■URL
http://www.shout.net/~nothing/cache-cow/
Netscape Communications社は、NavigatorおよびCommunicatorにJavaScript関連のバグが存在することを認めた。OSを問わず、JavaScriptが動く全てのバージョンに影響がある。なお、Internet Explorerへの影響はない。
NavigatorおよびCommunicatorでは、Lacationバーに「about:cache」とすることで自分が過去に訪れたサイトのリストが参照できる。今回のバグはこれを逆手にとったもので、JavaScriptとCGIを組み合わせてユーザーのキャッシュに蓄積されたURLを盗み読めるというもの。Communicatorに付属するメールソフトMessengerを利用している場合、送られてきたメールを読んだだけでスクリプトが実行され、訪問履歴が読まれてしまう可能性もある。
バグを発見したDan Brumleve氏のサイトには、実際にこのバグがどんな風にして悪用されるかについてのデモが掲載されている。
このバグについて、自分が訪れたサイトのURLが読まれてしまう程度なので、特にプライバシーを気にしなければ対処する必要がないと考えるのは間違い。URL中にパスワードやクレジットカードの番号を入れてユーザーを管理・識別するというサイトもあり、この場合には金銭的な被害を被ることも考えられる。
対策としては、JavaScriptをオフにするか、キャッシュの容量を0に設定するかのいずれかの方法が考えられるが、どちらもあまり現実的ではない。Netscapeでは、近日中にリビジョンアップしたバージョン4.07をリリースし、これに対応する見込み。
('98/9/29)
[Reported by yuno@impress.co.jp / tatekawa@planet.club.or.jp]