data URIで任意のHTMLを表現できるのでフィッシングできるよという話。さらに、URL短縮サービスを利用すれば、URL短縮サービスがフィッシングサイトをホスティングするような形になるので、攻撃者が自前でホスティングする必要性がなくなる。
data URIの短縮なんかできるのかなと思ったが少なくともtinyurl.comは可能らしい。実際試したら成功した。
HTMLをdata URIにするのでURLが長くなるので、IEはエラーになる。Chromeはリダイレクト時にエラーになるが、直接アクセスするとエラーにはならない。しかし、FirefoxとOperaはリダイレクトでもエラーにならないので、フィッシングサイトのdata URIの短縮URLをそのまま表示してしまうよとのこと。
まあ、表示後はアドレスバーにdata URIがそのまま表示されているわけなので、URLを確認する対策は取れるのだけども。自前でホスティングする必要性がないのとdata URIなのでURLのフィルタリングとかはうまくいかないだろうなというのがポイントかな