記事本文
mixi 足あとちょうと .htaccess を組み合わせる
あー、言われてみれば確かに、という感じ。 実際に .htaccess でこっそり他ページに飛ばして何かをするっていうのは、はまちや2さん ( ぼくはまちちゃん! ) 以外の方でも誰かがやっているでしょう。 ( それ単体では脆弱性の類ではなく HTTP の仕組みを利用しているだけでしょうし。 後はモラルの問題かな ? )
mixi の情報を常に持ち歩いていると、うっかり見られたり盗まれたり落としたりするという話のような事例と .htaccess によるリダイレクトを組み合わせたら性質が悪いのは間違いありませんが。
どういう挙動になるのか
……と文章で書いても ( 私が ) ピンと来ませんから、サンプルを作ってみました。 私がぱっと思いついた手段で、 http://mixi.jp/ へのリダイレクトをそれぞれ仕込んでいますので、パケットキャプチャができる環境の方はよくチェックしてみてください。 もしくは LiveHTTPHeaders や ieHTTPHeaders で HTTP ヘッダをチェックしてみるとか。
サンプルがどういったものかというと、
Redirect 302 /temp/20060207/spacer.gif http://mixi.jp/
という .htaccess をサンプルページのディレクトリにかませています。
仮に mixi に参加している人がログイン状態で各種テストページにアクセスしても、自分のページもしくはログイン画面へのリクエストを行うだけなので誰のところにも足あとは残りません。
mixi のトップページを作っている人のモラル、および私の発言に嘘が無いと信じられる方はログイン状態のままで。
心配な人は、ログアウトしてから次の各種テストページをご覧ください。
もしもテストすること自体が心配な場合は、私がテストした際の各種ページの HTTP ヘッダのキャプチャの方を見ていただいて、 http://mixi.jp/ にアクセスしている痕跡があることを確認していただければ結構です。
- body 要素の background 属性で spacer.gif を読み込み
- 外部 CSS で spacer.gif を読み込み
- img 要素で spacer.gif を読み込み
- style 属性で spacer.gif を読み込み
- style 要素で spacer.gif を読み込み
どういった対策をすれば良いのか
対策としてはブラウザを使い分けるのが一番有効でしょうか。 以前から何度も言っていることですが。
http://proxo.hp.infoseek.co.jp/cgi-bin/sn_uploader/src/pr0007.txt ( from Proxomitron専用Uploader ) という Proxomitron-J 用のフィルタが公開されていますので、 Proxomitron-J をお使いの方は試してみてはいかがでしょうか。
.htaccess と組み合わせてまで足あとを集める輩がいるのか、と言われると「必ずいるはずだ」とは断定できません。 しかし、仮にいたとしたら、 mixi を見るブラウザとそれ以外のサイトを見るブラウザを同一にしていたら、防ぐことはかなり難しいでしょう。 mixi の情報を常に持ち歩いていると、うっかり見られたり盗まれたり落としたりするという話の繰り返しになりますが、 mixi というある程度閉じられた世界の情報を常に携行する必要は無いのです。
