ぼくはまちちゃん!(Hatena)

  • ライブドアリーダーで読む → Subscribe with livedoor Reader
ぼくはまちちゃん!のRSSフィード

2013/01/22

ブラウザにファイルをドロップしてはいけない

こんにちはこんにちは!!
先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました!

そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、
その時の小ネタを紹介しておきます。


最近、ブログとかのWebサービスで写真をアップロードする時に、
ファイルをドラッグ&ドロップするだけでできたりしますよね。
いちいちダイアログから選ばなくていいから便利です。

Drop images here.
こんなやつ。

この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして
「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、
それって別に、ブラウザが警告の意味で出してるんじゃなくて、
あくまで、Webサービス側が親切で表示してるだけなんですよね。

ってことは

・ドラッグされても特にボーダーラインなどを表示せず
・画面上のどこでもドロップを受け入れるようにしておき
・ドロップイベント発動で、自動的にアップロードするようにしておけば…

はい!

Webページ上に、ドラッグ&ドロップされたファイルは
有無を言わさず、サーバーにアップロードされることになります><

そんなわけで一応、サンプルページを作ってみました。

Dropファイル吸い上げ日記

たとえば、メールやSkypeで受け取った画像ファイルを
ついついブラウザにドロップして確認してる人はいませんか?

とくにpngファイルなどは、環境によっては、ダブルクリックでFireworksが起動したりして、
それを嫌って、ブラウザにドロップして画像ビューワー代わりにしてる人もいるかもしれません。 はいぼくです。

でも、一見なんでもないページに、こういった罠を仕込むことも可能なので
みなさんも、うっかり機密文書や内緒の画像などを流出させないように、ぜひ気をつけてくださいね!


(関連リンク)
ぼくの考えたすごいブラクラ


トラックバック - http://d.hatena.ne.jp/Hamachiya2/20130122/drop