[Date Prev][Date Next][Thread Prev][][Date Index][Thread Index]

Re: Forward: Bug#447728: Annoying "leaving secure page" yornp



>> On Tue, 27 Nov 2007 09:39:50 +0900
>> yamaoka@xxxxxxx (Katsumi Yamaoka) said as follows:

>>>>>>> In [emacs-w3m : No.09770] 土屋さん wrote:

>>>   ・前のページに戻る(と言うか,履歴を辿る場合は確認なしで良い?)
>>>   ・明示的に URI を入力

>>> の2ケースに限って,y-or-n-p を skip するようにした方が良いかなあと思って.

>y-or-n-p を skip する条件として

>・w3m-confirm-leaving-secure-page が nil
>・対話的に使われたコマンドが以下のどれか
>  w3m w3m-bookmark-view w3m-dtree w3m-goto-url w3m-history
>  w3m-redisplay-this-page w3m-reload-this-page w3m-submit-form
>  w3m-view-next-page w3m-view-previous-page w3m-view-header
>  w3m-view-source

w3m-redisplay-this-page, w3m-reload-this-page は,そもそも URL が変化しな
いはずのコマンドなので,検査しなくても良いはず(後段の URL の検査で secure
だと判定されるので)だろうと思います.

>・url が "\\`\\(?:about\\|https\\|ftps\\)://" にマッチ

url が about:// の場合を許可するのでしたら,this-command が,

    w3m-bookmark-view, w3m-dtree, w3m-view-header, w3m-view-source

かどうかを検査しなくても良いはずではないでしょうか.

ただし,about:// に抜けるのを許可するのは,私としてはちょっと異論があり
ます.

    https://〜 => about://bookmark/ => http://〜

という状態遷移をして,安全でないページに移動した時に,警告されるチャンス
がなくなってしまいますので.

そのため,w3m-view-header, w3m-view-source については警告なしで遷移を許
可,about:// は警告するという対案を提案しておきます.

逆に,w3m-submit-form は,絶対に警告しなければならないコマンドでは?
https://〜 にいるからと安心して form を送信してみたら,実は,送信先は
http://〜 だったというのは大問題ですから.

基本的に安全サイドに倒しておく方が良いと思うのです.その意味では,上記の
ような実装が完了したら,w3m-confirm-leaving-secure-page を廃止したいくら
いに思っています.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )