「リバースブルートフォース攻撃」という言葉、恥ずかしながら聞いたことなかったので、勉強メモも兼ねて。既報の通り、2月3日に日本航空ののマイル会員向けサイト「JALマイレージバンク」(以下JALマイル)に、何者かが不正にログインを行い、会員のマイルが…

はてなからセキュリティホールを突かれた不正アクセスについての報告があった。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど これは先週の連休中に騒ぎになった件。…

高木浩光＠自宅の日記 - Googleドキュメントの「招待メール」の危険 これ使うと Google 足跡ちょう作れちゃうね。

新規アカウント作る時にパスワードの確認入力を求められるのだけど、そこでは大文字小文字区別して比較して「パスワードが一致しません」とか言ってエラーにするのな。そんなことされたら区別するものだと思うよね。説明書きもないし(少なくとも僕には見つけ…

大文字・小文字区別しないよあれ。 トラックバック: alternative jiangmin - amazon.co.jpのパスワード 院日誌 - [http://d.hatena.ne.jp/rna/20080324/p1:title]

Web サービスのセキュリティホールによる問題を回避する自衛策として「サービスを使わない時はログアウトする」というのがあるが、Amazon はログアウト(サインアウト)方法がわかりにくい。Amazon には普通にあるような「ログアウト」ボタンに相当するものが…

実際には試してないので勘違いかもしれないけど3/9の夕方まで twitter のアカウントが乗っ取り可能だったかもしれない、という話。←特殊なケースを除いて不可能だった模様。追記参照。「ついったー足あと帳」(http://hamachiya.com/junk/twlog/)でアクセスし…

CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね(hoshikuzu|star_dustの書斎) レジストリをいじると回避可能なようですが、現在 CSSXSS の方も結局なおってない(自分でも確認しました)ので当分は IE 使うのやめるってことで。でも上のコメン…

なんかすっかり乗り遅れて今更な気はするけど。。。Winny 経由で感染する暴露型ウィルス*1 Antinny による情報流出事件が多発していて、メディアでは「Winny は危険」みたいに言われている。これに対し「Winny 自体はウィルスではない(ので事件の本質ではな…

ひろみちゅの記事目当てで買ったら、山口英氏の談話が載っていました。たった一ページで情報セキュリティ政策全般についての話がメインですが、内閣官房・情報セキュリティ補佐官としての立場から、官房長官の「Winny 使わないで」会見の意図も説明していま…

今月のパッチを当てた IE では document.styleSheets[0].imports[0].cssText が「アクセスが拒否されました」になって実証コードが動かなくなりました。 追記: 実はなおってないかも。 こちらでは確認していませんが星屑さんが新たな実証コードを作って確認…

4月号 p164 に「こっそりやってもつまんない！「はまちや」氏はセキュリティ専門家 2.0?」と題して*1はまちちゃん(id:Hamachiya2)へのインタビューが載っています。脆弱性を攻撃する動機は啓蒙活動というわけではなく「ただ面白いからやっているだけ」とする…

結局今月のMS月例パッチには CSSXSS への対応は入ってませんでした。はてな的にはInternet Explorer の脆弱性が近々対応できる見込みであるため、Internet Explorer の修正により、この問題に対応する方向ってことだったのだけど。。。てことで、××君のプラ…

たぶん2月の月例パッチでIEにCSSXSSへの対応が入ります。リリースは15日。バレンタインデーまでが勝負です! (何の?) http://internet.watch.impress.co.jp/cda/news/2006/02/10/10839.html ちなみに http://d.hatena.ne.jp/dangerous1192/20060206/p7 メール…

日記予告 / ブラウザの脆弱性なのにWebアプリで対応しろと迫る人達(高木浩光＠自宅の日記) MS があてにならないから(少なくとも対応に時間がかかりそうだから)なんとかして欲しいわけですよ。実際先月のパッチでは修正されなかったし。それに、対応ってのは…

http://i.hatena.ne.jp/idea/7917 無言で却下とあいなりました。ついに対処されたのかと思ったら相変わらずでした。そんなわけで、 他人の日記に書き込みたい方 他人のプライベートモードの日記を読みたい方 は、引き続き CSSXSS を使った攻撃サイトを作成し…

http://i.hatena.ne.jp/idea/7917 よろしくね!関連: cssxss カテゴリ記事一覧

例のアレ、まだ対策されてないみたいなんだが。。。はてなからはあれから連絡ないしテストコードは今でも正常(?)動作するし。 idトラックバック: http://d.hatena.ne.jp/rna/20070104

27日のひろみちゅ日記が面白い。論点が多岐にわたりながらそれぞれ微妙につながっていて*1色々考えさせられた。以下色々考えたメモ。僕はWebプログラミングについてはほとんど素人なので的はずれなことも書くかもしれない。よってツッコミ歓迎。 開発者の視…

はてなダイアリーで IE の CSSXSS が悪用できる件、あいかわらずです。対処もアナウンスもなし。はてなアカウント持ってないと悪用できないと思って油断してるのかな。アカウントなくても悪用できる可能性あるんだけど。参照: CSSXSSカテゴリ記事一覧 idトラ…

IEに緊急の脆弱性、未修正の脆弱性も解消へ(MYCOM PC WEB) CSSXSS への対応が見当たらないので実際パッチを適用してみたけどやっぱり対応してません。

CSSXSS の件、いまだに対策が終わってないし、特に告知もないようですがどうなってるんでしょう。ひょっとしてはてなアイデアに出さなきゃ対応してもらえない? でもはてなアイデアに出すからにはどんな危険性があるか詳細に書かなきゃ予測市場とやらも機能し…

輪王様のところからリンクが。 mixiで閲覧キー付きの他人のアルバムを見る方法（修正済み）（俺専用mxxi :: ぼくはまちちゃん！） [関連？] ・IEをお使いのはてなダイアラーの方は注意（児童小銃） ・IE新クロスサイトスクリプティング「CSSXSS」 まだ任意の…

[id:rna:20051207:p1] の件、はてなには連絡済みですが本日17:00現在まだ対策が終わってない模様。ひきつづきご注意ください。

IEをお使いのはてなダイアラーの方はとりあえず以下のうちどれかを実施することをお奨めします(後の方法ほど確実)。 日記更新の時以外はログアウトする。ログイン中はリンクを踏まない。 IE の JavaScript をオフにする。 当分の間 IE を使わない。Firefox …