IE9のUIで気になることがあり、歯切れの悪い記事を書きます。 アドレスバーと検索欄を統合したせいで、httpsのURLなのにパス以降が漏れちゃう場合がある、という話です。 小さな懸念 IE9の新機能の一つとして「アドレス バーでの検索」( http://windows.microsoft.com/ja-JP/internet-explorer/help/ie-9/whats-new-in-internet-explorer-9#section_6 )があります。 これは、 アドレス バーに検索の候補を表示するオプションもありますが、入力した内容を検索プロバイダーに公開したくない場合もあるため、既定では無効になっています。 と説明されている通り、オプトインで検索候補を表示するように設定すると、意図しない情報漏洩の懸念があるわけです。 具体的に言うと、ユーザが「URLを入力したつもり」の場合

2010年6月で時が止まってる AdobeのFlash Player のバージョンテストページってありますよね。 ■Adobe - サポート - Adobe Flash Player のバージョンテスト http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm 10,1,85,3がインストールされてます。最新版っていくつだっけ？確認するためにページの下の方を見ると。 次の表に、最新の Flash Player バージョンに関する情報を示します。 Windows Internet Explorer 10.1.53.64 （略） 更新日 : 2010年6月15日 これはひどい。6月時点で情報が止まってる。。。8月と9月にアップデートがあったはずなのに、無視されてます。 誰も見てないページなのでは？ ひょっとしたら

知らなかったのですが、Internet Explorer 8 には「Upgrade Advisor」という機能が備わっていて、起動時に「アドオンのバージョンが古いですよ」というチェックをしてくれるんですね。 Add-on Guidelines and Requirements in Action – Upgrade Advisor - IEBlog ( http://blogs.msdn.com/b/ie/archive/2010/08/11/add-on-guidelines-and-requirements-in-action-upgrade-advisor.aspx ) IEBlogの記事によると、大雑把に言って、ツールバーなどを対象にしたUIのガイドラインに沿ったバージョンをお勧めするのに使われているらしいです。 そんなことより、Firefoxみたいに、FlashとかAdobe R

携帯Webのことはあまり知りませんが、「かんたんログイン」代替案を考えてみました。 あくまでもヨタ話レベルです。 実際に実装・運用されているものもあるかもしれません。 認証しか考えてません。セッションの維持は定番の方法があると思いますので。 要はクライアントストレージでしょ cookieが使えないので、その代替を考えます。キーをどこに保存するかという問題なのですが、実運用を考えると、交換のタイミングとかも考えないといけない。 メール サイトから、秘密のID付きURLを記したメールを登録メールアドレスに配信しておきます。メールを開いてリンクをクリックすればID/パスワードの代わりに。 メールって平文では？みたいな話もあるけど、携帯ネットワークで送られてくるメールは多少安全だったりしないかな？（知らないのだけど。） 画像 画像ファイルをHTMLのファイルアップロードでパスワードの代わりに送れば

以前、京都に本社のあるH社サイトの脆弱性を報告した（http://d.hatena.ne.jp/kogawam/20100223/1266942303 ）という記事を書いたのですが、その後始末を。 概要 iPhone向けはてなブックマークレットは、シナリオによっては悪意のあるコードを仕込まれる可能性があった、という話です。 対策 ブックマークレットを導入した際に、信頼できるページからブックマークレット導入ページに遷移していない場合は、以下の対策を取るといいんじゃないかと思います。 もう一度ブックマークレット導入ページからブックマークレットを入れ直す。 既存のブックマークレットが変なことするコードじゃないかどうか、調べる。 詳細 iPhone向けはてなブックマークレット導入ページあるじゃないですか。 http://b.hatena.ne.jp/help/touch/bookmarklet?j

高木浩光氏が、docomo IDを作ると生でパスワードを保管されてしまう（ http://takagi-hiromitsu.jp/diary/20100314.html#p01 ）という記事を書いている。docomoのインターネットセキュリティに関するスジの悪さは何なんでしょうね…。 さて、最近似たようなことに出くわしたので、記録。 世界的なセキュリティ会社として有名なマカフィーですが、ウェブサイトのパスワードは生（非可逆変換ではない形式）で持っているようだ。 確認したのは、マカフィー日本語サイトの個人顧客のためのサイト。確か、サポートとかお買い物とか、クレジットカードで自動更新のために、アカウントが発行されてるんだったと思う。 確認手順は以下のとおり。 ログインページ（ https://home.mcafee.com/Secure/Protected/Login.aspx ）で「パスワー

先週「McAfeeがパスワードを生で持っている件」（ http://d.hatena.ne.jp/kogawam/20100314/1268583017 ）というエントリを書いてこう締めました。 なお、本件とは関係なくマカフィー製品は現在使ってないので、アカウントとかクレジットカード情報は消去してもらおうと思います。というわけで、消去しようとしたらマカフィーサイトのドメインがバラバラというテイタラクだったので、記録します。 世界的なセキュリティ会社として有名なマカフィーですが、ウェブサイトのドメインが統一されておらず、利用者にフィッシングの疑いを抱かせる状態のようだ。（もしくは改ざんされている。）確認したのは、アカウント削除の手順を指示通りに実施したら、知らないドメインに連れて行かれること。 確認手順は以下のとおり。 ログインして、プロフィール編集画面を開きます。（httpsでmcafee