![はてなブックマーク - [ロ]危険な仕様を実装しました。](http://b.hatena.ne.jp/entry/image/http://yosiwo.lowtech.ne.jp/2005/01/25/%e3%83%ad%e5%8d%b1%e9%99%ba%e3%81%aa%e4%bb%95%e6%a7%98%e3%82%92%e5%ae%9f%e8%a3%85%e3%81%97%e3%81%be%e3%81%97%e3%81%9f%e3%80%82/ "はてなブックマーク - [ロ]危険な仕様を実装しました。")
「エラー時に投稿内容を保存するようにしました」がとても気になる。
メンテナンスに先立って、投稿時にエラーが発生した場合にクリップボードに投稿の内容を保存するように設定を行いました。Windowsの Internet Explorerのみの機能になりますが、投稿時にエラーが出た場合、もう一度ログインしなおすと元の投稿がフォームに入った状態で表示されるようになります。
みなさん、「ないより良い」とか「そんなことしている暇あったら抜本的対策を」とか「大変良い」とか、「何でIEだけなんだよ」という意見ばかりのようですけれど。この機能の実装を問題視した意見はありませんねぇ。僕の予想ではInternet Explorerの「スクリプトによる貼り付け処理」機能を使っていると思うのだがいかがか?
そして、この機能には以下のような問題を抱えている。
システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるページを訪れただけでクリップボードの中身を盗み見られることになります。
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
livedoorは他の場所でもこの「スクリプトによる貼り付け処理」を使っている。それは、「llivedoor チェッカーの「チェッカーを追加」画面。僕のIEは「スクリプトによる貼り付け処理」が行われるときにはポップアップで警告が出るように設定されているので、この画面を開くと警告が出る。
「いいえ」を押すと即座にまた貼り付けようとして警告が出る。無限ループ。
初めてこの現象にあったときはまず、「クラックされたっ!?」次に「ブラクラキタ━━゚+.ヽ(≧▽≦)ノ.+゚━━ ッ ! ! !–」。
検証サイトで「盗聴」という言葉を使っているが、皮肉なことに、Livedoorのこの機能を実現する関数名は「function clipboard_sniffer()」だった・・・。
だからって、僕はLivedoorの利用を止めないよ。firefox使えば良いんだよ。少なくともこの件に関しては安全だ。利便性は損なわれるけれど、「手動コピー&ペースト」で対処だ。すでに大半の人がそうしているようにね。
Popular Posts:
- None Found