IE7のURL display protection

URL display protection. Hackers commonly rely on misleading users into thinking they are looking at information from a known and trusted source. A valuable tool for hackers has been the ability to hide the true URL information and domain name from users. Internet Explorer 7 contains some powerful visual tools that help prevent users from being duped. In the beta 1 release of Internet Explorer 7, all browser windows require an address bar. Because hackers often have abused valid pop-up window actions to display windows with misleading graphics and data as a way to convince users to download or install their malware, requiring an address bar in each window will ensure that users always know more about the true source of the information they are seeing. The beta 2 release will contain additional address-bar and URL-display controls to help further educate and inform users about suspicious activity.
Internet Explorer 7 Beta 1 Technical Overview

"all browser windows require an address bar"と書かれているが、どんなウィンドウでも必ずアドレスバーが表示されるというわけではないらしい。下はIE7*1新銀行東京のログイン画面を表示させたところ。アドレスバーが非表示になっている。

JavaScriptを使ってアドレスバーを上書きしようとするフィッシングサイトにもアクセスしてみた。Windows XP SP2と同様、標準の設定では、アドレスバーを上書きできなくなっている。

"Windows XP Service Pack 2 セキュリティ強化機能搭載" での機能の変更点 ‐ 第 5 部 : ブラウズのセキュリティ強化

ポップアップ ウィンドウは、親ウィンドウのクロムの上端と下端の間に表示され、Internet Explorer のアドレス バー、タイトル バー、ステータス バー、またはツール バーと重なりません。

しかし、セキュリティレベルを「中低」以下にするか、「サイズや位置の制限なしにスクリプトでウィンドウを開くことを許可する」を”有効にする”にしてしまうと、XP SP2と同様に、アドレスバーを上書きすることができてしまう。下はメニューバーを上書きしているが、座標を変更すればアドレスバーの上書きも可能だ。

*1:Version 7.0.5112.0 Beta 1