アカウント名:
パスワード:
だから、File APIで何がより危険になるんですか?なんだか変な勘違いしている人が多すぎるのですが、今までももしユーザーが<input type="file">にファイルを指定したら、それを勝手にJavaScriptでアップロードすることはできました。> もう嫌な予感というか予測しか出てこないですちゃんと理由を説明できないならそういうのは杞憂とか妄想と言います。
> その部分にバグが入り込むと、> 指定していないローカルファイルでもアクセスされてその後どうするんですか? それが最終的にどこか知らないサーバーに送信されるから危険なんでしょう? 何度も言っている通り、それならFile APIを使わなくてもすでに可能です。<input type="file">に指定していないファイルを突っ込んで送信できてしまうというバグは現に今までにも存在しました。で、JavaScriptからアクセスされることの何が問題なのですか? alertを禁止したドコモと同類の発想ですか?
徳丸浩の日記 - i-mode2.0セキュリティの検討 - 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [tokumaru.org]
携帯についてはこんな話があるそうだ。そもそもFile APIだけ見て擁護してるコメントとJavaScriptそのものを危険視していてさらに要因が増えることを懸念しているコメントと意見がかみ合ってない
これは別にJavascriptが危険というよりいろいろな意味でドコモがへっぽこなだけじゃん。
いままでだってJavascriptの仕様自体には危険だったわけではないでしょ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
利便性より危険性 (スコア:1)
デフォルトでOFF できればUACみたいなの希望です
#アンチウイルスソフトでブロックするのが常識、とかいう未来は嫌ですね
Re: (スコア:0)
だから、File APIで何がより危険になるんですか?
なんだか変な勘違いしている人が多すぎるのですが、今までももしユーザーが<input type="file">にファイルを指定したら、それを勝手にJavaScriptでアップロードすることはできました。
> もう嫌な予感というか予測しか出てこないです
ちゃんと理由を説明できないならそういうのは杞憂とか妄想と言います。
Re: (スコア:2)
<input type="file"> に指定したファイルだけとはいえ、ローカルファイルへの
アクセスをするAPIを追加するのだから、その部分にバグが入り込むと、
指定していないローカルファイルでもアクセスされてしまうかもしれないって
ことじゃないのかな。
Re: (スコア:1, 参考になる)
> その部分にバグが入り込むと、
> 指定していないローカルファイルでもアクセスされて
その後どうするんですか? それが最終的にどこか知らないサーバーに送信されるから危険なんでしょう? 何度も言っている通り、それならFile APIを使わなくてもすでに可能です。<input type="file">に指定していないファイルを突っ込んで送信できてしまうというバグは現に今までにも存在しました。
で、JavaScriptからアクセスされることの何が問題なのですか? alertを禁止したドコモと同類の発想ですか?
Re: (スコア:0)
徳丸浩の日記 - i-mode2.0セキュリティの検討 - 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [tokumaru.org]
携帯についてはこんな話があるそうだ。
そもそもFile APIだけ見て擁護してるコメントと
JavaScriptそのものを危険視していてさらに要因が増えることを懸念しているコメントと
意見がかみ合ってない
Re:利便性より危険性 (スコア:0)
これは別にJavascriptが危険というより
いろいろな意味でドコモがへっぽこなだけじゃん。
Re: (スコア:0)
いままでだってJavascriptの仕様自体には危険だったわけではないでしょ