2013-09-11
IE11の互換モードの現在の挙動が仕様だとセキュリティ的によろしくないかもしれない件
Windows 8.1のRTMが公開されてから、IE11の互換性の確認を少しずつ試しています。その際、下記にかかわる挙動で微妙な点をいくつか検出しています。
上記の条件に当てはまるとき、レンダリング結果が過去と互換が無いものになっていたり、スクリプトの挙動がおかしかったり…する挙動を私自身でいくつか検出しています。
私自身が投稿したものも含めて、Connectのフィードバックでこのあたりが上記の挙動に当てはまります。
[IE11][Bug]fail to render Svg fonts (in compatibility mode with "Internet Zone")
[IE11][Bug]expression of CSS is not enabled in compatibility mode with "Internet Zone"
他にも私が管理しているサイトでレンダリングがおかしくなったりするのをいくつか見つけています。
このあたりを調べながら、
またIE11の微妙な挙動に遭遇した。全般的に、IE11は「インターネットゾーン+ドキュメントモードが過去互換モード(IE 5 Quirks とかIE 7モードとか)」の時の挙動がびみょい。
とボソッと呟いたところ、@hasegawayosukeさんから
@kiyokura URL そのあたりサポート外になってもおかしくなさそう…
2013-09-11 17:01:44 via web to @kiyokura
と、IE11の互換性についての公式ドキュメントを教えていただきました。
確かに、例えばこんなことも書いてあります。
IE11 Preview 以降では、一時的な使用を除き、ドキュメント モードは使用されなくなります。 従来の機能とドキュメント モードに依存しているサイトは、最新の標準を反映するように更新する必要があります。
IE11 Preview における互換性の変更点
うーん。
が、とはいえ
現在、x-ua-compatible ヘッダーを使って、従来のドキュメント モードをターゲットにしている場合、IE11 Preview で得られる最高のエクスペリエンスがサイトに反映されない可能性があります。 詳しくは、modern.ie をご覧ください。
IE11 Preview における互換性の変更点
とも書いてあるし、その他全体を読むと…なんかぼんやりしているようでますます訳が分からない感じです。
で、その時は
@hasegawayosuke ですよね…。イントラゾーントと信頼済みサイトだと前と同じ挙動なので、互換確保したければそっち入れろ、さもなくば改修しろって感じなのかもしれませんねー。
などと思ったわけです。
実際、上記のconnectにあるものの他、私がいくつか確認している非互換の挙動も、下記であれば再現しません*1。今まで通り、互換を保った状態で表示・実行されます。
- 対象のサイトが"イントラネットゾーン"もしくは"信頼済みサイト"にある
- もしくは"インターネットゾーン"でセキュリティレベルを下げる
IE11としてこういう仕様なのかもしれません。社内サイトなんかだと、必然的に一つ目のが適用されたりするので実運用上は問題にならない…かもしれませんしね。
…等と思ったのですが。
いやいや。ちょっとまって。
これ、もし本当にこれが仕様だとちょっとセキュリティ的にあまりよろしくないというか、安易に『IE11で当サイトを正常に表示する場合は当サイトを"信頼済みサイト"に追加してください』とかアナウンスするダメなサイトが出てきたり…しませんかね???
そんなリスクを考えると、やはり仕様としてこれはダメじゃないでしょうか。その意味では『セキュリティーゾーンを問わずドキュメントモードによる互換性を一切考慮しない』のほうがましかもしれません。もしくはAD必須とか。
しかしおそらくそれは無理だと思うので、これ、正式にWindows 8.1が一般にリリースされる前にきっちり修正して、セキュリティレベルがデフォルトのインターネットゾーンでもちゃんと互換モードで動くようにしてもらいたいというか、しないとダメな気がします。はい。
*1:私が試したかぎりでは