[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Forward: Bug#447728: Annoying "leaving secure page" yornp
>> On Tue, 27 Nov 2007 09:39:50 +0900
>> yamaoka@xxxxxxx (Katsumi Yamaoka) said as follows:
>>>>>>> In [emacs-w3m : No.09770] 土屋さん wrote:
>>> ・前のページに戻る(と言うか,履歴を辿る場合は確認なしで良い?)
>>> ・明示的に URI を入力
>>> の2ケースに限って,y-or-n-p を skip するようにした方が良いかなあと思って.
>y-or-n-p を skip する条件として
>・w3m-confirm-leaving-secure-page が nil
>・対話的に使われたコマンドが以下のどれか
> w3m w3m-bookmark-view w3m-dtree w3m-goto-url w3m-history
> w3m-redisplay-this-page w3m-reload-this-page w3m-submit-form
> w3m-view-next-page w3m-view-previous-page w3m-view-header
> w3m-view-source
w3m-redisplay-this-page, w3m-reload-this-page は,そもそも URL が変化しな
いはずのコマンドなので,検査しなくても良いはず(後段の URL の検査で secure
だと判定されるので)だろうと思います.
>・url が "\\`\\(?:about\\|https\\|ftps\\)://" にマッチ
url が about:// の場合を許可するのでしたら,this-command が,
w3m-bookmark-view, w3m-dtree, w3m-view-header, w3m-view-source
かどうかを検査しなくても良いはずではないでしょうか.
ただし,about:// に抜けるのを許可するのは,私としてはちょっと異論があり
ます.
https://〜 => about://bookmark/ => http://〜
という状態遷移をして,安全でないページに移動した時に,警告されるチャンス
がなくなってしまいますので.
そのため,w3m-view-header, w3m-view-source については警告なしで遷移を許
可,about:// は警告するという対案を提案しておきます.
逆に,w3m-submit-form は,絶対に警告しなければならないコマンドでは?
https://〜 にいるからと安心して form を送信してみたら,実は,送信先は
http://〜 だったというのは大問題ですから.
基本的に安全サイドに倒しておく方が良いと思うのです.その意味では,上記の
ような実装が完了したら,w3m-confirm-leaving-secure-page を廃止したいくら
いに思っています.
--
土屋 雅稔 ( TSUCHIYA Masatoshi )