アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
au 携帯電話と「お気に入り」 (スコア:5, 参考になる)
しかし、この方法には2つの欠陥があります。
1. お気に入り登録を拒否できる(*3)
特殊な meta 要素(検索すればすぐに見つかるので敢えて書きませんが)(*4) をページに入れることで、「お気に入り登録」を不能にすることができる(「このページはお気に入りリストに登録できません」というメッセージが表示される)。
2. 特定の URL をお気に入りの URL として認識させることができる
1 と同様に meta 要素(*4) を利用して、特定の URL をお気に入り登録時の URL として利用できる(例えば、悪意のあるサイト「http://example.com/」を表示中に、ユーザが「お気に入り登録」を選択した場合、登録の確認画面に表示される URL を有害なサイト「http://example.org/」にすることができる)。ディープリンクを禁止したいサイトにおいて、トップページ以外のページでユーザが「お気に入り登録」を選択した場合に、自動的にトップページの URL を登録 URL として表示する場合などに使われることが多い(PC の Web ブラウザであれば「アドレスバー偽装の脆弱性」で大騒ぎでしょう)。(*5)
これら機能が仕様であると知ったときは、PC ブラウザのセキュリティ意識との差に愕然としました。因に、au お客様センターに一度この旨を説明したのですが、定型文返信でした。
*蛇足(というかオフトピ)ですがセキュリティ繋がりで:
KDDI au: ダウンロードCGI > サンプルプログラムのセキュリティに関する重要なお知らせ
http://blog.kenichimaehashi.com/jump.cgi?url=http://www.au.kddi.com/ezfactory/tec/dlcgi/info.html
au のダウンロード CGI に脆弱性が発見
http://blog.kenichimaehashi.com/?article=11839849910
(*1) 各サイトに備え付けられた独自のメニューではなく、Web ブラウザの機能としての「メニュー」。以下同様。
(*2) 例えば、http://www.naruhodo-au.kddi.com/qa2745127.html など。ちなみに、このサイトは au が提供しているコミュニティサイトで、au の携帯版公式サイトからもリンクが張られています。
(*3) この機能が、au 携帯向け Web アプリケーションの脆弱性の温床にもなっていると思います(私見)。公式サイト中にも、URL のパラメータを弄るだけで有料コンテンツをダウンロードできるようになっているサイトが見受けられました(このサイトではお気に入り登録の拒否タグが設定されていましたが、以前発見された Referer 誤送信の脆弱性(参照:http://srad.jp/security/article.pl?sid=05/12/09/1021257)などによって流出したケースがあるようです)。
(*4) さらに悪い事には、これらの meta 要素は body 内に書かれていても機能します(手元の端末で確認した限りでは)。タグを許容する BBS などを設置・運営している場合は特に注意が必要でしょう。
(*5) せめて同一ドメイン内とかにして欲しかった。