付録 B. キャプティブポータルによって引き起こされる問題 (Issues Raised by Captive Portals)

クライアントは、ポータルのレスポンスと通信しようとした HTTP サーバーのレスポンスを区別できないため、多くの問題が発生します。511 ステータスコードは、これらの問題の一部を軽減することを目的としています。

1つの例は、ブラウザがアクセスされているサイトを識別するために一般的に使用する "favicon.ico" [Favicon] です。特定のサイトの favicon が意図されたサイトではなくキャプティブポータルから取得される場合 (例えば、ユーザーが認証されていないため)、ブラウザのキャッシュに "固定" されることが多く (ほとんどの実装は favicon を積極的にキャッシュします)、ポータルセッションを超えて保持されるため、ポータルの favicon が正当なサイトを "乗っ取った" ように見えます。

もう1つのブラウザベースの問題は、プライバシー設定のプラットフォーム [P3P] がサポートされている場合に発生します。実装方法によっては、ブラウザが p3p.xml ファイルに対するポータルのレスポンスをサーバーのものとして解釈する可能性があり、その結果、ポータルによって公表されたプライバシーポリシー (またはその欠如) が意図されたサイトに適用されるものとして解釈されます。WebFinger [WebFinger]、クロスオリジンリソース共有 [CORS]、オープン認証 [OAuth2.0] などの他の Web ベースのプロトコルも、このような問題に対して脆弱である可能性があります。

HTTP は Web ブラウザで最も広く使用されていますが、基盤プロトコルとして使用する非ブラウジングアプリケーションの数が増えています。例えば、Web 分散オーサリングとバージョン管理 (WebDAV) [RFC4918] と WebDAV のカレンダー拡張 (CalDAV) [RFC4791] は、どちらも HTTP を基盤として使用しています (それぞれリモートオーサリングとカレンダー用)。キャプティブポータルの背後からこれらのアプリケーションを使用すると、ユーザーに誤ったエラーが表示され、極端な場合にはコンテンツの破損が発生する可能性があります。

同様に、HTTP を使用する他の非ブラウザアプリケーション、例えばウィジェット [WIDGETS]、ソフトウェアアップデート、Twitter クライアントや iTunes Music Store などの他の専用ソフトウェアも影響を受ける可能性があります。

HTTP リダイレクトを使用してトラフィックをポータルに誘導することで、これらの問題が解決されると考えられることがありますが、これらの使用の多くはリダイレクトを "フォロー" するため、これは良い解決策ではないことに注意する必要があります。