iPhoneアプリの組み込みWebView SafariとCookieやlocalStorage共有してないし変な実装(同じ画面に個人情報)になってない限りブラクラしか出来ない、例えばJavaScriptでアドレス帳取れたらSafari普通に使ってて危険になるし、んなわけないだろ
2011-04-27 16:36:05好意的か悪意かわからないけど解釈するとhttp://localhost/password にアクセスするとパスワードを返すようにアプリが実装してあれば悪用できるけど。そのレベルだと他のあらゆるものも危険ということになり そう
2011-04-27 16:47:42@fladdict 脆弱性じゃなくて、ただのバグですよ http://twitter.com/bulkneets/status/63144370093826048 何人かは「これは(書いた人が)ひどい」の文脈で言及してます
2011-04-27 16:49:17@bulkneets あれ WebViewのほうで外部リンク踏んで、webView側で gmail とか読んでもokでしたっけ? うろ覚え。
2011-04-27 16:52:57@fladdict script混入できたとしても今見てるページのデータしかアクセス出来ない、という認識ですね。他のサイトに遷移したりiframeで読み込んだりしてもログイン状態にはならないand別ドメインのデータなので読めない
2011-04-27 16:55:36色々テストして遊んでみよう。人柱も富む。 <script>while(true){ alert("test"); }</script>
2011-04-27 16:58:16ああ、Osfooraやっぱ危険だ。 Aタグ使えばフィッシングサイトに誘導余裕じゃないかな? inApp WebViewだとURLが見えないから、表示されるURLとクリック先のURLが違うと、あっさりハメられそう
2011-04-27 17:09:14もう1個実験。 <a href="http://2ch.net">http://google.com</a> これはどうなる?
2011-04-27 17:10:51わりと、 UIAlertView とか UITableView もどきを HTML で実装して、ユーザーをアプリ内のメニューと見せかけてパスワードいれさせる・・・とかできそうかもしれない。
2011-04-27 17:12:35@yoichiro51 @DaisukeIkegami @conybass 無限アラートゴメンナサイwww
2011-04-27 17:13:31もう1個実験。 <a href="http://2ch.net">http;//google.com</a> これならどうだ!?!?
2011-04-27 17:14:50140文字でどこまでいけるかかぁ。 外部リンクで外から js 読み込んだらどうなるのかな。
2011-04-27 17:19:10