Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information (Secunia やまがたさんとこ経由)

セキュリティ

XMLHttpRequestで、

  1. 自サイト上のファイル見に行く
  2. Locationヘッダでmhtml:http://〜を指定して、もいっかい自サイト上のファイル見に行く
  3. Locationヘッダで外部サイトを指定

で取りにいけるっぽい。Less criticalなんすねー。自分でもサンプル作ってみたけどカンタンっぽい。

はまちちゃんがさっそく出回ってますが、さっくりプロフィールの編集画面とか抜かれるので人柱が嫌いな人は行かないほうが無難ですにぇ(人柱するにも、HTTPリクエスト一通り眺めながら何されるか確認しといたほうがいいですにぇ。)。