ここら辺の話のつづき。

高木浩光＠自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなのブックマークレットとブックマークレットに対する攻撃可能性について - snippets from shinichitomita’s journal

もしはてながどうしてもポップアップウィンドウにしたくないなら、こんなのどうよ、という提案。

Facebook Connect でログインする
例：http://www.sociable.es/

「Facebook Connect」ボタンを押す。
もしFacebookにログインしてると、インラインフレームで疑似ウィンドウ（疑似ダイアログ）が表示される。ちなみにこの画面で「Facebookに接続するかどうか」の同意をすることになる。

ログインしてないと、ブラウザのウィンドウがポップアップする。ログインのためパスワードを入力させるが、ちゃんとアドレスバーが確認できる（Facebookのサイトであると判定できる）ため、フィッシングの危険は少ない（この場合SSLにはなってないので安心できないけど、それはもう一つ次のレベルの問題）

実装めんどくさいかなあ？あと、同意の画面はインラインフレームでもほんとにいいのだっけ？というのが若干疑問ではある。

ちなみにログインしてるかどうかの判定を外部でどうやってとってきてるんだろうか、というところが、ちょっと気になってるところ。

（追記　2009/03/04）
いつの間にかログイン済みの場合も常にブラウザポップアップウィンドウが開くようになってる？
クリックジャッキング対策とかなのかなあ。