2007年02月19日 ma_ko OSX, programming
Automatorで良いのは、cookieとかのsessionがそのまま利用できるとこだと思った
はてブでこんなコメントを頂きました。
(id:ma_koさん、すんません。タイトルとしてそのまま頂きました。)
なるほど。盲点でした。ということで以下のAppleScriptを試してみた。
tell application "Safari" activate open location "http://mixi.jp/home.pl" end tell
Safariにmixiのホームを見に行かせます。一度自分でログインしてCookieを取得してあると、確かにちゃんとセッション処理して勝手にログインしてくれます。楽ですねぇ。なんてことないようだけど、かなり強力かも。
題名を裏切ってAutomatorじゃなくてAppleScriptで試してみましたが、ま やってることは大体同じですよね ( ? ) Automatorだと↓な感じ。楽。
裏を返すと、悪意のあるAutomatorアプリ(もしくはAppleScript)を走らせるとSafariのCookieが透過的に利用されてしまいセッションハイジャックされる危険性がある と。(攻撃者にCookieを奪取されてる訳じゃないから普通のセッションハイジャックとは若干違うかもしれないけど、その後JavaScriptを実行させればCookieを奪取可能になってしまうかも)
そういう事も頭にいれとく。
追記:
Automator や AppleScript を使わなくとも、Cocoa の NSURL なんとか系列の API を使う限り、cookie は共有されている感じがします。
ということらしいです。Cocoaについては完全に勉強不足でした。