風柳メモ

ソフトウェア・プログラミング関連の覚書が中心

はてなブックマークの新版ブックマークレットはやっぱり危険!

高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない

で書かれているとおり、使うのは止めるべき、でしょう。

別にこれは、はてなブックマークに限ったことではなく、閲覧しているページにページ内ウィンドウ(擬似ダイアログ)を作成するようなタイプのブックマークレット一般に言えることでしょう。

  • ページ内ウィンドウ(擬似ダイアログ)は、閲覧しているページ(があるサイト)のコントロール下となるため、サイトオーナ側で悪意のある仕掛けを比較的容易に施せる。

にも関らず、

  • ページ内ウィンドウ(擬似ダイアログ)に表示されたページは一見ではURIを確認できない。
  • 正規に提供されているブックマークレットを自ら実行して表示された内容であれば、つい信用してしまう。

ために、悪意のあるサイトによる被害を受けやすくなるものと思われます。

例えばはてブの場合、現状のままでは、少し調べれば簡単に↓のようなページを作れてしまいます。

はてブの新ブックマークレットが危険な例

上記ページでは、ログインしている/いないに関りなく、新版ブックマークレットを使うと偽のログインページが表示されてしまいますが、これをぱっと見抜くのはなかなか難しいのでは?

既に危険性がわかっていて、なおかつ放置したままはまずいと思われます。
根本的な解決策が出てこない限り、すぐに、新ブックマークレットの配布はもちろん、使われた場合にもページ内ウィンドウではなく、普通のブックマーク登録ページにリダイレクトされるようにすべきではないでしょうか?>はてなさん。

単に、ブクマ封じに使うとか出来るだけなら罪はないんでしょうけれど、ねぇ……。