“透明レイヤーでクリックを奪う”を、かんたん体験
このページは 実データ送信なし・外部通信なし・実1Password UI呼び出しなし の安全な疑似体験サイトです。仕組みだけ理解できます。
なぜ安全?(ここがポイント)
フォーム送信はCSPで禁止(
form-action 'none')。外部通信(XHR/fetch/WebSocket)は禁止(
connect-src 'none')。実際の1Password候補は出しません(モックのボタンのみ)。
スクリプト/スタイルはこのファイル内のみ、外部読み込みなし。
10秒デモ
- まず「悪用レイヤーをON」にします。
- 次に「候補(モック)をクリック」を押します。
- クリックが透明ボタンに奪われたログが出たら成功!
メール:you@example.com
パスワード:••••••
※ 実1Passwordを呼び出す「開発者向け検証モード」は省略しています(安全優先)。必要なら別途ご案内します。
実害を防ぐには(実運用のコツ)
- 候補の自動表示をオフ(拡張の Settings → Autofill & save)。
- 各アイテムはExact hostに限定/怪しいサイトはNever fill。
- 初見サイトでは拡張をロック維持→必要時のみ解錠。
- ツールバー/ショートカットから手動で呼び出す運用に。
検証モード(カード候補を“実際に表示”)
自己検証用・安全設計: このページは form-action 'none' と connect-src 'none' のCSPで送信・外部通信をブロックしています。
実カードは絶対に使わず、テスト番号(例:4242 4242 4242 4242 など)で試してください。
- 1Passwordに Credit Card アイテムを1つ以上作成(テスト用ニックネーム推奨)。
- 拡張を解錠し、Settings → Autofill & save の Show autofill menu on field focus を 一時的にON。
- 下の カード番号欄 をタップ/クリック→インライン候補にカードが表示されればOK。
- 検証が終わったら Show autofill menu on field focus をOFF に戻す(常用はOFF推奨)。
支払いフォーム(ダミー)
Androidで試す場合:OSの「自動入力サービス」を1Passwordに設定し、ブラウザ側の自動入力はOFFに。カード候補はキーボード上などに表示されます。
DEMO / SAFE