どうしろと?
FirefoxのNoScriptを使用しているので、どっちにしても旧バージョンのブックマークレットを使うしかないのですが
こういう懸念に対するコメントが欲しい。Googleでなく、任天堂を目指すなら尚更。
ブックマークレット使ってないけど、一応security情報として。個人的には、Updateされてから他にも色々と使い辛くなったと思う。以前のシンプルなUIのほうが良かったな。参考【http://slashdot.jp/security/08/11/28/0255251.shtml】
使いにくいと思って検索してたどり着いてブクマ。旧版に戻した。
火狐でNoscript入れていると(信頼しているサイト以外で)ブクマ出来ないのは、こういう事だったのか?
じゃ、別ウィンドウにひらくやつもはっときます。 javascript:window.open('http://b.hatena.ne.jp/add?mode=confirm&is_bm=1&title='+escape(document.title)+'&url='+escape(location.href),%20'_blank',%20'width=520,height=600,resizable=1,scrollbars=1');undefined;
気づかなかった~orz
制作者はこの辺忘れないようにしないと。。
なるほど。後で我が家に乱立しまくっている M 蔵野音大生 fon で試してみよう。
ブックマークレット
利用してるPCが数台あるけど、1台だけ新はてブに登録した。画面の上にブクマが表示されるのが嫌。ポップアップに戻したい。
こういうものって、spywareチェックなんかでチェックできるのでしょうかね。 いくらSSLがあっても、情報を誤って?流出させそうですし
いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力すること/del.icio.usも同じだな
了解!
はてなブックマークの新Bookmarkletにセキュリティ上のリスクがあるって話
基本プニラーなのであまり関係ないけど。
ブックマークレットの存在に全然気づかなかったし、今後も使わないだろうけどブクマ。
誰とは言わないけど , デザイナーによってはクソッタレな効果を使ってそれで満足してる人がいる . どうしてあんなデザインがまかり通るんだ!って話だよね ./新はてブは大嫌いだ!寒気がする!薄っぺらだ!大嫌いだ!
ログインフローだけは独立したウィンドウで。ログイン作業が終わったらそのウィンドウを閉じて、元のiframeをリロード。
高木氏らしいGJな指摘 & "はてな"らしい作り込み
ふむー。フィッシングに使われる可能性がある、ということね。
改善されたみたいだな
"いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである"
というか新しくなってるって気づかなかった。ずっと旧のやつ使ってたよ。
hatena
ログインしている状態で使ってたから気づかなかった。URL が出ないページ内JavaScriptウィンドウにパスワードや個人情報を送信させるのは確かに問題かもしれない。
JSを有効にしてある人しか使えない「新ブックマークレット」って・・・。JS使えってこと?マルウェア対策のためにJSを切るのが必要な今の時代、この仕組みはおかしい。
新ブックマークレットがなぜか使えず、旧ブックマークレットに戻したオレは勝ち組?w
これはつい忘れちゃう → 『そもそも、ブックマークレットの使用というのは、「.exe」ファイルの実行と同様のセキュリティリスクの伴うものである』
なんか・・・なんかすいません・・・
言われてみればおっしゃるとおり。新ブクマレットの動作は知らなかったが、自分は気づけていただろうか。気づけるかどうかがセンスの分かれ目なのかしら。
ブックマークレットなんてもともと使ってないから関係ないや。というか前に比べて重くなったのはやめて欲しいんだが。数値文字参照の問題も直ってないし。
視覚障害者はこのフレームをタブとして分離する操作を自分でできないようなきがするのでなおさら危険かも知れない??どうかな
はてブ
はまちちゃんなら早速このブックマークレットの盲点を突いた何かをやってくれるはず。wktkして待ってますww
"はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。"
iPhoneとかどうするんすか…。
JSActionの前のブックマークレットのURLを書き換えて新バージョンに対応したけど・・・ここまでの検証はさすがにしてない
Facebook ConnectやEvernote APIのmicroclip OAuthも同じ。ログインシール的なもので解決できないものか。
javascriptをONにしてないとブクマできないみたいだし前のに戻した。
新しい技術には新しい落とし穴ですね。ぶらぶじゃw
「ブックマークレットでそこまでやることが許されるのか」「Webの安全な利用手順を破壊するこのようなブックマークレットを普及させるのは、やめていただきたい」
OMFG! ベータんときから使いまくってしもうたがな! で、リニュ後のはてブでこれが初めてのブクマになってしまったw でも新しい方はページの文章をコピペするときとか便利なんだよなあ。。
これ開くときに、下に「b.hatena.ne.jpの応答を待っています」って出るからOK?/なんていうか、じゃあはてブやるなよ(笑)っていうのは禁句?
なるほどね、というコメントを新しい小窓を使って入力
ポップアップなんとなく気持ち悪いとは思ったがこれか
ポップアップ切ってるから気が付かなかった。
とりあえず今回の変更は改悪としか思えませんwww
Tomblooも使えなくなったからいまは旧ブックマークレットから登録してる。
JavaScriptにより擬似ダイアログを表示するブックマークレットの危険性。元ページのコントロール化にあるため偽ログインページへの差し替えが可能。
andvertさん<「新しくて面白い」ものが「新しくて面白くて安全」になれば使う人がもっと増えます。つまり高木さんの行為は「面白いもの」の普及の手伝いでもあるわけで。本来はGoogleやはてなが自前ですべきことですが
やっぱり記事にした。
…あ、そう言う風になるようになってたんだぁ、へぇ。おいら普通に「追加」のページの入力欄右クリして検索ワード登録してたから全然気づかんかったよ。いやぁ、かっこいいねぇw
googleばかり追いかけていたのかと思っていたら・・/でも参考になった。気をつけなくちゃね。
久しくGoogleニートになってた高木先生が働いてる!(違/正直勉強になった。
jつまり「javascript:window.location='http://b.hatena.ne.jp/add?mode=confirm&title='+escape(document.title)+'&url='+escape(location.href);」を使えと。
高木先生の視点から
ページ内JavaScriptウィンドウからのログインの危険性について。
そもそもこの手のサービスは捨てアドでしか登録しないし、あたりさわりの無い事しか書き込まないしなあ
その危ないブックマークレットからブックマークを追加
さっき一瞬はてブがメンテナンス中になってびびった
Lelouch(ルルーシュ・ランペルージ=神聖ブリタニア帝国の皇子)とLellouche(エリー・ルルーシュ=仏の調教師)とRelaunch(リローンチ=米の競走馬・種牡馬)を空目する僕は、harema.ne.jpとかでも平気で引っ掛かりそうだ。
ぼくらのはてななら・・・きっとなんとかしてくれる!
> はてなの人たちは、普段アドレスバーを見てないのか?
はてなにしろGoogleにしろ、この人は新しいものの欠点を叩いてるイメージしか無くて、全く面白いと思えない。この人の言ってる事は正しいのかもしれないけれど、欠点だけ叩いてても面白い物は出てこない気がする。
http://www.yabooo.org/archives/170 通報済み。何らかの対策を講じてくれるそうです。
へぇ〜。勉強になた。
ページ内JavaScriptウィンドウで認証を行うのは危険
外部のJavaScriptを読み込むタイプのブックマークレットはいろいろ悪戯ができそうなんだよな。1/1000 の確率で悪意あるスクリプトを出すとか、特定のプロバイダからのアクセスのときにそうするとか。
画面遷移するはてなバー使えってことですね、わかります/↓に旧ブックマークレットの場所を書いてくれている人がいるよー/#p01の有無でブクマが分散してしまってるな
注意。
「「ページ内JavaScriptウィンドウ」が出てくるのか
「はてなブックマーク"レット"」という存在を初めて知った!
こんなに反応あるもんなんだなぁ。何かみんな右向け右みたいで気持ち悪さを感じる
使いたくてもNoScriptとの関係で使えない。/新ブックマークレットへの誘導が消えたのはこの記事と関係あるのかな?/二重起動でリダイレクトされた気がする。
JavaScriptによる疑似ダイアログの危険性。ログインフォームは危険すぎる。
ぶくましたいページのjsをNo Scriptで切ってるとブックマークレットが動かないのはそういうわけだったのね。そもそもこの仕様がうざいよね。
すでに書かれてるけどEvernoteのBookmarkletもそうだよね
新型ブックマークレットはポップアップウィンドウのログイン画面でセキュリティ上危険。
まえのバージョンのリンク消してしまった(T-T
あーそうだったのかぁ
久しぶりにGoogle以外のネタ
はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。ブックマークレットでそこまでやることが許されるのか。
今日ブクマしても新しいブックマークレットをサジェストされなかったのはこれが影響してる?
毎度よく見つけるなw >はてなの人たちは、普段アドレスバーを見てないのか? サーセンwww
古いブックマークレットに戻した。
まあ、旧ブックマーク方式も残されているようなので、そちらの方でしばらく様子見。
なるほどそれはまずい、ということで旧式(非ポップアップ)に戻しました。
それ以前に挙動がおかしかったから旧版に戻した…どうなってんのこれ?
> Webの安全な利用手順を破壊する*3このようなブックマークレットを普及させるのは、やめていただきたい。
"[セキュリティ][はてな]"これは幾ら何でも酷すぎる。そしてページ内JavaScriptコワス(ガクブル)
ログイン画面までポップアップで表示する仕様だったんだ。
なるほどーと思ったこのコメントを「ページ内JavaScriptウィンドウ」で入力しちゃった。やはりウェブのセキュリティ問題はGoogleだけの話じゃない。
はてな側の対応に期待
知らなかった〜
すごい
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない:「「ページ内JavaScriptウィンドウ」の内容は、元ページのJavaScriptによって差し替え等が可能な状態にある」
コメントを眺めてから「このエントリーをブックマークに追加」の流れにする
やられた…。元々必ずはてなのページからログインしてから使う暮らし方してるから問題なかったけど。/「これ使うといいよ」と代替出されても、それが安心して使えるかは…。
常にログイン状態なので気付かなかった・・・。
おー、危ない危ない
おーこわ
新しくなって2つ目のブクマ。めんどいのでブックマークレットは新しくしていない。ブクマはなんとなく遅くなったような。今コメントつけているんだけど、最後の文字が見えない。前のでよかったのに。
パスワード盗まれる可能性あるから、新ブックマークレット使わない方がいいと。やるならフレームを新規タブで開き、urlがhatenaのものか確認して。ページ内JavaScriptウィンドウは表示中のWebページのコントロール下
あぶねーとこだった(´д`;)
火狐でNoScript使ってると、どっちにしろ旧ブックマークレットしか使い物にならないんだよね/旧に戻したい人は、このURLにある このページをブックマークに追加 を使ってください http://www.hatena.ne.jp/tool/bookmarklet
旧ブックマクレットつかい続けているけど、ここブクマしようとすると犬が出てきたよ。おれはねこ大好き。デザイナーと組むとUIろくなことにならないよね 例としてQuicktime,Itune,M$PLAYER10 のウインドウ
はてなに安全意識を求める方がダメなのかねぇ。/ ブックマークレットもツールバーも信用してないから元々使っていない。はてなの技術陣は「便利なものを作った」と勘違いしているんだろうな。
そう思って回避。
さて、hatenaberが更新されたらどうなるのでしょう
小窓がでてきてなにこれかっこいい!とか思ってたのに
「便利になるかわりにリスクを伴う」という意味では、Windows98の電源管理と似ている。
いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである。
うっ、もう使うように交換してしまった。これも、そのブックマークレットからだし。
JavaScriptなしでも簡単に登録できるようにしてほしい。大体ベータの時はJavaScriptなしでGoogle Toolbarから登録できたのに本番でいきなり仕様変更するならベータの意味ない。
言われて見れば確かに。
うーん、なんとなく理解/ページ内JavaScriptは、タグブラウザ使いたくってるので正直鬱陶しいし、その機能は使ってない。/はてなバー使ってるし。
via mrmr先生 あやうくだまされるところだった
『「ページ内JavaScriptウィンドウ」は、それが所属するブラウザウィンドウが表示中のWebページのコントロール下にある』のにパスワードなど入れられるのはセキュリティ的に問題かなりあり。/hatenaツールバー使おう。
たぶん親ページからフォームを監視してPW抜けますわな。
だそうです。開発者の盲点だったんだろうなぁ、高木先生ありがとうございます!
『Ajaxで多用されるアドレスバーのないページ内ウィンドウでは送信先を直接に確認できない。このようなブックマークレット、このようなUI操作を一般の人々に普及させるべきでない』妥当性の高い指摘
ブラウザの進化の歴史が最近の技術者には受け継がれてないな、と言う不安を感じる
さすがネットご意見番(和田アキ子的立ち位置)の高木さん!
ブックマークレットでそこまでやることが許されるのか / ギークの人が内容を理解して自己責任で様々なブックマークレットを使うのはかまわない。だが、一般の人を巻き込まないで欲しい / Webの安全な利用手順を破壊
ツールバーからは大丈夫なのかな?/あとで改めてちゃんと読もう。
このページをブクマしようとしたら、おにゅーのブックマークレットのお知らせがなかった。
DOM注入のブックマークレットを一般人に使わせてはいけない
旧バージョンで十分。AtomAPI叩くFirefoxアドオン作ればOkかな。はてなツールバーは一行も取られて画面空間コストが高すぎる 。 これを修正するのが早いかも → https://addons.mozilla.org/ja/firefox/addon/6497
アドレスバーのURLのドメイン名が hatena.ne.jp であることを確認してからでないとパスワードを入力するのは危険
すでにログイン画面は別ウィンドウ(別タブ)に表示されるように修正されてる。はてな対応早っ!非同期更新がセキュリティ上の盲点になりやすいというのはその通りだけど。。。
前のブックマークレットに戻した。
はまちちゃんに期待(違
noscript入れてると(信頼してるサイト以外では)動かない?/ひとまず旧バージョン使ってます。
旧使い続ければいいのか。
あやうくはてなのワナにはまるところだったぜ。。。旧バージョンはここから http://www.hatena.ne.jp/tool/bookmarklet
高木センセが早くも反応。要は、ブラウザ内ポップアップ全般において認証情報を入力すべきでないという話。
予言:はまちちゃんの手により、ネタサイトが出現する …新ブクマを起動した瞬間、設定済みの単語「こんにちはこんにちは!」で自動的にブックマーク完了してしまういたずら …とか。 (CSRFじゃないし何?)
あばばばば 言われてみればそうか・・・早く対策してもらわねば
リロードされるのが嫌だったのでこっちに変えた つ http://as-is.net/blog/archives/001383.html
こういうポップアップには成れちゃったから特に違和感なく使ってたな。 / 新はてブのに関わらず、こういうポップアップ形式のブックマークレットにはIDを入力しないように。
遅かったorz
単純に、使いにくいから元に戻したい、と思っていたがセキュリティーの問題があったとは。
何の疑いも持たず、すでにやってた。orz。
新ブックマークレットでブクマしておきますね。
ログインだけじゃなくて「ブックマークする内容」がとられ…クッキーどうなんの!
hatenabarから登録してみたよ。
これをブックマークレットではてぶする
ブックマークレットの使用というのは、「.exe」ファイルの実行と同様のセキュリティリスクの伴うものであることを忘れてはならない。
CSSでオーバーレイするタイプのこの手のbookmarkletは対象サイトがFlashバリバリだとwmodeとCSSのz-indexプロパティの状況によっては表示に支障が出ます。
もう一度ブックマークレットをクリックし起動すると、はてブ画面にリダイレクトします。Flashでレイアウトが乱れる方、本当にはてブ側のJSが呼ばれてるのか心配な方は、再度起動すると確認できます。
この記事を見て古いブックマークに戻した
ログインに気をつけようという話。/このブックマークレットは便利で気に入っています。
はてブの新ブックマークレットは危険だよって話 / ブックマークレットが新しくなってることに気付かなかった。古いままで十分なので、このままでいいや。
Opera で使うとブックマークレットのウィンドウ?が flash 広告と被ってちょっと涙目になったから早めに改善してほしいなぁ…。前のブックマークレットに戻したいなぁ…。
まぜるな危険。
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
あっれ?こんなウィンドウ出ないんだけど?
ページ内JavaScriptウィンドウの件。『「ページ内JavaScriptウィンドウ」の内容は、元ページのJavaScriptによって差し替え等が可能な状態』なるほど
http://b.hatena.ne.jp/register 更新されてた。最下部に旧ブックマークレットあり
↓phound < ぜひ実演して、本当に騙されるようなものになるのか、皆の感想を問うて欲しい。(某論文でそういうのがあったけどあれは前提がおかしい。)
ログイン済みなら問題ないのかな。 / → http://bakera.jp/ebi/topic/3411
使ってはいけないの前に、これ使えないときあるね。きちんとブクマされないことあるし。妙に遅かったり、メンテナンス中とかの表示出るし。自分のブクマに表示されてても、人数が0とか出るし。
なるほど! 感心しつつ、この記事を新ブックマークレットでブクマしてしまった俺ガイル
タカギーきたこれw
javascript 製ウィンドウもどきに偽アドレスバーを書いたら「アドレスバーを確認すれば大丈夫」と思っている人が引っ掛りそう
今日のエントリ読んで、先生はWebセキュリティ界の海原雄山だよなぁと改めて思った次第
新しいブックマークレットはタグが全部表示されない(スクロールバー付きになる)ので元に戻した。あと英語タグと日本語タグの表示順が混在してるのもどうにかなるといいんだけど
なるほど。。
ポップアップ+Ajax の危険性。ポップアップウィンドウは元ページのコントロール下にあるので、基本的に信用できない。フィッシングに使われる。情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、
なんとかしてください(と新しいブックマークレットからブクマ)
なるほどなー。とりあえずブックマークレット画面でログインはしないようにしよう。/と思ったけどクッキー抜かれたら意味なし?
「いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである」
ポップアップをつかった場合、親ページでごにょごにょできる可能性があると。
ページ内Javascriptの罠
早速消してるw;対象ページでJavaScriptを無効にしているとブックマークできないというバグはこれが原因か
そんなことよりFlashの後ろにはてブのウィンドウが隠れてうぜぇんですけどなんなんですかこれ。
さっそく旧ブックマークレットの画面から警告が消えてる
サイトにブックマークボタンを設置して、ブックマークレットと同じログイン画面を出したらだまされそうだな。//はてなスターでもログインを促すボックスが出る気がしたけど、勘違いだった。
「 「ページ内JavaScriptウィンドウ」はそのページのコンテンツであるという単純なルールを破壊してはいけない。 」
さすがに指摘が速い
動かなかったから使ってなかったな
新しいのはもすこし枯れてから使う。
新bookmarklet なぜか機能しなかったので気づかなかった。/フィッシングの可能性ってこれのことだったのかな?
hatenabar使っているので大丈夫か。今後どうなるかわからないけど・・・。
アドレスバーが見えてないから自分で出現させたページ内JavaScriptウィンドウかどうか判別がつかないので危険だよってこと?それともブックマークレット使ったときに別のドメインを差し込まれる危険性があるってこと?
それ以前にかなり使いにくいと感じたので旧バージョンを自分は使うことにした。つか「ブックマークを確認」のチェックはなぜ外れるんだ。一度つけたらそのままな前の仕様が好みだったのに。
ってか、新ブックマークレットだとログインできないんですが。。。
ブックマークレットを使わずに↑の「このエントリーをブックマークに追加」をクリックするとおかしなことになったのであった
分かりやすい説明「いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力すること」
「新しいブックマークレットがリリースされました。こちらから再設定をお願いします」←これのことね。
なるほど確かにこれは危険…。Evernote のブックマークレットも同じような仕掛けですね。http://gyazo.com/cda317c6f4dc5221d15a20101b5307e9.png
ページ内JavaScriptウィンドウ
JavaScript脳の弊害?
そうか気をつけようと思いつつ新ブックマークレットでブクマした。
「ページ内JavaScriptウィンドウ」はそのページのコンテンツであるという単純なルールの破壊。「ブックマークレット」というソフトウェアのローカルへのインストールは「.exe」ファイルの実行と同様のセキュリティリスク
そこでブクマページから「このエントリーをブックマークに追加」を使おうと思っても「#」が「%23」にパーセントエンコードされるために目的どおりにブクマできない罠
とりあえず古いままで良かった。今ならはてなアカウントを釣り放題と言う訳ですね、わかります。
使ってはいけないサービスを使ってブックマークw
ポップアップした画面になんか違和感あるなーって思ったのはこれだった?(かなり嘘。この手のウィンドウの出し方に最近慣れた)はてなにはアブナイものを求めてる自分だが、リテラシー失うのはたしかにヤバイ。
あー,なるほど。ブックマークしたくなるようなサイトを用意しておいて,あーして,こーすれば・・・。いろいろ抜けるな。うん。
はてブのブックマークレットからログインしてはいけない。
→ http://b.hatena.ne.jp/entry/10990263
ってことは、あれをああやって、こうやれば、特定はてなーのIPアドレスがIDと紐付けされた状態で筒抜けになるのかな?
あ…ありのまま今起こった事を話すぜ! 「おれはhatena.ne.jpにログインしたと思ったらtakagi-hiromitsu.jpにパスワードを盗まれていた」な… 何を言ってるのか(ry
とりあえずログイン気をつけとくか。あとなんだか、はてぶ側「このエントリー~」リンクでこれブックマークしようとすると、URLとかおかしくなる。#記号入ってるせいかな。編集も出来ないや…(Ajaxでの直接編集はおk
参考になる
まぁ危険だよね
ログインのところは修正しますね。後半についてはもう少し考えます。
PCで
『ブックマークレットで自分で出したウィンドウとなると、元ページの信用性を忘れて、過度に信用してしまう危険がある』
script禁止してるサイトは登録できないのでなんだこれはと思ったら。単純に不便だという点でも新ブックマークレットは使えない
早速駄目出しされた。/ブックマークレットはブラウザが重くなるので使わない←どんだけ低スペック
今日、はてブに新規登録したばかりなのに。ブックマークレット削除しよ。
[PR]人気のエログが大集合
はてなブックマークの中から「これはひどい」エントリーを取り上げて、Digg風に表示したサイトです。より人の為になるこれはすごいバージョンもあります。
はてブで「これはひどい」タグを付けると投票としてカウントされ、コメントを書き込むとコメントとして反映されます。はてな認証APIによる投票にも対応しています。
コメント
どうしろと?
FirefoxのNoScriptを使用しているので、どっちにしても旧バージョンのブックマークレットを使うしかないのですが
こういう懸念に対するコメントが欲しい。Googleでなく、任天堂を目指すなら尚更。
ブックマークレット使ってないけど、一応security情報として。個人的には、Updateされてから他にも色々と使い辛くなったと思う。以前のシンプルなUIのほうが良かったな。参考【http://slashdot.jp/security/08/11/28/0255251.shtml】
使いにくいと思って検索してたどり着いてブクマ。旧版に戻した。
火狐でNoscript入れていると(信頼しているサイト以外で)ブクマ出来ないのは、こういう事だったのか?
じゃ、別ウィンドウにひらくやつもはっときます。 javascript:window.open('http://b.hatena.ne.jp/add?mode=confirm&is_bm=1&title='+escape(document.title)+'&url='+escape(location.href),%20'_blank',%20'width=520,height=600,resizable=1,scrollbars=1');undefined;
気づかなかった~orz
制作者はこの辺忘れないようにしないと。。
なるほど。後で我が家に乱立しまくっている M 蔵野音大生 fon で試してみよう。
ブックマークレット
利用してるPCが数台あるけど、1台だけ新はてブに登録した。画面の上にブクマが表示されるのが嫌。ポップアップに戻したい。
こういうものって、spywareチェックなんかでチェックできるのでしょうかね。 いくらSSLがあっても、情報を誤って?流出させそうですし
いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力すること/del.icio.usも同じだな
了解!
はてなブックマークの新Bookmarkletにセキュリティ上のリスクがあるって話
基本プニラーなのであまり関係ないけど。
ブックマークレットの存在に全然気づかなかったし、今後も使わないだろうけどブクマ。
誰とは言わないけど , デザイナーによってはクソッタレな効果を使ってそれで満足してる人がいる . どうしてあんなデザインがまかり通るんだ!って話だよね ./新はてブは大嫌いだ!寒気がする!薄っぺらだ!大嫌いだ!
ログインフローだけは独立したウィンドウで。ログイン作業が終わったらそのウィンドウを閉じて、元のiframeをリロード。
高木氏らしいGJな指摘 & "はてな"らしい作り込み
ふむー。フィッシングに使われる可能性がある、ということね。
改善されたみたいだな
"いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである"
というか新しくなってるって気づかなかった。ずっと旧のやつ使ってたよ。
hatena
ログインしている状態で使ってたから気づかなかった。URL が出ないページ内JavaScriptウィンドウにパスワードや個人情報を送信させるのは確かに問題かもしれない。
JSを有効にしてある人しか使えない「新ブックマークレット」って・・・。JS使えってこと?マルウェア対策のためにJSを切るのが必要な今の時代、この仕組みはおかしい。
新ブックマークレットがなぜか使えず、旧ブックマークレットに戻したオレは勝ち組?w
これはつい忘れちゃう → 『そもそも、ブックマークレットの使用というのは、「.exe」ファイルの実行と同様のセキュリティリスクの伴うものである』
なんか・・・なんかすいません・・・
言われてみればおっしゃるとおり。新ブクマレットの動作は知らなかったが、自分は気づけていただろうか。気づけるかどうかがセンスの分かれ目なのかしら。
ブックマークレットなんてもともと使ってないから関係ないや。というか前に比べて重くなったのはやめて欲しいんだが。数値文字参照の問題も直ってないし。
視覚障害者はこのフレームをタブとして分離する操作を自分でできないようなきがするのでなおさら危険かも知れない??どうかな
はてブ
はまちちゃんなら早速このブックマークレットの盲点を突いた何かをやってくれるはず。wktkして待ってますww
"はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。"
iPhoneとかどうするんすか…。
JSActionの前のブックマークレットのURLを書き換えて新バージョンに対応したけど・・・ここまでの検証はさすがにしてない
Facebook ConnectやEvernote APIのmicroclip OAuthも同じ。ログインシール的なもので解決できないものか。
javascriptをONにしてないとブクマできないみたいだし前のに戻した。
新しい技術には新しい落とし穴ですね。ぶらぶじゃw
「ブックマークレットでそこまでやることが許されるのか」「Webの安全な利用手順を破壊するこのようなブックマークレットを普及させるのは、やめていただきたい」
OMFG! ベータんときから使いまくってしもうたがな! で、リニュ後のはてブでこれが初めてのブクマになってしまったw でも新しい方はページの文章をコピペするときとか便利なんだよなあ。。
これ開くときに、下に「b.hatena.ne.jpの応答を待っています」って出るからOK?/なんていうか、じゃあはてブやるなよ(笑)っていうのは禁句?
なるほどね、というコメントを新しい小窓を使って入力
ポップアップなんとなく気持ち悪いとは思ったがこれか
ポップアップ切ってるから気が付かなかった。
とりあえず今回の変更は改悪としか思えませんwww
Tomblooも使えなくなったからいまは旧ブックマークレットから登録してる。
JavaScriptにより擬似ダイアログを表示するブックマークレットの危険性。元ページのコントロール化にあるため偽ログインページへの差し替えが可能。
andvertさん<「新しくて面白い」ものが「新しくて面白くて安全」になれば使う人がもっと増えます。つまり高木さんの行為は「面白いもの」の普及の手伝いでもあるわけで。本来はGoogleやはてなが自前ですべきことですが
やっぱり記事にした。
…あ、そう言う風になるようになってたんだぁ、へぇ。おいら普通に「追加」のページの入力欄右クリして検索ワード登録してたから全然気づかんかったよ。いやぁ、かっこいいねぇw
googleばかり追いかけていたのかと思っていたら・・/でも参考になった。気をつけなくちゃね。
久しくGoogleニートになってた高木先生が働いてる!(違/正直勉強になった。
jつまり「javascript:window.location='http://b.hatena.ne.jp/add?mode=confirm&title='+escape(document.title)+'&url='+escape(location.href);」を使えと。
高木先生の視点から
ページ内JavaScriptウィンドウからのログインの危険性について。
そもそもこの手のサービスは捨てアドでしか登録しないし、あたりさわりの無い事しか書き込まないしなあ
その危ないブックマークレットからブックマークを追加
さっき一瞬はてブがメンテナンス中になってびびった
Lelouch(ルルーシュ・ランペルージ=神聖ブリタニア帝国の皇子)とLellouche(エリー・ルルーシュ=仏の調教師)とRelaunch(リローンチ=米の競走馬・種牡馬)を空目する僕は、harema.ne.jpとかでも平気で引っ掛かりそうだ。
ぼくらのはてななら・・・きっとなんとかしてくれる!
> はてなの人たちは、普段アドレスバーを見てないのか?
はてなにしろGoogleにしろ、この人は新しいものの欠点を叩いてるイメージしか無くて、全く面白いと思えない。この人の言ってる事は正しいのかもしれないけれど、欠点だけ叩いてても面白い物は出てこない気がする。
http://www.yabooo.org/archives/170 通報済み。何らかの対策を講じてくれるそうです。
へぇ〜。勉強になた。
ページ内JavaScriptウィンドウで認証を行うのは危険
外部のJavaScriptを読み込むタイプのブックマークレットはいろいろ悪戯ができそうなんだよな。1/1000 の確率で悪意あるスクリプトを出すとか、特定のプロバイダからのアクセスのときにそうするとか。
画面遷移するはてなバー使えってことですね、わかります/↓に旧ブックマークレットの場所を書いてくれている人がいるよー/#p01の有無でブクマが分散してしまってるな
注意。
「「ページ内JavaScriptウィンドウ」が出てくるのか
「はてなブックマーク"レット"」という存在を初めて知った!
こんなに反応あるもんなんだなぁ。何かみんな右向け右みたいで気持ち悪さを感じる
使いたくてもNoScriptとの関係で使えない。/新ブックマークレットへの誘導が消えたのはこの記事と関係あるのかな?/二重起動でリダイレクトされた気がする。
JavaScriptによる疑似ダイアログの危険性。ログインフォームは危険すぎる。
ぶくましたいページのjsをNo Scriptで切ってるとブックマークレットが動かないのはそういうわけだったのね。そもそもこの仕様がうざいよね。
すでに書かれてるけどEvernoteのBookmarkletもそうだよね
新型ブックマークレットはポップアップウィンドウのログイン画面でセキュリティ上危険。
まえのバージョンのリンク消してしまった(T-T
あーそうだったのかぁ
久しぶりにGoogle以外のネタ
はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。ブックマークレットでそこまでやることが許されるのか。
今日ブクマしても新しいブックマークレットをサジェストされなかったのはこれが影響してる?
毎度よく見つけるなw >はてなの人たちは、普段アドレスバーを見てないのか? サーセンwww
古いブックマークレットに戻した。
まあ、旧ブックマーク方式も残されているようなので、そちらの方でしばらく様子見。
なるほどそれはまずい、ということで旧式(非ポップアップ)に戻しました。
それ以前に挙動がおかしかったから旧版に戻した…どうなってんのこれ?
> Webの安全な利用手順を破壊する*3このようなブックマークレットを普及させるのは、やめていただきたい。
"[セキュリティ][はてな]"これは幾ら何でも酷すぎる。そしてページ内JavaScriptコワス(ガクブル)
ログイン画面までポップアップで表示する仕様だったんだ。
なるほどーと思ったこのコメントを「ページ内JavaScriptウィンドウ」で入力しちゃった。やはりウェブのセキュリティ問題はGoogleだけの話じゃない。
はてな側の対応に期待
知らなかった〜
すごい
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない:「「ページ内JavaScriptウィンドウ」の内容は、元ページのJavaScriptによって差し替え等が可能な状態にある」
コメントを眺めてから「このエントリーをブックマークに追加」の流れにする
やられた…。元々必ずはてなのページからログインしてから使う暮らし方してるから問題なかったけど。/「これ使うといいよ」と代替出されても、それが安心して使えるかは…。
常にログイン状態なので気付かなかった・・・。
おー、危ない危ない
おーこわ
新しくなって2つ目のブクマ。めんどいのでブックマークレットは新しくしていない。ブクマはなんとなく遅くなったような。今コメントつけているんだけど、最後の文字が見えない。前のでよかったのに。
パスワード盗まれる可能性あるから、新ブックマークレット使わない方がいいと。やるならフレームを新規タブで開き、urlがhatenaのものか確認して。ページ内JavaScriptウィンドウは表示中のWebページのコントロール下
あぶねーとこだった(´д`;)
火狐でNoScript使ってると、どっちにしろ旧ブックマークレットしか使い物にならないんだよね/旧に戻したい人は、このURLにある このページをブックマークに追加 を使ってください http://www.hatena.ne.jp/tool/bookmarklet
旧ブックマクレットつかい続けているけど、ここブクマしようとすると犬が出てきたよ。おれはねこ大好き。デザイナーと組むとUIろくなことにならないよね 例としてQuicktime,Itune,M$PLAYER10 のウインドウ
はてなに安全意識を求める方がダメなのかねぇ。/ ブックマークレットもツールバーも信用してないから元々使っていない。はてなの技術陣は「便利なものを作った」と勘違いしているんだろうな。
そう思って回避。
さて、hatenaberが更新されたらどうなるのでしょう
小窓がでてきてなにこれかっこいい!とか思ってたのに
「便利になるかわりにリスクを伴う」という意味では、Windows98の電源管理と似ている。
いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである。
うっ、もう使うように交換してしまった。これも、そのブックマークレットからだし。
JavaScriptなしでも簡単に登録できるようにしてほしい。大体ベータの時はJavaScriptなしでGoogle Toolbarから登録できたのに本番でいきなり仕様変更するならベータの意味ない。
言われて見れば確かに。
うーん、なんとなく理解/ページ内JavaScriptは、タグブラウザ使いたくってるので正直鬱陶しいし、その機能は使ってない。/はてなバー使ってるし。
via mrmr先生 あやうくだまされるところだった
『「ページ内JavaScriptウィンドウ」は、それが所属するブラウザウィンドウが表示中のWebページのコントロール下にある』のにパスワードなど入れられるのはセキュリティ的に問題かなりあり。/hatenaツールバー使おう。
たぶん親ページからフォームを監視してPW抜けますわな。
だそうです。開発者の盲点だったんだろうなぁ、高木先生ありがとうございます!
『Ajaxで多用されるアドレスバーのないページ内ウィンドウでは送信先を直接に確認できない。このようなブックマークレット、このようなUI操作を一般の人々に普及させるべきでない』妥当性の高い指摘
ブラウザの進化の歴史が最近の技術者には受け継がれてないな、と言う不安を感じる
さすがネットご意見番(和田アキ子的立ち位置)の高木さん!
ブックマークレットでそこまでやることが許されるのか / ギークの人が内容を理解して自己責任で様々なブックマークレットを使うのはかまわない。だが、一般の人を巻き込まないで欲しい / Webの安全な利用手順を破壊
ツールバーからは大丈夫なのかな?/あとで改めてちゃんと読もう。
このページをブクマしようとしたら、おにゅーのブックマークレットのお知らせがなかった。
DOM注入のブックマークレットを一般人に使わせてはいけない
旧バージョンで十分。AtomAPI叩くFirefoxアドオン作ればOkかな。はてなツールバーは一行も取られて画面空間コストが高すぎる 。 これを修正するのが早いかも → https://addons.mozilla.org/ja/firefox/addon/6497
アドレスバーのURLのドメイン名が hatena.ne.jp であることを確認してからでないとパスワードを入力するのは危険
すでにログイン画面は別ウィンドウ(別タブ)に表示されるように修正されてる。はてな対応早っ!非同期更新がセキュリティ上の盲点になりやすいというのはその通りだけど。。。
前のブックマークレットに戻した。
はまちちゃんに期待(違
noscript入れてると(信頼してるサイト以外では)動かない?/ひとまず旧バージョン使ってます。
旧使い続ければいいのか。
あやうくはてなのワナにはまるところだったぜ。。。旧バージョンはここから http://www.hatena.ne.jp/tool/bookmarklet
高木センセが早くも反応。要は、ブラウザ内ポップアップ全般において認証情報を入力すべきでないという話。
予言:はまちちゃんの手により、ネタサイトが出現する …新ブクマを起動した瞬間、設定済みの単語「こんにちはこんにちは!」で自動的にブックマーク完了してしまういたずら …とか。 (CSRFじゃないし何?)
あばばばば 言われてみればそうか・・・早く対策してもらわねば
リロードされるのが嫌だったのでこっちに変えた つ http://as-is.net/blog/archives/001383.html
こういうポップアップには成れちゃったから特に違和感なく使ってたな。 / 新はてブのに関わらず、こういうポップアップ形式のブックマークレットにはIDを入力しないように。
遅かったorz
単純に、使いにくいから元に戻したい、と思っていたがセキュリティーの問題があったとは。
何の疑いも持たず、すでにやってた。orz。
新ブックマークレットでブクマしておきますね。
ログインだけじゃなくて「ブックマークする内容」がとられ…クッキーどうなんの!
hatenabarから登録してみたよ。
これをブックマークレットではてぶする
ブックマークレットの使用というのは、「.exe」ファイルの実行と同様のセキュリティリスクの伴うものであることを忘れてはならない。
CSSでオーバーレイするタイプのこの手のbookmarkletは対象サイトがFlashバリバリだとwmodeとCSSのz-indexプロパティの状況によっては表示に支障が出ます。
もう一度ブックマークレットをクリックし起動すると、はてブ画面にリダイレクトします。Flashでレイアウトが乱れる方、本当にはてブ側のJSが呼ばれてるのか心配な方は、再度起動すると確認できます。
この記事を見て古いブックマークに戻した
ログインに気をつけようという話。/このブックマークレットは便利で気に入っています。
はてブの新ブックマークレットは危険だよって話 / ブックマークレットが新しくなってることに気付かなかった。古いままで十分なので、このままでいいや。
Opera で使うとブックマークレットのウィンドウ?が flash 広告と被ってちょっと涙目になったから早めに改善してほしいなぁ…。前のブックマークレットに戻したいなぁ…。
まぜるな危険。
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
あっれ?こんなウィンドウ出ないんだけど?
ページ内JavaScriptウィンドウの件。『「ページ内JavaScriptウィンドウ」の内容は、元ページのJavaScriptによって差し替え等が可能な状態』なるほど
http://b.hatena.ne.jp/register 更新されてた。最下部に旧ブックマークレットあり
↓phound < ぜひ実演して、本当に騙されるようなものになるのか、皆の感想を問うて欲しい。(某論文でそういうのがあったけどあれは前提がおかしい。)
ログイン済みなら問題ないのかな。 / → http://bakera.jp/ebi/topic/3411
使ってはいけないの前に、これ使えないときあるね。きちんとブクマされないことあるし。妙に遅かったり、メンテナンス中とかの表示出るし。自分のブクマに表示されてても、人数が0とか出るし。
なるほど! 感心しつつ、この記事を新ブックマークレットでブクマしてしまった俺ガイル
タカギーきたこれw
javascript 製ウィンドウもどきに偽アドレスバーを書いたら「アドレスバーを確認すれば大丈夫」と思っている人が引っ掛りそう
今日のエントリ読んで、先生はWebセキュリティ界の海原雄山だよなぁと改めて思った次第
新しいブックマークレットはタグが全部表示されない(スクロールバー付きになる)ので元に戻した。あと英語タグと日本語タグの表示順が混在してるのもどうにかなるといいんだけど
なるほど。。
ポップアップ+Ajax の危険性。ポップアップウィンドウは元ページのコントロール下にあるので、基本的に信用できない。フィッシングに使われる。情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、
なんとかしてください(と新しいブックマークレットからブクマ)
なるほどなー。とりあえずブックマークレット画面でログインはしないようにしよう。/と思ったけどクッキー抜かれたら意味なし?
「いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである」
ポップアップをつかった場合、親ページでごにょごにょできる可能性があると。
ページ内Javascriptの罠
早速消してるw;対象ページでJavaScriptを無効にしているとブックマークできないというバグはこれが原因か
そんなことよりFlashの後ろにはてブのウィンドウが隠れてうぜぇんですけどなんなんですかこれ。
さっそく旧ブックマークレットの画面から警告が消えてる
サイトにブックマークボタンを設置して、ブックマークレットと同じログイン画面を出したらだまされそうだな。//はてなスターでもログインを促すボックスが出る気がしたけど、勘違いだった。
「 「ページ内JavaScriptウィンドウ」はそのページのコンテンツであるという単純なルールを破壊してはいけない。 」
さすがに指摘が速い
動かなかったから使ってなかったな
新しいのはもすこし枯れてから使う。
新bookmarklet なぜか機能しなかったので気づかなかった。/フィッシングの可能性ってこれのことだったのかな?
hatenabar使っているので大丈夫か。今後どうなるかわからないけど・・・。
アドレスバーが見えてないから自分で出現させたページ内JavaScriptウィンドウかどうか判別がつかないので危険だよってこと?それともブックマークレット使ったときに別のドメインを差し込まれる危険性があるってこと?
それ以前にかなり使いにくいと感じたので旧バージョンを自分は使うことにした。つか「ブックマークを確認」のチェックはなぜ外れるんだ。一度つけたらそのままな前の仕様が好みだったのに。
ってか、新ブックマークレットだとログインできないんですが。。。
ブックマークレットを使わずに↑の「このエントリーをブックマークに追加」をクリックするとおかしなことになったのであった
分かりやすい説明「いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力すること」
「新しいブックマークレットがリリースされました。こちらから再設定をお願いします」←これのことね。
なるほど確かにこれは危険…。Evernote のブックマークレットも同じような仕掛けですね。http://gyazo.com/cda317c6f4dc5221d15a20101b5307e9.png
ページ内JavaScriptウィンドウ
JavaScript脳の弊害?
そうか気をつけようと思いつつ新ブックマークレットでブクマした。
「ページ内JavaScriptウィンドウ」はそのページのコンテンツであるという単純なルールの破壊。「ブックマークレット」というソフトウェアのローカルへのインストールは「.exe」ファイルの実行と同様のセキュリティリスク
そこでブクマページから「このエントリーをブックマークに追加」を使おうと思っても「#」が「%23」にパーセントエンコードされるために目的どおりにブクマできない罠
とりあえず古いままで良かった。今ならはてなアカウントを釣り放題と言う訳ですね、わかります。
使ってはいけないサービスを使ってブックマークw
ポップアップした画面になんか違和感あるなーって思ったのはこれだった?(かなり嘘。この手のウィンドウの出し方に最近慣れた)はてなにはアブナイものを求めてる自分だが、リテラシー失うのはたしかにヤバイ。
あー,なるほど。ブックマークしたくなるようなサイトを用意しておいて,あーして,こーすれば・・・。いろいろ抜けるな。うん。
はてブのブックマークレットからログインしてはいけない。
→ http://b.hatena.ne.jp/entry/10990263
ってことは、あれをああやって、こうやれば、特定はてなーのIPアドレスがIDと紐付けされた状態で筒抜けになるのかな?
あ…ありのまま今起こった事を話すぜ! 「おれはhatena.ne.jpにログインしたと思ったらtakagi-hiromitsu.jpにパスワードを盗まれていた」な… 何を言ってるのか(ry
とりあえずログイン気をつけとくか。あとなんだか、はてぶ側「このエントリー~」リンクでこれブックマークしようとすると、URLとかおかしくなる。#記号入ってるせいかな。編集も出来ないや…(Ajaxでの直接編集はおk
参考になる
まぁ危険だよね
ログインのところは修正しますね。後半についてはもう少し考えます。
PCで
『ブックマークレットで自分で出したウィンドウとなると、元ページの信用性を忘れて、過度に信用してしまう危険がある』
script禁止してるサイトは登録できないのでなんだこれはと思ったら。単純に不便だという点でも新ブックマークレットは使えない
早速駄目出しされた。/ブックマークレットはブラウザが重くなるので使わない←どんだけ低スペック
今日、はてブに新規登録したばかりなのに。ブックマークレット削除しよ。