2008年12月7日日曜日

恥ずかしい話。

このエントリーをはてなブックマークに追加
はてなブックマークの新しい登録ブックマークレットは危険
http://slashdot.jp/comments.pl?sid=428647&cid=1463675

自分が投稿したネタ。はてなの新ブックマークレットがどんな物か良く分からないで書いているのが分かる。
恥ずかしいorz
#1463969のレスにあるとおり、「ページ内JavaScriptウィンドウ」なので、アドレス表示出来ないという罠。
Dragonflyで確認したら、div要素だった。
つまり、div要素をcreateElementして、body要素にappendChildしてる。
(ソースは読んでいないので、これが正しいとは限らないけどこれ以外の方法はまず考えられない)
これの危険性は高木先生の日記に詳しく書いてあるが、フィッシングの脅威があると言う点である。
どこで起きるのかというと、はてなにログインしていない状態でそれが起きるって書いてある。
なるほど。そーゆー事か。

裏を返すとはてなにログインしている状態ではこのブックマークレットは使っても差し支えないと判断してよいのかな?
この辺はギークかそうじゃないかで意見が分かれるなぁ。
でも、高木先生の指摘では一般人はそこまで分からないからエラーが発生するかもしれないシステム作るなボケぇと噛み付いているんだなぁ。納得。
結局、システム使う人の安全を考えないと駄目って事ですね。
Webシステムの開発は難しいねぇ。
見た目のカッコよさは必要なんだけど、それだと多分不足なんだよね。

新はてぶのブックマークレットで、「ページ内JavaScriptウインドウ」が表示されるのは実は問題じゃなくて、その「中」で「ログイン認証」するのが問題なんだよね。
ログイン認証の部分はポップアップ表示してアドレスを確認できるようにしないと駄目だよねーって事か。
おk。理解した。
今後自分がシステム開発でログイン画面作るときは「ページ内JavaSc(ry」に表示しないようにしようっと。
難しいなぁ、セキュリティは。

0 件のコメント :

コメントを投稿