ブックマークレットで、はてブフィッシング
ちょっと昔の記事(一年前)の話だけど、少し思いついたので補足を。
このエントリではブログの「B!」ボタンに気をつけようって話だったけど、 はてなブックマークのコメント欄に ブックマークレットを使ってるから平気だっていう記述がちらほら見つかったが、 それはちょっと違うんじゃないかなーと。
ブックマークレットを使ってフィッシング
例えばテスト用につくってみたページがあるのですが、
このページをポップアップ型のブックマークレットを利用してブックマークしてみてみると、 見事別サイトに飛ばされていることがわかる。
ポップアップされたページはURLの確認ができないので、 そのページが本物かどうかもわかりゃしない。オソロシイ。
しかもたった4行のスクリプトをサイトに追加するだけでおk。
window.oldOpen = window.open;
window.open = function(url, name, option) {
window.oldOpen('/log/2008/04/phishing.html', name, option);
}
最低限の防衛策
はてなブックマークのポップアップ型のブックマークレットは、 デフォルトではツールバーが見えなくなってるけど、 それを表示するようにして、URLを常に確認するようにするだけでもだいぶ違うと思う。
javascript:window.open('http://b.hatena.ne.jp/add?mode=confirm&is_bm=1&title='+encodeURIComponent(document.title)+'&url='+encodeURIComponent(location.href),%20'_blank',%20'toolbar=yes,width=650,height=700,resizable=1,scrollbars=1');undefined;
ちなみに確認したブラウザは、
- Mac OS X 10.5 + Safari 3.0.1
- Mac OS X 10.5 + Firefox 3.0b4
環境によっては大丈夫かもしれない。