがある。オンライン詐欺である「フィッシング」に悪用される可能性が高いセキュリティ？ホールである。対策は，とにかく「怪しいリンクをクリックしない」「リンクで誘導されたWebページに，個人情報を安易に入力しない」ことに尽きる。

　　セキュリティベンダーであるデンマークSecuniaは，これらのセキュリティ？ホールに関する情報をWebページで公開している。同社の情報によると，IE 6やMozilla 1.xには，URLの取り扱いに問題がある。このため，例えば，リンクに含めたURLに細工を施せば，そのリンクをクリックしたユーザーのIEやMozillaのアドレス？バーに，実際アクセスしているページとは異なるURLをアドレス？バーに表示させられる。

　　具体的には，「http://[trusted_site]（ある文字列）[malicious_site]/」とすれば，アドレス？バーには「http://[trusted_site]（任意のスペース）[malicious_site]」のように表示させられる。このため，実際にアクセスしているのはmalicious_siteのページだが，trusted_siteのページにアクセスしているように見える。

　　しかもIEの場合には，単にアドレス？バーを偽装されるだけではなく，セキュリティ設定を回避される可能性がある。上述の例では，アクセスしているサイトがmalicious_siteであっても，trusted_siteのセキュリティ設定が適用されるからだ。具体的には， malicious_siteのページがインターネットゾーンのページであっても，trusted_siteをイントラネットゾーンやの信頼済みサイトゾーンに登録している場合には，イントラネットゾーンや信頼済みサイトゾーンのページとしてmalicious_siteのページが解釈されてしまう。

　　とはいえ，どのサイトでも今回のセキュリティ？ホールを悪用できるわけではない。上記の例では，malicious_siteのドメインがwildcard DNSをサポートしていて，なおかつ不適切な「Host」ヘッダーを受け入れる場合のみ，悪用が可能であるという。

　　アドレス？バーなどを偽装するセキュリティ？ホールは次々と見つかっている。このため，ベンダーの修正パッチが追いついていないのが現状だ。今後も同様のセキュリティ？ホールは見つかるだろう。ユーザーとしては，怪しいリンクをクリックしないことはもちろん，アドレス？バーなどの「見た目」を過信しないことが重要だ。Secuniaでは，対策として「信頼できないWebページやメールのリンクはクリックしない」「アドレス？バーのURLは手で入力する」ことを挙げている。IEについては，「すべてのゾーンでセキュリティ？レベルを「高」にする」ことも挙げているが，Secunia自身が「This will impair functionality on many web sites」と書いているように，あまり現実的ではないだろう。

　　译文对照：

　　6月11日以后，邮件列表等媒体相继刊出了Internet Explorer（IE）与Mozilla发现安全漏洞的消息。如果恶意利用这些漏洞，就会在地址栏中显示与实际访问网站不符的URL.如果使用IE，可能会用限制较低的“Intranet”区域与“受信任的站点”区域来解释“互联网区域”的网页。这些漏洞都是极有可能被在线欺诈“phishing”恶意利用的安全漏洞。对策是尽量“不要点击可疑的链接”、“在被链接所引诱到的Web网页，不要轻易输入个人信息”。

　　安全产品开发商丹麦Secunia在Web网页上公开了有关这些安全漏洞的信息。据该公司的资料称，IE 6与Mozilla 1.x中都存在URL的处理问题。因此，只要对包含在链接中的URL做过手脚，用户点击这一链接后，IE与Mozilla地址栏中就会显示出与实际访问的网页不同的URL.

　　具体而言，如果是“http://[trusted_site]（某字符串）[malicious_site]/”，会在地址栏中显示“http： //[trusted_site]（任意空格）[malicious_site]”。因此，实际上访问的是malicious_site网页，但看起来访问的却是trusted_site网页。

　　而且在使用IE时，不仅只是伪装地址栏，还可能绕开安全设置，如在上述例子中，即使访问的站点是malicious_site，也会应用 trusted_site的安全设置。具体来说就是，即使malicious_site网页是互联网区域的网页，在trusted_site添加在 Intranet区域与受信任的站点区域的情况下，也可以把malicious_site网页解释为Intranet区域与受信任的站点区域的网页。

　　虽说这样，并非任何网站都能恶意利用此次的安全漏洞。在上述例子中，只有malicious_site的域名支持wildcard DNS，并且可以接受不恰当的“Host”报头时，才有可能被恶意利用。

　　由于不断发现伪装地址栏等的安全漏洞，因此目前各厂商还来不及增加修正补丁，而且今后可能还会发现同样的安全漏洞。作为用户来说，不要点击可疑的链接自不用说，不要过于相信在地址栏等中的“所见”也是非常重要的。Secunia提出的对策是“不要点击不可靠的Web网页与邮件链接”、“自己在地址栏中输入URL”等。对于IE，还提出“所有区域均把安全水平设为‘高’”，但Secunia自己就注有“This will impair functionality on many web sites”的字样，因此恐怕不太现实。