ページ内ジャンプ:
スラッシュドット・ジャパン 全文検索

アレゲなニュースと雑談サイト

はてなブックマークの新しい登録ブックマークレットは危険

hayakawaによる 2008年11月28日 15時19分の掲載
気をつけないと……部門より。
セキュリティ

aac 曰く、

最近はGoogleへの激しい攻撃を行っている高木先生が、今度は最近リニューアルされたばかりのはてなブックマークに噛みついている。「新はてなブックマークの登録ブックマークレットは使ってはいけない」という記事だ。

新しいはてなブックマークの登録ブックマークレットは、ブックマークレットを実行したWebページ内にウィンドウのようなものを表示し、そこで登録が行えるようになっている。問題となるのは、はてなにログインしていない状態でこのブックマークレットを起動した場合だ。この場合、Webページ内の疑似ウィンドウにログインフォームが表示されるのだが、この疑似ウィンドウ内に表示されたログインフォームが本当にはてなのログインウィンドウなのかどうか、簡単には確認できない。そのため、ニセのログインフォームを表示させ、はてなのアカウント情報を盗もうとする悪意のあるサイトが登場することも考えられる。

この指摘に対してはてながどう対処するかが気になるところだが、個人的にはページ内に勝手に疑似ウィンドウを出すのは迷惑このうえないので、このブックマークレットは早々に改善して欲しいところである。

はてなブックマークの新しい登録ブックマークレットは危険 | ログイン/アカウントの作成 | 33 個のコメント | コメント検索
表示オプション しきい値:

  • オフトピだが (スコア:5, すばらしい洞察)

    Anonymous Coward : 2008年11月28日 21時02分 (#1463780)

    最近はGoogleへの激しい攻撃を行っている高木先生が、今度は最近リニューアルされたばかりのはてなブックマークに噛みついている。

    子供じゃないんだからこういう書き方やめなさいよ。ウィキペディアじゃあるまいし内輪だけで面白がるサイトじゃないでしょう。そうしたいのかもしれないけどさ。

  • ログイン (スコア:4, 参考になる)

    yukichi (12361) : 2008年11月28日 15時37分 (#1463546)
    http://b.hatena.ne.jp/naoya/20081126#bookmark-10990170 [hatena.ne.jp]

    > naoya bookmark2 ログインのところは修正しますね。後半についてはもう少し考えます。 2008/11/26

    とのことです。

  • 部門名 (スコア:3, おもしろおかしい)

    Anonymous Coward : 2008年11月28日 16時50分 (#1463604)
    >気をつけないと……部門より。

    高木先生に叩かれないように、という意味に聞こえて仕方が無いw
    #それだけなのでAC
  • しかし擬似ウィンドウを使った『偽者ページ』が出てきた場合、どちらが「信頼されやすいか」という問題が別にあるのではないかと…

    「かっこいいデザイン」は無条件に信頼されやすい、という傾向があるとするならば、
    『本物よりも偽者の方が信頼されやすい』
    という困った状態を作り上げてしまうだけではないかと…

    # 擬似ウィンドウのバーに「嘘のURLを表示する」ぐらいはやるでしょうし…

    .

    じゃぁ、どうすればいいのか、という意見は思いつきません。

    なにしろ偽者というのは大まかに3種類あって、
    • 本物そっくりである
    • 本物としか思えないほどかっこいい(本物よりもかっこいい)
    • 偽者とは思えないほど、かっこ悪い

    もちろん、それぞれ「どうやってユーザーを騙すか」は違うわけですが…こうなると、「見てくれ」でどうにかするのは無理じゃないかと…
    --
    fjの教祖様

  • Re:ニセのログインフォーム (スコア:1, 参考になる)

    Anonymous Coward : 2008年11月28日 15時40分 (#1463549)
    リニューアル前のはてブのブックマークレットにはなかったものがリニューアル後に始まっちゃったもんだから、それは退行だ、ということです。

    それより何より、本物の(アドレスバーが出る)ウィンドウなら確認のしようはあるという話です。

    わかるかな。

    • 一方Operaは(激しくオフトピ) (スコア:2, 参考になる)

      Arc Cosine (35004) : 2008年11月28日 18時04分 (#1463675)
      >本物の(アドレスバーが出る)ウィンドウなら確認のしようはある

      Operaはポップアップウインドウでも、ウインドウ内の一部をクリックするだけでアドレスバーが表示できたりします。
      (黄色くなっている箇所をクリックってOpera持っている人じゃないと分かりづらいよね?)

      #Opera信者なのでID
      • ダメです。
        Operaはアドレスバーを非表示にしたブラウザウィンドウでも簡単にアドレスバーを出すことはできますが、高木氏のページにも書かれているようにこのブックマークレットのウィンドウはブラウザウィンドウではなく「ページ内JavaScriptウィンドウ」です。
        中身はフレームとして表示しているようなので右クリックの「フレーム」メニューで別タブとして開けば確認できますが、高木氏のページで解説されているようにOperaでなくても可能。

        つまりこの件に関しては、Operaだろうが他のブラウザだろうが条件は同じです。

        #ブラウザウィンドウの非表示アドレスをワンクリックで表示できるのは、かなり便利なんだけどね。
        --
        うじゃうじゃ
      • 1個のコメント が現在のしきい値以下です。

  • Re:ニセのログインフォーム (スコア:4, すばらしい洞察)

    Anonymous Coward : 2008年11月28日 15時56分 (#1463556)
    元のblogによると [takagi-hiromitsu.jp]
    > ユーザの心得は、「いかなる場合でも、入力の直前にブラウザウィンドウのガワ部分
    > (「chrome領域」と呼ばれる)のアドレスバーを確認する」という単純なルールでよい。
    (ここまでが既存のニセログインフォームへの対策)

    で、このルールに従って今回のブックマークレットを使うと、
    大抵(アドレスバーのサーバへ)パスワードを投げてはいけない状態になるはずだから、
    このブックマークレット(のこのログイン要求機能)が存在する意味がないし、存在しないほうがいい。

    ド素人が作ったものならともかく、プロが作って配布するようなものではないだろう
    …という話だと思うんですけど、どうですかね?
  • 2個のコメント が現在のしきい値以下です。

このページのすべての商標と著作権はそれぞれの所有者が有します。 コメントやユーザ日記に関しては投稿者が有します。
のこりのものは、© 2001-2010 OSDN です。