|
|
|
 |
|
第102回:HTTP_REFERER とは
|
|
|
 |
大和 哲
1968年生まれ東京都出身。88年8月、Oh!X(日本ソフトバンク)にて「我ら電脳遊戯民」を執筆。以来、パソコン誌にて初歩のプログラミング、HTML、CGI、インターネットプロトコルなどの解説記事、インターネット関連のQ&A、ゲーム分析記事などを書く。兼業テクニカルライター。ホームページはこちら。
(イラスト : 高橋哲史) |
|
Webひとつ表示するにもさまざまな情報が
「HTTP_REFERER(Referer情報)」は、インターネット上でWebサーバーとWebブラウザがやりとりするHTTP要求ヘッダ情報のひとつです。携帯電話に搭載されているブラウザ機能も、これと同様にWebサーバーと「HTTP」という手順で通信を行ないます。
このとき、ブラウザはサーバーに、サーバーはブラウザに、データ本体だけでなくいろいろな情報をやりとりすることで、互いの素性を明らかにします。というのも、インターネット上ではさまざまな機能をもった(あるいは持っていない)ブラウザやサーバーがあるため、互いに相手が利用できるデータを知って、それに合わせてやりとりしてないと相手がデータを利用できないためです。
例えば、
[ブラウザからサーバーへ]
・ブラウザの名前(KDDI-TS21 UP.Browser/6.0.2.273(GUI)MMP/1.1 など)
・受け入れできるデータの種類(XMLデータやbmp画像データが可能、言語は日本語など)
・どのような仕組みでデータを受け取ることができるか(Keep-Aliveなど)
・以前このサイトを訪れて、Cookie情報を受け取ったことがあるか(Cookie情報)
[サーバーからブラウザへ]
・サーバーソフトの名前(Apache 2.0.39である、など)
・どんなデータを送るのか(HTMLテキストか、JPEGデータか、など)
・データの大きさ(1034バイトである、など)
というように、ブラウザとサーバーは情報をやりとりします。
また、このように通信に必要な情報のほかにも、ユーザーやコンテンツ提供者、サーバーの管理者が便利になるようなデータもやりとりします。例えば、携帯電話の場合、カラー端末かどうか? というような情報もやりとりします。今回のHTTP_REFERER(Referer情報)も、そんな情報のひとつです。
Referer情報の特徴
Referer情報は、Webを表示しているブラウザが、このページを表示する直前にアクセスしていたWebページのURLを示すデータです。ただし、どんな時でも直前に表示したURL情報をブラウザが渡すわけではなく、ブラウザが“他のページからのリンクをたどって”そのページを利用した場合にだけ、ブラウザからサーバーに情報が渡されます。(ブラウザによっては、ブックマークを利用した場合に「ブックマークを利用した」ということを示すデータが渡されることもあります。)
これは、Webサイトの管理者がどこからリンクされているのかなどを知りたい時に役立つ便利な情報です。HTTPの仕様として必須のものではなく、すべてのブラウザで対応しているわけではありませんが、便利な機能であるため、多くのブラウザではこの情報を扱えるようになっています。
iモード端末などでは、Referer情報をやりとりする機能はありませんが、WAP2.0対応のau端末では、サーバーとの間でこのHTTP_REFERER情報をやりとりするようになっています。ユーザーがURLを入力したり、メールに記載されたURLにアクセスした場合など、リンクをたどっていない場合は、セキュリティ上の問題が起きてしまうため、本来は渡されないものですが、しかし先日、auのGPS搭載端末6機種(C3001H/C3003P/C5001T/A3011SA/A3012CA/A3013T)で、アクセス先のURLをサーバーに渡すバグが判明し、問題になってしまっています。
携帯電話特有の事情による部分も大きいセキュリティ問題
ブラウザのバグによるReferer漏れの問題は、これまでにもパソコン用のWebブラウザで発生しており、珍しいものではないのですが、携帯電話の場合はコンテンツの構成上の問題もあって、より直接的な個人情報の漏洩にも繋がりかねないと危惧しているユーザーもいるようです。
携帯電話用のブラウザは、パソコン用のものと異なり、ユーザーが以前そのサイトを訪れたことがあるかどうかをチェックできる「Cookie」という仕組みがないのが普通です。
そのため、Webメールサービスなどの携帯電話向けWebアプリケーションでは、アクセスするWebページのURLにユーザー情報を混ぜて利用するということがよく行なわれています(携帯電話のものとしては、「@sha-mail」サービスなどがこの仕組みを利用しています)。
以前訪れたサイトのURL情報であるReferer情報が、他人に漏れてしまうということは、その他人に悪用された場合、Webメールサイトで閲覧したメールをそのまま見られてしまう、ということにもなるわけです。
あるいは、GPS対応端末で位置情報アプリケーションを利用する場合、URL中に緯度・経度といった情報を混ぜて送っていますので、確率的には小さいですが、このようなサービスを使用した後で、このようなReferer情報を盗もうとする悪意のメールを受け取り、メール中に書かれたURLにアクセスしてしまうと、そのサイトに仕組まれたCGIスクリプトなどのプログラムによって、直前にサービスを利用した際のあなたの位置情報が覗かれてしまう可能性もある、ということになります。
・ auのGPS搭載端末にアクセス先のURLをサーバーに渡すバグ
(大和 哲)
2002/07/30 14:10
|
|
|
|
|
|
