Greasemonkey スクリプトは安全ではありません
■ Greasemonkey スクリプトは安全ではありません Webアプリケーションセキュリティフォーラム の奥さんと高木先生のバトルより。 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 Greasemonkey には超絶便利な GM_xmlhttpRequest があるので、どのウェブサイト上でスクリプトを動かそうが、あらゆるサイトにアクセスする事が可能です。この観点から考えると、クッキーが漏洩するどころの騒ぎではありませんし、スクリプトを有効にするドメインが限られていた所で大した意味はありません。例えば Google Search を便利にするようなスクリプトに、mixi のパスワードを任意の値に変更させるようなトロイを仕込む事も難しくないでしょう(実際に作って試しました*1)。もちろん対象サイト上に、XSS や CSRF の脆弱性がなく
:: H & A :: blog: Tumblr にハマる
Tumblr にハマる おもしろくてしょうがないんですけどコレ。 Tumblrで、できたのがコレ。 :: H & A :: tumblr僕が探した中で Tumblr についてもっともわかりやすく説明されているのはこの記事。 アルファブロガーを魅了する“ミニブログ”“はてブ”以上、ブログ未満コレ(↑)はまさにその通り。Tumblr にのめりこみ始めてからというもの、僕の場合は「はてブ」もミクシィ日記もブログのエントリも減り始めているような気がします。なんだか Tumblr にクリップしただけで満足してしまいます。 なんでしょうか、このオモシロさの正体は。おぼろげに見えてきているのは、Dashboard と ReBlog になにか秘密がありそうだ、ということです。 シンプルだけどツボを押さえた高機能な Bookmarklet によってお手軽ポスト。やる気になればどんどん拡張できるテンプレート。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
