http://www.geocities.co.jp/SiliconValley-Oakland/7818/

試してみたら素のIEとIEコンポーネントを使ったブラウザでは挙動が違った。具体的には、素のIEは%xxはデコードされるが、Lunascapeではそのまま表示される。IEでは@以下が表示されない（なんで？）。

Lunascapeの場合、http://www.google.co.jp%00@%77%77%77%2e%79%61%68%6f%6f%2e%63%6f%2e%6a%70/ なんていうのが一番問題になりそう。後半のURLエンコードに@が隠されて、一見しただけでは偽装されているとはわからない。しかもこれは今回みつかったIEのバグとは無関係。

後から後から様々な偽装方法が出てきてどうにも混乱中。現象を追うだけでなく、本質的に何が問題で、どういう対処をすればいいのか（ユーザと実装する側の両方で）というのを誰か分かりやすくまとめてくれないかな。