たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。
捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。
http://anond.hatelabo.jp/20061227145016
使いやすいからJsってだけで、悪意をもって振舞えば別にJavaScriptつかわないでも現状のもと実現できるよね。
まちちゃんの可愛いところはマグロの解体ショーを人前で実践してくれるところ。
切り身のトロがメバチマグロなのか黒マグロなのか気にせずにショーとして楽しめるところ。
そもそも今回はJsなんか使われてないよね?
クライアント側に何をするのかより、サーバー側になにをするのかだと思うんだ。
鍵をいくつもつけまくるのは確かに抑止力にはなる。だけど不便じゃない?
いろんなブログパーツがあるけどはてなでは自由に使えないじゃない?
<a href="javascript:alert('こんにちはこんにちは!');">マグロの解体ショー</a>
こんな簡単なスクリプトからcss/expression()まで弾くぐらいJsをガチガチにブロックしている理由はさすがに少し技術的な固執じゃないかなと思う。スタイルシートをタグに適用するのも禁止とか……。
そのわりに肝心なアカウント認証の部分が緩いからこういうことになるんじゃないかな。
ドアには普通の鍵でいいから金庫の鍵だけはもうすこししっかりしてねという所感。
特にブログなんて公開するためのものだから、お店のドアが鍵だらけっていうのもどうなのかな。
金庫室って書いた鍵の緩いニセのドアを設けてそこを開けたお客さんをマークしておくとかすればいいと思うんだ。
戯言。
というか、今回のようなケースは別にCSRFでなくてもいいような気がする。 というか、はてなってGetとPOSTをあんま区別してないよね。 ログインとかもGETで通ったりするし。 img src="うんち...
というかいっそJavaSript許して欲しくない? ガチガチに固める理由がわからない。 お金絡むからなのかな? だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。 はまちちゃ.
たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。 捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。 http://anond
ドアには普通の鍵でいいから金庫の鍵だけはもうすこししっかりしてねという所感。 特にブログなんて公開するためのものだから、お店のドアが鍵だらけっていうのもどうなのかな。 悪い