2008-11-22
DropboxでJavaScriptが動くという話
.jsファイルはテキストとして表示されるだけなのだが、HTMLファイルをきちんと解釈するなら<script>で記述したJavaScriptは動くのでは? と思って検証。
<html> <head> <script language="javascript"> document.write('aaa'); window.alert('bbb'); </script> </head> <body> <p>Test</p> <body> </html>
このファイルを共有してURLにアクセスすると、見事なまでにAlertBoxが表示され「aaa」も出力される。
私はJavaScriptに詳しい方ではないのだが、これを利用するとDropboxのCookieが読み出されて、自分のDropbox内にあるファイルを勝手に読み出されてしまう可能性があったりするのではなかろうか?
一言で言えばクロスサイトスクリプティング(XSS)が心配。 (最初からそう言えよ)。
詳しい人の検証求む。
【追記】
西村さんが「勉強会で Dropbox を検証」という記事でDropboxでの検証用ファイルを公開してくれたので、興味のある方はチェックを。
この検証用ファイルはAlertBoxが1つ出て、document.writeで少量のテキストを書き込んでいるだけだが、悪意のある人が何かを仕掛けていたとしたら危険なので、知らない人の公開URLはうかつにクリックしない事をお勧めする。
トラックバック - http://d.hatena.ne.jp/hiko_s/20081122/p6
リンク元
- 219 http://tb.itmedia.co.jp/tb/bizid/articles/0806/06/news124.html
- 117 http://officel.biz/memo/20081122-about-dropbox.htm
- 22 http://www.google.co.jp/search?q=DropBox+拡張子&lr=lang_ja&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:ja:official&client=firefox-a
- 18 http://www.google.co.jp/search?q=dropbox+ファイル共有&btnG=検索&hl=ja&lr=&safe=off&sa=2
- 14 http://mixi.jp/view_diary.pl?id=1018350421&owner_id=63037
- 11 http://d.hatena.ne.jp/keyword/Dropbox
- 10 http://www.google.co.jp/search?hl=ja&client=firefox-a&rls=org.mozilla:ja-JP-mac:official&hs=fyk&q=共有+dropbox+public&btnG=検索&lr=lang_ja
- 10 http://www.google.co.jp/search?hl=ja&q=dropbox+拡張&lr=
- 9 http://www.google.co.jp/search?sourceid=navclient&hl=ja&ie=UTF-8&rlz=1T4TRDJ_jaJP305JP305&q=指揮者の勉強
- 9 http://www.google.com/search?hl=ja&lr=lang_ja&ie=UTF-8&oe=UTF-8&q=getdropbox+ファイルに保存&num=50
