A Day in the Life

CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね の対策

hoshikuzu | star_dust の書斎#P20060428MHTMLREDIRECT
で指摘されているように、現在の WinIE では mhtml スキームを悪用して、クロスドメインの html を取得することが可能になってしまっています。これを利用したはまちちゃんの実証コードを踏んだ人も居るでしょう(実際に WinIE だと情報が抜かれるので、安易に WinIE で見に行かないで下さい)。
この対策として id:hosikuzu:20060428#P20060428MHTMLREDIRECT では以下のような対策方法が提示されています。

  • そもそも信頼できないページを見ない
  • IE使わない
  • アクティブスクリプトとAxtiveXを切る
  • レジストリでmhtmlスキームのハンドラを殺す

この中で一番簡単かつ安心なのは WinIE を使わないことですが、IE コンポーネントブラウザなどを使っており IE Love! な人は使うのを辞めるのはちょっと辛いですよね。
ここでは一番下のレジストリで mhtml スキームのハンドラを殺す方法をご紹介。mhtml なんてつかわねーよ!って云う人はレジストリの

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\mhtml

を削除すれば良いでしょう。

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\mhtml]

な .reg ファイルを作って実行するのも良いでしょう。それもめんどくさい人は http://rails2u.com/misc/mhtml_del.reg を落として実行しても良いかもしれません。実行は自己責任でお願いします。

追記

削除ではなくてデータの先頭に『!』をつける方法もあります。この方法の方が元に戻しやすいので良いと思います(コメント欄参照)

記事の一覧 >