CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね の対策
hoshikuzu | star_dust の書斎#P20060428MHTMLREDIRECT
で指摘されているように、現在の WinIE では mhtml スキームを悪用して、クロスドメインの html を取得することが可能になってしまっています。これを利用したはまちちゃんの実証コードを踏んだ人も居るでしょう(実際に WinIE だと情報が抜かれるので、安易に WinIE で見に行かないで下さい)。
この対策として id:hosikuzu:20060428#P20060428MHTMLREDIRECT では以下のような対策方法が提示されています。
- そもそも信頼できないページを見ない
- IE使わない
- アクティブスクリプトとAxtiveXを切る
- レジストリでmhtmlスキームのハンドラを殺す
この中で一番簡単かつ安心なのは WinIE を使わないことですが、IE コンポーネントブラウザなどを使っており IE Love! な人は使うのを辞めるのはちょっと辛いですよね。
ここでは一番下のレジストリで mhtml スキームのハンドラを殺す方法をご紹介。mhtml なんてつかわねーよ!って云う人はレジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\mhtml
を削除すれば良いでしょう。
Windows Registry Editor Version 5.00 [-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\mhtml]
な .reg ファイルを作って実行するのも良いでしょう。それもめんどくさい人は http://rails2u.com/misc/mhtml_del.reg を落として実行しても良いかもしれません。実行は自己責任でお願いします。
追記
削除ではなくてデータの先頭に『!』をつける方法もあります。この方法の方が元に戻しやすいので良いと思います(コメント欄参照)