IE のゾーン指定の https 限定オプションは入力時にしか機能しない

IE では特定の URL を任意のセキュリティゾーンに指定できるが、その際の https 限定オプションは入力チェックとしてしかか機能せず、実際のサイト接続時にはチェックされない。

- 任意のサイトをイントラネットゾーンや信頼済みサイトゾーンに設定可能

Internet Explorer は、ウェブサイトをいくつかの「ゾーン」に分類し、それぞれ異なるセキュリティ設定を適用することができる。インターネットゾーンのサイトは厳格なセキュリティを適用し、イントラネット内のサイトは身内なのでゆるいセキュリティで利便性を優先する、といったことができる。

この設定はインターネットオプションの「セキュリティ」タブで設定できる。たとえば、イントラネットゾーンとして扱いたいサイトがある場合は「イントラネット」を選び、「サイト」ボタンを押し、「詳細設定」ボタンを押すことで URL を設定する画面に入れる。ちなみに設定画面には以下のように書いてある。

このゾーンに Web サイトを追加/削除できます。このゾーンのすべての Web サイトには、このゾーンのセキュリティの設定が適用されます。

- 「このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする」オプションは入力時のチェックでしかない

私の所属するチームでこの機能を実際に試していたところ、以下のオプションが有効にならないんだけど、という相談を受けた。

このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする(&S)

このオプションを有効にしても、http しかサポートしていないサイトに接続できてしまったとのこと。私の環境でも同じ現象が出た。

テスト環境は、OS が WindowsXP Professional With Service Pack2、IE が IE 6.0.2900.2180.xpsp_sp2_gdr.050301-1519 だ。

いろいろ試しているうちにわかったことが、このオプションは入力時にしか機能せず、接続時には機能しないということだ。さも接続時に https かどうかをチェックして、そうでなければイントラネット扱いしないという動きをしてくれそうな文言だが、そうではない。サイトの URL を入力する時にしか効かない入力チェックでしかない。

確かに、「このゾーンのサイトにはすべてサーバーの確認 (https:) を必要とする」チェックボックスをオンにしている場合、https: で始まらない URL をゾーン設定の URL として入力すると以下のメッセージが出る。

イントラネット

このゾーンに追加したサイトには、https:// prefix を使用する必要があります。この prefix は、セキュリティで保護された接続を保証します。

ここまではいい。しかし、ここの URL にはドメインだけを入力することもできる。オプションの挙動を把握していない人は以下のようなことをしてしまうだろう。

チェックを外した状態で http://sonic64.com や https://sonic64.com を設定。オプションをオンにすれば https の接続のみイントラネット扱いとしてくれることを期待し、チェックボックスをオンにして http://sonic64.com にアクセスする。この例では、ユーザーの期待に反してすべてのサイトが見事にイントラネットゾーンとして扱われてしまう。

また、チェックボックスをオンにする前に入力した http や ドメイン指定のサイトも入力チェックの対象外。この挙動は理解できなくもないが、設定済みのサイトに https: 以外で始まるものがあるという警告くらいは欲しい。

非常にわかりにくい。なぜこんな不完全な機能なんだろう? また、この不完全な機能でも、オプションの文言を工夫して入力時にしかチェックしないことを明示すればユーザーを適切に誘導できるはず。なぜそうしないんだろう?