フィードリーダーの脆弱性まわりのこと

最近、FreshReaderに脆弱性があったということで、いくつか調べて直したり、赤松さんと連絡取り合ったり、それからはてな使ってないのにユーザー様とか書かれて不愉快な気分になったりしてたんですが。 この記事はひどすぎると思う。 フレッシュリーダーの脆弱性に関連してSage++のこと そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。XMLHttpRequestやIFRAMEでローカルファイルの内容を読み取れるからです。Sageに脆弱性があるということは、あらゆる個人情報の漏洩につながります。「開発者の個人情報を晒すリスクが云々」というのは、個人的には分からなくもないですが、ユーザーの個人情報を危険に晒していることを認識すべきです。 開発者本人が過去に書いているので、危険性の大きさは十分に認識できているはずです。「脆弱性がある」と公表してしまった時点

[webmarksjp]

RSSReader

[t-sat]

sage 使ってるのに気付いてなかった。XMLHttpRequest, IE の security policy(local, internet) について調べる。

[psychedesire]

最速の人言う事キッツーｗｗｗｗｗ

[irohiroki]

ごもっとも

[facet]

（中略）

[hasegawayosuke]

インターネットゾーンでもスクリプトが動くべきではない。ブログのコメントに alert(document.cookie) と書かれたときに、ブログ側はスクリプト除去してるのにRSSリーダ上でそれが動くとやっかい←IPAでは脆弱性としていないし

[R2-3PO]

『そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。　（中略）　Sageは危険です。はっきり危険だと言うべきです。』

[n2s]

改め○○です。まさか本名をさらすことになろうとは…((c)VOW)

[mitsuki_engawa]

IEのローカルファイルの取り扱い。

[setamise]

『そもそもの問題として「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」です。』

[nilab]

最速インターフェース研究会 :: フィードリーダーの脆弱性まわりのこと:saved from url:MOTW:「ローカルディスク上のHTMLファイルをブラウザで開くとXMLHttpRequestやIFRAMEでローカルファイル読み取り

[lesamoureuses]

ローカルのPCの情報なんでも取れちゃうって。こわいね。

[hamasta]

あとで読む

[pho]

で、どうしたらいいかわかんないから、そのままになりそう。

[fieldragon]

＞「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」

[rna]

ネットから落としたHTMLをローカルファイルに保存して開くことの危険性。IEはsaved from url 拡張コメントで回避できるがfirefoxはスクリプト削除しないとNG、拡張機能の実装方法に注意すべき(もしくはfirefoxを捨てれ)という話。

[mi1kman]

そう考えるとIEのセキュリティゾーンという概念は優秀なのかな．

[y-Aki]

コンテンツエリア系のオプションを使わなければ問題は少ないんじゃなかったっけか

[genesinister]

マジか。Sageに乗り換えたばっかなのにorz

[hiro_y]

ブラウザでローカルのHTMLを開くことには危険が伴う。

[nobody]

引用"はてな使ってないのにユーザー様".

[miya2000]

「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」/スクラップextensionとかOperaのOBookとかどうやってんのかな。

[Listlessness]

"Sageは危険です。はっきり危険だと言うべきです。"そろそろ本気でLDRに乗り換えるか。

[arrayszk]

なんか微妙

[shidho]

Scrapbookも見てみるか。

[vkgtaro]

「ローカルディスク上のHTMLファイルをブラウザで開くと超危険」

[wacky]

ローカルのHTMLファイルをインターネットゾーンで開くIEの独自機能「saved from url」について。

[hiboma]

ローカル

[kdaiba]

こ，この対応は・・・

[koyhoge]

フィード内のscriptタグの扱いに関して。