Titanium Desktop 雑感。
最近、たまに Titanium Desktop をつかってる人をみかける。HTML5+CSS3 にちょっとネイティヴ向けのコードをかくだけで、GUI アプリケーションが書けてとても便利なので、ちやほやされるのももっともである。
ただ、Titanium Desktop は、HTML をベースとして動的に処理することがおおいので、XSS 脆弱性がふくまれる可能性が高い。
Titanium Desktop では XSS 脆弱性があった場合ローカル環境のファイルなどもさわり放題になってしまうので、細心の注意が必要。
Titanium Mobile は WebView と app.js が分離されているようなので HTML にたいする XSS では、Titanium オブジェクトはいじれなさそう。
Desktop の方でも、HTML を表示するための WebView と app.js の実行環境を分離するようにした方がいいとおもう。
app:// 以外のページでも Titanium オブジェクトさわれるかなーとおもったけどさすがにそれはなかった。app:// のときだけ window.Titanium をつっこんでるようだ。