スキップしてメイン コンテンツに移動

恥ずかしい話。

はてなブックマークの新しい登録ブックマークレットは危険
http://slashdot.jp/comments.pl?sid=428647&cid=1463675

自分が投稿したネタ。はてなの新ブックマークレットがどんな物か良く分からないで書いているのが分かる。
恥ずかしいorz
#1463969のレスにあるとおり、「ページ内JavaScriptウィンドウ」なので、アドレス表示出来ないという罠。
Dragonflyで確認したら、div要素だった。
つまり、div要素をcreateElementして、body要素にappendChildしてる。
(ソースは読んでいないので、これが正しいとは限らないけどこれ以外の方法はまず考えられない)
これの危険性は高木先生の日記に詳しく書いてあるが、フィッシングの脅威があると言う点である。
どこで起きるのかというと、はてなにログインしていない状態でそれが起きるって書いてある。
なるほど。そーゆー事か。

裏を返すとはてなにログインしている状態ではこのブックマークレットは使っても差し支えないと判断してよいのかな?
この辺はギークかそうじゃないかで意見が分かれるなぁ。
でも、高木先生の指摘では一般人はそこまで分からないからエラーが発生するかもしれないシステム作るなボケぇと噛み付いているんだなぁ。納得。
結局、システム使う人の安全を考えないと駄目って事ですね。
Webシステムの開発は難しいねぇ。
見た目のカッコよさは必要なんだけど、それだと多分不足なんだよね。

新はてぶのブックマークレットで、「ページ内JavaScriptウインドウ」が表示されるのは実は問題じゃなくて、その「中」で「ログイン認証」するのが問題なんだよね。
ログイン認証の部分はポップアップ表示してアドレスを確認できるようにしないと駄目だよねーって事か。
おk。理解した。
今後自分がシステム開発でログイン画面作るときは「ページ内JavaSc(ry」に表示しないようにしようっと。
難しいなぁ、セキュリティは。
ラベル:

コメント

コメントを投稿

このブログの人気の投稿

EFIブートローダを移動した話

EFIブートローダを移動した HX90に環境を整え終わってから、アホな事をしたので、その記録を残す。 SSD: Cドライブ SSD: Dドライブ(データストレージ用) + ESP※ SSD: Eドライブ(データストレージ用) ※ESP(EFI System Partition) インストールした時、こんな構成だった。 ESPがDドライブにあるのが気持ち悪かったので、これを削除した。 そしたら、BIOS画面が出るだけになり、Windowsが起動しなくなった。 移動手順 この時の自分はMBRをふっ飛ばした時と同じ現象だと思ったので、MBRというキーワードで検索したが、今はEFIブートローダーと呼んでいるらしい。 【Win10】任意のディスクにEFIブートローダをインストールする 色々検索した結果この記事が参考になった。 Diskpartを使って、パーティションを新たに分割し、bcdbootを実行して、無事に事なきを得た。 パーティションの分割はこんな感じ Diskpart Select volume 0 shrink desired = 200 Select disk 0 Create partition EFI size=200 Format quick fs=fat32 label="ESP" Assign letter=P exit EFIブートローダーのインストールはこんな感じ bcdboot C:\Windows /s P: /f UEFI ちなみに、自分の環境だけの問題なのだが、コマンドラインで、「\」を入力するのができなかった。我が家のキーボードはHHKBだけなので、日本語配列を無理やり適用されると、バックスラッシュが入力できないという不具合が生じる。 結局、コマンドプロンプトからマウスで範囲選択してコピーして貼り付けるという荒業でクリアした。 普通の人は、何も考えずに、\を入力すれば良い。 最終的に SSD: Cドライブ + ESP※ SSD: Dドライブ(データストレージ用) SSD: Eドライブ(データストレージ用) ※ESP(EFI System Partition) という構成に切り替えることができた。
コメントを投稿
続きを読む

Windows版gVimをアンインストールした日

Windows 版 gVim をアンインストールした話 以前に、 Windows11 on WSL2 + wezterm + Neovim = 最強開発環境 という痛々しい記事を書いたのだが、その続きの記事と言っても過言ではない。 この記事は Vim 駅伝 の 3 月 1 日の記事である。 前回はぺりーさんの netrw を使うために という記事だった。 次回は kuuote さんの Vim 側の組み込みプラグインを無効化するハック という記事である。 gVim との付き合い 思い返してみると、gVim との付き合いは大分長くなった。エディタとしては 自分の人生の中で最も長く付き合ってきたエディタ と言える。Vim のインターフェースとして gVim を何度も使ってきた。自分の手持ちのマシンは Windows なので、必然的に gVim を選択肢として選ぶ必要があった。 gVim の良さは何か。それは、Windows とのシームレスな関係であり、Windows OS の機能をそのまま使いたい場合に有用である。かつての自分にとってこの部分は非常に重要であった。具体的には、印刷機能と画面半透明化機能であり、これが無いとやってられないという認識であった。 しかし、時代が進み、自分の技術力の向上や考え方の変化、さらに Vim 周りのプラグインの更新が進むと gVim で運用していく事がだんだんと億劫になっていったというのが事実である。故に、 WSL2 上で動く Neovim の快適さに心が打ち震えた のである。 技術力の向上に伴う考え方の変化 かつての自分は 何でも gVim で処理したいな と考えていた。メールを見たり天気を見たり、Twitter を見たりするのに、gVim を活用していた。かつての Emacs 使いの guru のような立ち位置を目指していたというのがある。2000 年代初頭にインターネットに多少なりとも触れていた人ならば、「それ Pla」という古の単語を思い浮かべるかもしれない。この概念を持ち出すのはあまりにも古すぎるが、結局言いたいのは、 1 つの手法で全部をこなす という考え方だ。ネットを見るのにわざわざブラウザに切り替えるのはもったいないという今となっては情熱に似た何かを当時は多くの人が持っていた。 しかし、自分自身の技術力
コメントを投稿
続きを読む

javascriptは外部ファイルにした方がいいの?それとも、インラインの方が良いの?

事の発端 os0xさんのブログコメント で、javascriptの書き方について、面白いやり取りがありましたので、それについての私見を書きたいと思います。 結論から言いますと、プログラマ的な立場から言わせて頂くと、外部ファイル管理が望ましく、コーダ的な立場から言わせていただくとインラインが望ましいです。 なぜそのような結論に至ったのか、まずは経緯を御覧ください。 コメント欄でのやり取り os0xさんのブログコメント欄を引用しています
コメントを投稿
続きを読む