高木浩光＠自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない

2007/05/12 209 users IPA 高木浩光 脅威 リダイレクト先 脆弱性

■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト（複数）は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDと... 続きを読む

ブックマークIDとPASSが抜かれたぐらいでなんだ？という方の為に*ホームページを作る人のネタ帳

2007/04/06 96 users PASS ブクマ 手口 ネタ帳 ホームページ

この記事の続きとなります。 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口 疑問を抱く方もいるかもしれない。 所詮ブックマークユーザーIDとPASSだという人も居ると思います。 私も思ってましたし。 だから率直に、安易に聞いてみた。 『ブクマ見られるだけだし特に問題ないよね？』 彼はキチンと教えてくれました。 『じゃぁ怖い話してあげるよ』 ・・・確かに怖い話を聞けた。 I... 続きを読む

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳

2007/04/06 492 users PASS 手口 YouTube ネタ帳 エントリ

ネタ帳は、売れない、人が来ないホームページにならない為の、インターネットの知識とブログネタに使えるエントリを書いています。 これはひっかかった・・・ 先日、WEBセキュリティの会社に勤める友人と会った。 私のブログを結構見ているという話から盛り上がり、最近ウィルスってどうなの？何に気をつけたらいい？と聞いてみたんです。 彼の話は面白い話でいっぱいだった。 例えばYouTubeの上のような画像。 こ... 続きを読む