読者です 読者をやめる 読者になる 読者になる

「Automatorで良いのは、cookieとかのsessionがそのまま利用できるとこ」とのこと

2007年02月19日 ma_ko OSX, programming
Automatorで良いのは、cookieとかのsessionがそのまま利用できるとこだと思った


はてなブックマーク - hibomaのはてなダイアリー - Automatorでしょこたん画像スクレイピング

はてブでこんなコメントを頂きました。
(id:ma_koさん、すんません。タイトルとしてそのまま頂きました。)


なるほど。盲点でした。ということで以下のAppleScriptを試してみた。

tell application "Safari"
       activate
       open location "http://mixi.jp/home.pl"
end tell


Safarimixiのホームを見に行かせます。一度自分でログインしてCookieを取得してあると、確かにちゃんとセッション処理して勝手にログインしてくれます。楽ですねぇ。なんてことないようだけど、かなり強力かも。

題名を裏切ってAutomatorじゃなくてAppleScriptで試してみましたが、ま やってることは大体同じですよね ( ? ) Automatorだと↓な感じ。楽。

裏を返すと、悪意のあるAutomatorアプリ(もしくはAppleScript)を走らせるとSafariCookieが透過的に利用されてしまいセッションハイジャックされる危険性がある と。(攻撃者にCookieを奪取されてる訳じゃないから普通のセッションハイジャックとは若干違うかもしれないけど、その後JavaScriptを実行させればCookieを奪取可能になってしまうかも)
そういう事も頭にいれとく。


追記:

AutomatorAppleScript を使わなくとも、Cocoa の NSURL なんとか系列の API を使う限り、cookie は共有されている感じがします。

http://blog.8-p.info/articles/2007/02/22/nsurl-cookie

ということらしいです。Cocoaについては完全に勉強不足でした。