chromeのクロスドメインセキュリティチェック探訪 « ku
ブラウザにはjavascriptのコードがそのウインドウにアクセスすることができるか same origin policy に従ってチェックしている部分があります。この部分はセキュリティチェックと呼ばれています(FirefoxではnsScriptSecurityManager, WebKitではSecurityOriginで実装されている)。 Firefoxはjavascriptのオブジェクトひとつひとつに、そのオブジェクトを定義したページのドメインをもとにprincipalを設定し、実行時にアクセスしようとしているオブジェクトのprincipalと実行コンテキストのprincipalが一致するかをチェックすることで same origin policy を実装しています。Firefoxは実行コンテキストがネイティブコードや拡張機能由来のもののときには、常にprincipalが一致するもの
逆に考えるんだ。「アサマシくらいあげちゃってもいいさ」と考えるんだ。 - *「ふっかつのじゅもんがちがいます。」withぬこ
騙されるな!「ソースを読めない人はgreasemonkeyを使ってはいけない」はインチキ記事だ! いただいたTBへの返信も兼ねて。 さて、僕は本気でソース読めないならグリモン使うな!と思ってるわけではありません。そういうことを言い出すとWindowsなんて絶対使えないし、Linuxでもソース全部読んで把握しなきゃ怖くてつかえたもんじゃないです。*1。でも、Linuxのカーネルだけじゃなくディストリビューションに含まれる各プログラムの一つ一つについて一字一句把握してる人なんて多分地球上に存在しません。極論を言うと、究極にセキュリティを気にするならばインターネットに繋がなきゃいいわけですが、そんな結論は嫌です。 結局のところプログラマでさえ、使うものを全部自作したり中身を把握したりするのは非現実的なわけで、どこかで折り合いをつけなければ何もできなくなってしまいます。 でも、折り合いをつける前に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
