[Date Prev][Date Next][Thread Prev][][Date Index][Thread Index]

Re: まとめ (Re:toggle images at the summary buffer)



>> On Fri, 19 Dec 2003 21:57:31 +0900
>> 「山」== yamaoka@namazu.org (Katsumi Yamaoka) said as follows:

山> この話から、今まで記事バッファに設定されている T や t コマンド
山> (info-like-map では I や i) が、安全ではなかったことが発覚しました。
山> 現在ではどちらも対策済みで、cid: で始まる URL でないと画像を表示し
山> ません。

山> ただし、記事バッファの return キーなどに割り当てられている
山> w3m-safe-view-this-url コマンドだけは、必ずしも安全ではありません。

うーん,安全でないっつうか…。

一般的なブラウザは,画像を取得する前にユーザーに確認しません.つまり,
本文の背景画像などに,ユーザーに注意を喚起することなく,画像の取り込み
を行ってしまいます.しかも,この画像として,SPAM 送信者のサーバー上に
置かれている画像などが使われていると,ユーザーの情報の漏洩につながる場
合があります.

これが,WEB bug が問題にされる理由であり,w3m-safe-url-regexp が導入さ
れている理由です.逆に言えば,ユーザーの明示的な許可がある場合は,問題
にはならないということになります.

したがって,画像の切り替えコマンドについて言えば,

  複数の画像を一括して表示する = w3m-toggle-inline-images
    cid:// で始まらない安全ではない画像は表示しないコマンドが必要

  特定の画像だけを表示する = w3m-toggle-inline-image
    cid:// で始まらない場合は警告する?

ことになると思います.

それに対して,特定のアンカーを辿ろうとするコマンド(=
w3m-safe-view-this-url)については,そのアンカーを辿ろうとすることが明
示的に指示されているわけですから,WEB bug と同じ問題は成り立たない,と
思います.それに,普通のアンカーであれば,minibuffer にアンカーの URL 
が表示されているわけですから,最低限の危険回避は可能です.ただし,悪意
をもって構成された form の場合は,ユーザーの意図しない範囲の情報を送信
してしまう可能性がありますから,それだけはブロックしてあります.

;; Click here! をクリックしてしまうユーザーまでは面倒見きれない,って
;; ことです.

ただし,以前の仕様でも,私は特に問題だとは思っていませんでした.なぜな
ら,画像を含むメールには2通りしかないと思うからです.

  (1) spammer から送信された WEB bug を含む(かもしれない)メール
      → 内容は全て危険だと見なされるべき.全ての画像は表示されなくて
         良い.

  (2) 知人から届いた画像を含む text/html なメール
      → 内容は全て安全だと見なされるべき.全ての画像を表示すれば良い.

つまり,一部だけが安全で有用なメールというものはないだろうという予想の
下では,メールの中の安全な画像だけを toggle するという機能は特に重要で
はないことになりませんか? どうしても必要な場合は,
w3m-toggle-inline-image で個別に toggle すればいいのですし.

山> これを画像の場合と同様に安全にするには、以下のような設定が必要です。

山> (setq w3m-safe-url-regexp "\\`cid:")

これを global にやってしまうと,他の WEB ページが見れなくなって破綻し
ます.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )