ニコ動開発者ブログとかを見て回ったり、前回のエントリーでざっくり試したりーのな範囲では「AS使用不可」で決着してたはずだったけど、実際に動くサンプルがニコニコ上に続々と登場してきてますね。ニコぞくですね。
ニコニコ動画上でActionScript込みのswfが動いてるサンプル
1つ目のニコ動崩壊ってのは、てっく煮ブログさんの作られた『HTML崩壊ブックマークレット』の外部JSを起動してるっていうことで、そのセキュリティーホールは運営によって閉じられたはずなんだけど、2個目3個目の動画はまた別の方法でASを実行してるのかな?それともまだセキュリティーホール開いてるだけってことなのかしら?
2つ目の動画のタグに『クロスサイトスクリプティング』って書いてるけど、外部アクセスする手法は1個目とは別とも書いてますよね。ようわからんけど、ASにはJSと相互通信できるExternalInterfaceクラスっていうのあるんだけれど、それ使うだけってことはないよなあさすがに。試してないけど、それなら結構お手軽にハックできそうな感じしますものね皆さんね。
3つ目動画は、再生するたびに展開が少しずつ変化していく仕組みあるんだけど、これもSharedObjectクラスで振り分けてるだけってことはないと思ってるんですけれど、というか最後のシーンで、getURLもしくはnavigateToURLで外部リンクに飛べるやん!!いーのかこれ?ニコニコ的には食い止めたいだろうなあユーザーが外部に流れるの。普通にやれんのか?と思って今試したけど、「登録失敗しました!」が連発してる。
こういうのどうやるんだろね。ニコ動上のswfファイルから、仕掛けスクリプトの置いてある外部サイトへの値の渡し方がポイントなのかも。スクリプト検知の網をかいくぐる為に文字列をエンコードして渡した先ででデコードして実行?(適当言ってます)
まーよくわかんないのでオレは紅茶でも入れてきて動向を見守ることにするよ。バナナも一緒に食べるよ。