Magical Diary, beta version

元ネタ: Holes in Firefox password manager (via Open Tech Press: Firefox 2.0.0.5にパスワードが盗まれる脆弱性)

Firefox 2.0.0.5でパスワードマネージャのセキュリティホールが修正されたが、危険性が残ったままであり、パスワードが盗み取られる可能性があるとのこと。

Firefoxには (ユーザが許可すれば) 一度入力されたパスワードは次回訪問時に自動的に入力されるが、これが同一ページ以外でも同一のサーバ上に同様のフォームがあれば機能してしまう。

ある会員制のサイトに利用者がそのサーバ上にウェブページを作成する機能を持つ場合、攻撃者は偽のフォームを設置することができる。この偽フォームの送信先に関わらず、そのページにサイトの会員がアクセスした時点で自動的に (IDと) パスワードが入力された状態になる。あとはJavaScriptでフォームの情報にアクセスすることでパスワード等を得られる。

JavaScriptを利用しない場合でも、CSS で

input {
  display: none;
}

とした上で、<input type="submit" value="さくらたんのエロ画像を表示"/> とするだけで引っかかってくれそうな予感。もしくは、画面いっぱいの Submit ボタンを設置するとか。