13:25:44 # Life Debian勉強会予約システム利用者の脆弱性について。 Appengineにログインしていない状態で 東京エリアDebian勉強会の予約ページを見ると、iframeでAppEngine にログインするようにと促す画面が出ます。 iframeの中でログインすることになります。 もちろん、ITリテラシーの高いDebian勉強会の参加者はiframeの中のURLを確認し、Googleアカウントのパスワードを入力してよいかどうかを確認してから 参加することを常識としてらっしゃるでしょう。たまにトラップで違うドメインにパスワードを飛ばされてないとも限りません。 しかし右クリックを毎回するのも面倒な手続きで、飽きてきたので挙動をかえてみました。 ログイン状態にない場合は、iframeの外でログイン画面に入れるようにしてみました。 変更点としては、/eventを/eventsimple に変更して、eventsimple はlogin: required でなくして、 自前でtarget を指定して飛ぶようにしています。 いやしかしこのデフォルトはいかんだろう。login: required のページを iframe の中でご利用の方はご注意ください、ということで。 ひょっとしてなんかオプションがあるのかもしれませんが調査してませんです。
$Id: dancer-diary.el,v 1.94 2009/10/21 14:02:48 dancer Exp $