2008 12 ≪  01月 12345678910111213141516171819202122232425262728293031  ≫ 2009 02


クリックジャッキングのテスト

- 2009-01-31(Sat) - 

クリックジャッキング…といってもその手段はいくつかあるかと思いますが、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)による攻撃/偽装を防ぐFirefoxの拡張機能がいくつかありますので、それらの機能を持った拡張機能で下記テストページのクリックジャッキングが防げるかどうか試してみました。

Google Chrome 1.0.154.43 ClickJacking Vulnerability

JavaScriptを有効にしている状態で一番下のリンク(Clickjack The Target ?)をクリックして、同じタブにyahoo.comを開くなら○、xssed.comを開くなら×とします。

NoScriptはJavaScriptを全許可にして、設定のXSS欄にチェックを入れる方法ではダメでした。基本的にJavaScriptをブロックする使い方であればNoScriptでいいのでしょうが、そうしない場合はRequestPolicyが有効みたいですね。

スポンサーサイト
この記事のURL | 拡張機能 | コメント(3) | トラックバック(0) | ▲ top

bookmarks history panel - 拡張機能

- 2009-01-24(Sat) - 

今回紹介するFirefox拡張機能はbookmarks history panelです。
これは、Internet Explorer 7のお気に入りセンターのように、ブックマークサイドバーや履歴サイドバーの内容をポップアップ表示します。

ツールバーに追加したボタンをクリックするとパネルがポップアップして、ブックマークや履歴を参照できます。このパネルは閲覧ページ上へ表示されるので、サイドバーを開いたときのようにページが狭まったり右側へ動くことはありません。パネル内のブックマーク/履歴をクリックしたり、パネル以外の部分をクリックすると閉じます。

パネルの右上にはアイコンが3つあり、左から…

  • ブックマークパネルもしくは履歴パネルに切り替える
  • ブックマークや履歴をクリックしてもパネルを閉じないようにする
  • ブックマーク/履歴サイドバーに切り替える

を行うほか、検索欄の下にある「折畳」と「展開」のボタンをクリックすると、すべてのフォルダを閉じたり開いたりできますよ。

IE7のお気に入りセンターと同等の機能を提供する拡張機能は私が知るところ今までありませんでした。ブックマークサイドバーを常に開いておく場合は不要ですが、そうでない場合は使い方によってはブックマークメニューよりも便利だったりします。「IEから乗り換えたのにお気に入りセンターがないと…」なんて方にオススメ。

この記事のURL | 拡張機能 | コメント(0) | トラックバック(0) | ▲ top

Colour Contrast Analyser - 拡張機能

- 2009-01-18(Sun) - 

今回紹介するFirefox拡張機能はColour Contrast Analyserです。
これは、閲覧ページ内にある各要素のカラーコントラストを調べて、そのページが読みやすいか・見やすいかをかんたんにチェックできます。

ページ内で右クリックしてコンテキストメニューの「カラーコントラストアナライザー」→「全ての検査」を選択すると、新しいタブで結果が一覧表示されます。ページ上部には、

  • 輝度率(文字色の輝度と背景色の輝度との比率)が3:1以下
  • 明度の違い(文字色と背景色の色差)が125以下
  • 色相の違い(文字色と背景色の明度差)が500以下

に該当する要素数が表示されます。Failuresの欄が3つともゼロだと問題ありませんが、そうでない場合は下に表示された一覧から不適合の要素が黄色く強調表示されます。サンプルも表示されるので、不適合な要素はどれくらい読みづらいのかが一目で分かりますね。

ページ下部にはW3CによるWCAG 2.0(Webコンテンツ アクセシビリティ ガイドライン)とAERT(アクセシビリティ評価と修正ツールのためのテクニック文書)で示されている基準値が掲載されています。Colour Contrast Analyserでは輝度率が3:1以下で不適合となりますが、大きな文字(18pt以上もしくは太字で14pt以上)でなければレベル2では4.5:1、レベル3では7:1が基準値となっています。

当ブログをチェックしてみたところ不適合は0でしたが、Wikiでは9つほど不適合となってしまいました。wikiwiki.jpではいつになったらCSSをカスタマイズできるようになるのかなぁ、FirefoxだとCSSの警告も大量にでちゃうし…。Webサイトを管理している方はColour Contrast Analyserで読みづらい色使いになっていないかチェックしてみましょう。

この記事のURL | 拡張機能 | コメント(0) | トラックバック(0) | ▲ top

キーボード操作で登録したページを開く拡張機能

- 2009-01-11(Sun) - 

今年最初に紹介するFirefox拡張機能はSpeed DialSiteLauncherShortcutKey2URLの3つです。
いずれも、キーボード操作によって登録しておいたページを素早く開くことができます。

まずはSpeed Dialを紹介。

新しいタブ/ウインドウを開くと、登録したページのサムネイルが一覧表示されます。この一覧ページに表示するサムネイルの数を変更したり、グループ機能を有効にすると一覧ページをタブとして別々に表示できます。

ブックマークメニューなどから閲覧ページを登録できるほか、一覧ページにある空白のサムネイルをクリックしてURLを手動で記入したり、サイドバーからブックマークを一覧ページのサムネイルにドラッグ&ドロップして登録することもできて何気に便利。

登録したページを開くには一覧ページからサムネイルをクリックする、ツールバーのアイコンをクリックする、Ctrl+数字キーで直接開く、の3通り。キーボード操作はShiftキーやAltキーを組み合わせることも。

Ctrl+数字キーを押したとき、デフォルトでは登録したページを直接開きますが、サムネイルやグループの数を増やして10以上登録できるようにしておくと、入力した数字とそれに該当するページタイトル(変更可)がポップアップ表示されます。Ctrlキーを押している間はポップアップが表示され続けるので、数字を入力し直したりカーソルキーで選択できます。キーごとにマルチキー機能(ポップアップ)を切り替えられるので、Ctrl+数字キーでは直接開き、Alt+数字キーでポップアップを表示するといった使い分けも可能です。

次にSiteLauncherを。

Ctrl+Spaceキー(変更可)を押すとウインドウ中央にポップアップが表示されます。ポップアップ内の英字1文字と同じキーを押すと、そのページを新しいタブで開きます。Alt+Shift+登録キー(これも変更可)ではポップアップを表示せずに登録したページを直接開きます。

登録する際に指定するキーは1文字だけで、英字のほかに数字や記号も指定できますが、英字の大文字/小文字は区別されません。設定ではポップアップの透明度や文字サイズ/文字色/背景色、一覧の列数などを変更できます。

最後はShortcutKey2URL。

ロケーションバー内の右側にアイコンが追加され、クリックすると閲覧ページを登録できます。ページ以外にブックマークレットも登録可能。

キーは最大5文字まで(上限は設定で変更)で、SiteLauncherと同様に数字や記号も指定できますが、ほかのキーと前方一致させることはできません。例えば「GOO」が登録されている場合、「G」の登録はNGですが、「GG」であればOKです。また、登録ごとにページの開き方を「既に開いているならそのタブに切り替えて、そうでないなら新しいタブで開く」「新しいタブで開く」「現在のタブで開く」の3つから選べます。

Ctrl+Qキー(変更可)を押すとロケーションバー内のアイコンが黄色くなり、登録したキーを押すとそれに該当するページを直接開きます。もう一度Ctrl+Qキーを押した場合は設定を開きます。


この3つの拡張機能はどれも特徴が異なり、それぞれ一長一短があるといえます。
Speed Dialは「サムネイルで一覧できるが、キーは数字キーのみでどこに割り当てたか覚えづらい」
SiteLauncherは「ポップアップで一覧が確認できるため登録したキーを覚えなくても大丈夫だが、キーは1文字だけ」
ShortcutKey2URLは「キーを5文字まで登録できてブックマークレットも登録できるが、入力中のキーは確認できず一覧も用意されていない」
といったところでしょうか。

同時に利用することもできますが、マウス操作も併用するなら完成度が高く日本語化されているSpeed Dial、手軽にキーボード操作で開きたいならポップアップが便利なSiteLauncher、キーを全部覚えられるのならシンプルなShortcutKey2URL、を選ぶといいのかも。

よく開くページはブックマークツールバーに登録しておくと便利ですが、キーボード操作だけでサクッと開くことができるこれらの拡張機能もなかなか便利ですよ。

この記事のURL | 拡張機能 | コメント(0) | トラックバック(0) | ▲ top

2009年あけました

- 2009-01-03(Sat) - 

あけましておめでとうございます。

昨年も多くのアドオンがリリースされました。Firefox Add-onsで公開されたアドオンは10000を超え、そのうち4000以上のアドオンがFirefox 3に対応しています。

昨年リリースされた拡張機能のうち、個人的にイチバンお気に入りなものはRequestPolicy。セキュリティが高まるのに加え、外部サイトのコンテンツを読み込まないことによってページがスッキリするのもうれしい。ページ内に表示される「ジャマなコンテンツ」ってそのサイトのものではないケースが多いんですよね。

また、スゴいなぁと思った拡張機能はUbiquityかな。まだまだ実験的な部分が大きいので使いづらいところもあるのですが、Greasemonkey用スクリプトのようにUbiquity用コマンドが多数公開されていき、1年後くらいには面白いことになるような気がします。ちなみに、Ubiquity 0.1.3以上に対応したスキンもアップロードしました。Ubiquity 0.1.3以上であれば1クリックでインストールできますので、よろしければ試してみてください。

それでは今年もよろしくお願いします。

この記事のURL | 雑記 | コメント(0) | トラックバック(0) | ▲ top
 
| メイン |