はまちちゃんにヤラレタという錯覚ばなし
Google デスクトップ を使う必要にせまられて自室のパソコンで検索しました。 「そういえば、Google デスクトップ、アップデートをしてないよなぁ」と頭をかすめたのですが「まぁいいか」と。 で、タイムラインで調査していたのです。ところが、「あっ」と叫んでしまいました。JavaScriptが動いてalertされたのです。すわ!XSSか!ローカルのデータ抜かれたん?つうか、Google デスクトップを使うときの認証情報は?確か、Windowsにログオンする時のものを使っていたよね?やばくね?あせりまくりです。
で、あわてまくっていたので以下の手順はダメダメです。まずIEのJavaScriptを切ってもう一回、同じ手順でalertされるまでを再現。そして、画面をじっとみると、タイムラインの一覧の中に「はまちちゃん」のページを見たよ、という検索履歴が! で、その解説のところには、ソースがなくてアクセスに失敗した謎のバッテン画像が! Google デスクトップではこんなことありえないはず!
HTMLソースを見ましたよ。しっかりとimg要素のsrc属性にJavaScript擬似スキームが。だけどalert(99)だけ。はまちちゃんのページの検索履歴に間違いありません。
もうこうなったらアレです。そのはまちちゃんのページ(ローカルにあるGoogleデスクトップのキャッシュ)を見に行きました。はまちちゃん、どんなトリック使ったんだろうと。そしたら・・・
はまちちゃんのサイトにXSS脆弱性があって、それを誰かさんがはまちちゃんへのコメントとして記述していて、それを私のパソコンが拾っていて、(気がつかなかった)、それがGoogle デスクトップを貫いていたのでした。はまちちゃんにヤラレタというのは、錯覚ですた。 誰だ! 犯人は!
ちなみに、オチですが。「そういえば、Google デスクトップ、アップデートをしてないよなぁ」と頭をかすめたので、その時点でオフラインに切り替えていたのでした。 あわてる必要はぜんぜんなかったのにねぇ。
ちゃんちゃん。