フォーム自動入力(x-autocompletetype)の実験
※ご注意‥ ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像)
(x-autocompletetypeとは?)
●Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。
●アンケートサイトとかに超便利
●入力が苦手なオカンも便利
●とにかくべんり
●Google Chrome のみ対応してる (2012年4月4日時点)。
●便利すぎて今後、他のブラウザも追随必至。
(ユーザーが自動入力を使うには)
●Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく
(Webページ側での自動入力の設定)
●inputにx-autocompletetype属性をつけて、値を email とか sname とかにする
●name属性はなんでもいい
●サンプル‥ <input type="text" name="mail1" x-autocompletetype="email">
(自動入力の発動条件)
●3ツ以上のフィールドがないと発動しない
●formないと発動しない
●methodがpostでないと発動しない
●クレジットカード情報はhttpsでないと発動しない
(実験)
- 誰もがまっさきに思う疑問、
「これ、メアドだけ入力するフォームに見せかけて、他の情報もぶっこ抜けるんじゃない?」を検証
サーバーに送信された情報:
array(0) {
}
↑入力フィールドをダブルクリックすれば自動入力が発動する。ただしクレジットカード情報は﹁このフォームは安全な接続を使用していないため…﹂と出て発動しない。
メール:
姓:
名:
国:
都道府県:
市区町村:
住所1:
住所2:
〒:
↑自動入力が発動しない︵フィールド数が足りない︶。
メール:
姓:
名:
国:
都道府県:
市区町村:
住所1:
住所2:
〒:
↑自動入力は発動するが、hiddenのフィールドには自動入力されていない。
メール:
姓:
名:
国:
都道府県:
市区町村:
住所1:
住所2:
〒:
↑自動入力は発動するが、非表示にしてあるフィールドには自動入力されていない。
メール:
姓:
名:
国:
都道府県:
市区町村:
住所1:
住所2:
〒:
↑自動入力が発動する。見えていないフィールドの情報も送信されている。
メール:
姓:
名:
国:
都道府県:
市区町村:
住所1:
住所2:
〒:
↑自動入力が発動する。見えていないフィールドの情報も送信されている。
結論
Googleは、この機能を「信頼できるウェブサイトでのみご利用ください」と言ってるけど…
え、それ、コンピュータに慣れてないオカンに判断できるの?
そんなもん、ぼくでも無理だわ!
だから使っちゃダメ、絶対!
(おまけ) → フォーム自動入力(x-autocompletetype)にクリックジャッキングを組み合わせられるか?