マイクロソフトは9月30日,Internet Explorer(IE)を使って,ベーシック認証を施しているWebサイトにユーザーID/パスワードを含めたURLでアクセスすると,認証に失敗する場合があることを明らかにした。現時点では,同社はこの問題を調査中。なお,2004年2月に公開されたIEのパッチ,あるいはそれ以降に公開されたIEの累積パッチを適用していれば,ユーザーID/パスワードを含めたURLは無効になっているので,この問題の影響を受けない(関連記事)。
今回の問題は,ユーザーID/パスワードを含めたURL(http (s)://username:password@server/resource.ext)を使えるIEでのみ発生する。つまり,2004年2月に公開された「Internet Explorer 用の累積的なセキュリティ修正プログラム(MS04-004)」以降のIEのパッチを適用していない環境だけが影響を受ける。「MS04-004」あるいはそれ以降のIEのパッチを適用している場合には,ユーザーID/パスワードを含めたURLでアクセスしようとすると,タイトル・バーに「無効な構文エラー」と表示され,「ページを表示できません」というエラー・ページが表示される。
なお,「MS04-004」でユーザーID/パスワードを含めたURLを無効にしたのは,IEのアドレス・バーやステータス・バーなどに表示されるURLの偽装を防ぐためである(関連記事)。
ユーザーID/パスワードを含めたURLを使えるIEでは,以下の操作をしたときに,今回の問題が発生する。まず,ユーザーID/パスワードを含めたURL(http (s)://username1:password1@server/resource.ext)で,ベーシック認証のサイトにアクセスする。その後,別のユーザーID/パスワードを含めたURL(http (s)://username2:password2@server/resource.ext)で,同じサイトのページにアクセスすると,認証ダイアログが表示される。この認証ダイアログには,正しいユーザーID/パスワードを入力しても認証は通らず,認証ダイアログが表示され続ける。
同社では,この問題を「IEの問題」と認識し,調査している最中である。現時点では,修正パッチや回避策は公開されていない。詳細が分かり次第,このサポート技術情報を更新する予定。
なお,このサポート技術情報は日本法人のマイクロソフトが独自に作成したものである。米Microsoftが作成した技術情報を翻訳したものではない。このため,このサポート技術情報の英語版は現在のところ存在しない。
◎参考資料
◆マイクロソフト サポート技術情報 - 887022 [IE] 基本認証サイトへURL にユーザーID とパスワードを含めて接続した場合の動作について
◆マイクロソフト サポート技術情報 - 834489 Internet Explorer で HTTP URL と HTTPS URL のユーザー情報を処理する際のデフォルトの動作を変更するセキュリティ更新プログラムの使用について
(勝村 幸博=IT Pro)
