  |
これについてもう少し詳しく調べてみましたが、sandbox化されたiframe内でパスワードマネージャがautofillする問題は2023年頃に脆弱性として報告されており、主要なパスワードマネージャでは修正されているようでした。
https://www.passes.com/mangmedibovietsubhd
https://www.passes.com/xemmangmedibothuyetminh
https://www.passes.com/conanvietsub
https://www.passes.com/culpatuyaizle
https://www.passes.com/siccin8fullizle
https://band.link/spermageddonespanol
完全に別ドメインにした方がやはり安全ではありますが、これに関して言えばサブドメインでも即危険な状態になるわけではなさそうです。
問題2: ちょっとセンシティブなデータに投稿者がアクセスできる
上記の対策を行い、サービス上の認証の関わる部分にはアクセスができなくなったとしても、投稿者は自身がホスティングするサイトにリクエストが飛ぶようなコードを1文書けば、リクエストログからプレイヤーのIPアドレスやUser-Agentを見ることができます。
💡 対策: プライバシーポリシーに書いておく
これは「サービスとして許容範囲」という判断をすることになると思います。プライバシーポリシーに「投稿者や第三者がIPアドレス等の情報にアクセスできる可能性がある」と明記しておくとトラブルが起きにくいはずです。
20
