ぼくはまちちゃん!

こんにちはこんにちは!!

ブラウザにファイルをドロップしてはいけない

※本ページにはプロモーションが含まれています

こんにちはこんにちは!!
先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました!

そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、
その時の小ネタを紹介しておきます。

最近、ブログとかのWebサービスで写真をアップロードする時に、
ファイルをドラッグ&ドロップするだけでできたりしますよね。
いちいちダイアログから選ばなくていいから便利です。

Drop images here.
こんなやつ。

この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして
「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、
それって別に、ブラウザが警告の意味で出してるんじゃなくて、
あくまで、Webサービス側が親切で表示してるだけなんですよね。

ってことは

・ドラッグされても特にボーダーラインなどを表示せず
・画面上のどこでもドロップを受け入れるようにしておき
・ドロップイベント発動で、自動的にアップロードするようにしておけば…

はい!

Webページ上に、ドラッグ&ドロップされたファイルは
有無を言わさず、サーバーにアップロードされることになります><

そんなわけで一応、サンプルページを作ってみました。

Dropファイル吸い上げ日記

たとえば、メールやSkypeで受け取った画像ファイルを
ついついブラウザにドロップして確認してる人はいませんか?

とくにpngファイルなどは、環境によっては、ダブルクリックでFireworksが起動したりして、
それを嫌って、ブラウザにドロップして画像ビューワー代わりにしてる人もいるかもしれません。 はいぼくです。

でも、一見なんでもないページに、こういった罠を仕込むことも可能なので
みなさんも、うっかり機密文書や内緒の画像などを流出させないように、ぜひ気をつけてくださいね!

(関連リンク)
ぼくの考えたすごいブラクラ