ASP.NETでＩＥのツールバーの制御について

Jittaさんの書き込み (2006-04-11 06:03) より:
　この先、アドレスバーとステータスバーは“消せない仕様”になっていくと思います。
　例えば、IE7 の場合、window.open の引数でアドレスバーを消しても、標準とは違った形のアドレスバーが表示されます。タブブラウザの場合、どんなに制御コードを書いても、大元のウインドウまで制御できるわけではありません。
（ツールバーとありますが、メニューやアドレスを含まない、本当のツールバーのみなのでしょうか？）

　この辺を、サーバー（or スクリプト）から完全に制御できる場合に考えられるシナリオ。

　ヨシオさんはいつも、四菱銀行を使っています。今日も、会社から給与が振り込まれているか確認するために、サイトにアクセスしました。四菱銀行のサイトにログインすると、「パスワードが長期間変更されていません。こちらのリンクから、パスワードを変更してください。」というメッセージがありました。確かに、長い間変更していないので、そのリンクをクリックし、変更することにしました。
　リンクをクリックすると、ステータスバーやアドレスバーのない画面が表示されました。そこに、「現在のパスワード」と、「新しいパスワード」を入力する画面がありました。それらを入力して確定すると、「変更を承りました。変更には約３０分かかります。その間、ログインできないことがあるかもしれません。」という表示がされました。「ふ〜ん、そうなんだ」と思いながら、３０分後、再びログインしました。
　ところが、新しいパスワードでログインできません。試しに、古いパスワードを使用してみると、ログインできました。まだパスワードが変更されていないのでしょうか。
　しかし、残高を見たヨシオさんは、真っ青になりました。ほんの数分前に、預金が全額、引き出されていたのです。
　「パスワードを変更してください」というのは、なりすましサイトへの入り口で、アドレスバーやステータスバーが表示されていないために、それがわからなかったのでした。

よくよく考えると、「サイト書き換え」という、関知されやすいことをやっているなぁ。。。

「セキュリティ強化の一環として、パスワードの暗号化ロジックを変更しました。申し訳ございませんが、強化されたセキュリティを有効にするため、以下のサイトからパスワードの変更をしてください」と書かれた、リンク入りのメールが送られてきた、、、の方がいいかな？

-----

いま、Writing Secure Code という本を読んでいるのですが、その２章に、こんな言葉がありましたので、紹介しておきます。

「ある人にとっては“機能”でも、他の人には“攻撃可能点（エクスプロイト）”かもしれない」

[ メッセージ編集済み 編集者: Jitta 編集日時 2006-04-11 22:11 ]