新はてなブックマークの登録ブックマークレットは使ってはいけない 高木浩光氏の警告
ふと目に止まったセキュリティ関連の記事。
- 高木浩光@自宅の日記 – 新はてなブックマークの登録ブックマークレットは使ってはいけない
新はてなブックマークの登録ブックマークレットは、フィッシングや盗聴の危険あり
実際に、高木氏のサイトに行って熟読していただきたいが、
高木浩光@自宅の日記 – 新はてなブックマークの登録ブックマークレットは使ってはいけない
Ajax時代の安全なWebサイト利用の鉄則
フィッシングや盗聴の危険を回避するという意味で「安全にWebサイトを使う」正しい手順は、
- 安全なWebサイト利用の鉄則, 産業技術総合研究所情報セキュリティ研究センター
にまとめた通りであるが、ここに示されている単純な鉄則は、Ajax時代の「ページ内JavaScriptウィンドウ」が多用される状況においても同じである。
つまり、いかなる場合であれ、情報を入力する際には、入力する直前にブラウザのアドレスバーを確認し、アドレスバー上のドメイン名やSSL状態を確認してから入力することである。
要するに、新はてなブックマークの登録ブックマークレットを利用しようとして、はてなのサイトにある「こちらから再設定をお願いします」にしたがった場合、あるサイトのあるページで、「おっ、このページをはてブに登録しよう」と、このブックマークレットを使った場合、はてなのユーザー名・パスワードを入力すると、盗聴されるおそれありということらしい。
そもそも、ブックマークレットの使用というのは、「.exe」ファイルの実行と同様のセキュリティリスクの伴うものであることを忘れてはならない。
はてブの新型ブックマークレットは、見ているページにJavaScriptを注入し、DOMを操作してページを書き換えることで、このような「ページ内JavaScriptウィンドウ」を出現させるようになっている。ブックマークレットでそこまでやることが許されるのか。