mixi のセキュリティーホール(その2)

後ろ!後ろ!ぼくはまちちゃん!」(参照:[id:rna:20050419#p2])の件、「はまちちゃん」は朝のうちにブロックされたようですが、同じ方法でコメント欄に書き込むもの(「はまきちゃん(仮称)」)を作ったら書き込めてしまったので mixi 側に連絡したところ夕方までに対処されました。しかし××するもの(こっちのほうがやばげ)を作ったら…いけてしまいました(thx > vaioさん)。結局19:20現在、根本的な対策は打たれていないようです。

15:00頃に「××もできてしまうので根本的な対策がすぐには間に合わないのであれば mixi にログイン中は知らないリンクを踏まない(ログアウトしていれば効かないので)、こまめにログアウトする、などの自衛策をアナウンスして欲しい」と連絡したのですが今のところアナウンスはないようです。

P.S. [id:kowagari:20050420#1113968020] に同意。

追記: post_key

日記書き込みとコメント書き込みの確認画面ではパラメータ post_key にユーザIDに対応するハッシュらしき値が必要になり、はまちちゃん系の攻撃はできなくなったようです。他のフォームについても順次対応していくのではないかと思いますが、mixi からアナウンスがあるまでは用心した方がよいかと。

追記: 21日 1:00 AM 現在

  • ××に関してはまだ対策されていません。
  • 問い合わせに対して mixi 側からの返信はありません。
  • 利用者へのアナウンスもないようです。

追記: 21日 13:00 現在

状況には変化はありません。mixi 側に再度連絡しました。

追記: 21日 17:15 現在

  • ××の対策がとられたようです
  • この件に関して返信はありません。→18:05に返信あり
  • 利用者へのアナウンスも今のところありません。

詳細: [id:rna:20050421#p2]