IE9のUIとhttpsの小さな不整合
IE9のUIで気になることがあり、歯切れの悪い記事を書きます。
アドレスバーと検索欄を統合したせいで、httpsのURLなのにパス以降が漏れちゃう場合がある、という話です。
小さな懸念
IE9の新機能の一つとして「アドレス バーでの検索」( http://windows.microsoft.com/ja-JP/internet-explorer/help/ie-9/whats-new-in-internet-explorer-9#section_6 )があります。
これは、
アドレス バーに検索の候補を表示するオプションもありますが、入力した内容を検索プロバイダーに公開したくない場合もあるため、既定では無効になっています。と説明されている通り、オプトインで検索候補を表示するように設定すると、意図しない情報漏洩の懸念があるわけです。
具体的に言うと、ユーザが「URLを入力したつもり」の場合でも入力内容が送出されるのが問題です。(「検索語を入力したつもり」の場合は入力終了後に送出される前提なので問題にならないでしょう。)
問題無い?
「URLぐらい漏れてもいいじゃん」という見解もあるかもしれませんが、たとえばhttpsのURLの場合に嫌な感じなのですよ。本来SSLでは次のことが約束されるはずなのです。*1 *2
- 経路上でURLのパス以降が秘匿される
- サイト外にリファラを送出しない