公式については以下。
今回の対応はあくまでバックポート。
v1.6.17 Professional で適用されたセキュリティ関連の修正。
サイトの末尾に書いてある通り、BugFix 以外は v1.6 Free から変更はないとのこと。
内容としては2つ。
・プロキシはデフォルト通信で、任意のProxy-* ヘッダーを受信してます。
で、ブラウザは時々プロキシサーバーに対する情報をリクエストヘッダーに付けて送信してます。
悪意あるWeb サイトは、このヘッダーに含まれる機密情報を送信するよう誘導できる攻撃手法が存在しているらしい。
・クロスドメインリダイレクト時の Bug を修正。
リダイレクト時に基のリクエストの Cookie を送信するようにしました。
でも、状況次第では信頼できないドメインにクッキー情報が送信されるリスクがあるよ。
1つ目の内容については、つまり Proxy-* ヘッダーは送信されないようになった?
ということだろうか??
0 件のコメント:
コメントを投稿