たとえばこんなクリックジャック - 風柳メモ
はてなダイアリーやプロフィール上からクリックジャック! はてなダイアリーやプロフィール上にも、1クリックではてなブックマークされてしまうトラップが仕掛けられる例→プロフィール上にしかけてあるのを参照*1。 やってることは、 クリックジャッキングってこうですか? わかりません と同じではあるんですが……。 実はこれ… 404 Blog Not Found:javascript - クリックジャック殺しなbookmarklet では、殺せません。 また、 そろそろクリックジャッキングについて一言いっておくか - 最速転職研究会 で書かれている、Firefox 3で『□サードパーティの Cookie も保存する(P)』オプションを外してもだめです。 なぜかというと window(top):はてなダイアリー(.hatena.ne.jp) └ IFRAME(position:static):Goog
はてなブックマークの新版ブックマークレットはやっぱり危険! - 風柳メモ
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない で書かれているとおり、使うのは止めるべき、でしょう。 別にこれは、はてなブックマークに限ったことではなく、閲覧しているページにページ内ウィンドウ(擬似ダイアログ)を作成するようなタイプのブックマークレット一般に言えることでしょう。 ページ内ウィンドウ(擬似ダイアログ)は、閲覧しているページ(があるサイト)のコントロール下となるため、サイトオーナ側で悪意のある仕掛けを比較的容易に施せる。 にも関らず、 ページ内ウィンドウ(擬似ダイアログ)に表示されたページは一見ではURIを確認できない。 正規に提供されているブックマークレットを自ら実行して表示された内容であれば、つい信用してしまう。 ために、悪意のあるサイトによる被害を受けやすくなるものと思われます。 例えばはてブの場合、現状のままでは、少し調べれば簡
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
