  |
これについてもう少し詳しく調べてみましたが、sandbox化されたiframe内でパスワードマネージャがautofillする問題は2023年頃に脆弱性として報告されており、主要なパスワードマネージャでは修正されているようでした。
https://www.passes.com/demonslayercastlearc
https://www.passes.com/kimetsunoyaibathai
https://www.passes.com/xemphimmuado
https://www.passes.com/phimmuadovietsub1080
https://www.passes.com/muadofullhd2025
https://www.passes.com/xemmangmedibo1080
完全に別ドメインにした方がやはり安全ではありますが、これに関して言えばサブドメインでも即危険な状態になるわけではなさそうです。
問題2:ちょっとセンシティブなデータに投稿者がアクセスできる
上記の対策を行い、サービス上の認証の関わる部分にはアクセスができなくなったとしても、投稿者は自身がホスティングするサイトにリクエストが飛ぶようなコードを1文書けば、リクエストログからプレイヤーのIPアドレスやUser-Agentを見ることができます。
💡対策:プライバシーポリシーに書いておく
これは「サービスとして許容範囲」という判断をすることになると思います。プライバシーポリシーに「投稿者や第三者がIPアドレス等の情報にアクセスできる可能性がある」と明記しておくとトラブルが起きにくいはずです。
23