CSSクロスドメインの情報漏えいの脆弱性「CSSXSS」とは ― @IT
あるWebページにアクセスしたら、自分のYahoo! JAPAN IDやHatenaのID、mixiで使っている名前などが表示された。何の縁もゆかりもないページにこれらのプライベートな情報がなぜ表示されてしまったのだろうか。 これは「CSSクロスドメインの情報の漏えいの脆弱性(CVE-2005-4089)」という、Webブラウザがスタイルシート(CSS)を呼び出す機能にある脆弱性を利用した攻撃だったのだ。この脆弱性は通称「CSSXSS(CSS Cross Site Scripting)」とも呼ばれている。 CSSインポート時にCSS以外のファイルがテキストとして読み込める 最近のWebページは、文書の構造をHTML形式で記し、フォントや色やレイアウトなどの視覚的な表現をスタイルシートで記述するというHTMLの仕様に従っていることが多い。 HTMLファイルから外部のスタイルシートを呼び出すた
mixi足あとちょう :: ぼくはまちちゃん!
公開終了しました。 めんどくさいので記録などはしてません。 (仕組みの解説) 1. imgタグとかcssの背景画像とかで、ぼくのmixiのプロフィールを指定して踏ませる 2. このページの足あと表示用iframeにcgi(※)を呼ぶ (※cgiの内容) 呼ばれる → 数秒待つ → ぼくのmixiの足あとページを取得 → 整形 → このページのiframeに出力 これだけです>< これ架空請求のサイトとかで使われたらビックリするかもしれないね! spamメールくる→踏む→ipアドレスどころか「mixiのxxxxさんですね。ご利用ありがとうございます」とか表示する…。 うわ!これはイヤですね…。 はやく防止できる仕様になりますように。
いぬビーム - ユカタンは「現在は問題ない」と言うけれど
昨年4月の騒ぎの後にも、はまちちゃんはmixiのCSRF脆弱性を少なくとも4回は見つけています。新着日記が「ぼくはまちちゃん!」で埋まり、誰もが狂ったように「こんにちはこんにちは!」「こんにちはこんにちは!」と挨拶しまくる風景は、はまちちゃんのマイミクにとっては日常的なものです。 彼女は別にセキュリティの専門家ではなく、ごく普通のニート系女子です。そのたった一人にこれだけの脆弱性が見つけられてしまうmixiは、まぁ、あんまり堅牢な作りではないだろうと思われます。 現時点で1つの脆弱性も残されていないとは思えないのです。 日記が勝手に書かれるだけなら実害はありませんが、もし、強い悪意を持つ人が脆弱性を見つけたら、例えば次のような攻撃を行うかもしれません。 日記の設定を「友人まで公開」から「全体に公開」に変更する 自己紹介欄に攻撃コードを埋め込む(見た目は変わらない) プロフィールページを見た
ITmedia News:Web2.0時代の“脆弱性”――mixiチェーン日記はなぜ広まったか (1/2)
「mixi日記を介してウイルスが広まっている」――日本最大手のソーシャルネットワーキングサービス(SNS)「mixi」上で、こんな内容の日記が、6月19日夜から21日ごろにかけてチェーンメールのように広がった。不審な点の多い日記だったが、多くのユーザーが信じ込んで自分の日記にコピーしたり、メッセージで知り合いのユーザー(マイミク)に知らせるなどして急速に広まった。 21日午前10時過ぎに、運営元のミクシィが「ウイルスによる影響などは一切ない」と告知文を出すまで、少なくとも数千のユーザーが日記を信じ、マイミクに伝えようと自分の日記にコピー。ピーク時で1分間に4~5件の日記が更新されていた(関連記事参照)。 チェーン日記が広まった背景には、友人の日記に対する素朴な信頼感や、「情報を広げて問題を食い止めねば」という善意などがあったようだ。広めてしまったユーザーには、「チェーンメールは転送してはい
公式ヘルプより詳しい(かもしれない)「mixiミュージック」レビュー - 『ちよろず。』
さて、昨晩はプレミアム契約をしたものの使えなかったmixiミュージックですが、サポートに問い合わせをしたところ使えるようになったので、早速機能レビューをしてみたいと思います。題して『公式ヘルプより詳しい(かもしれない)「mixiミュージック」レビュー』mixiのプレミアム会員じゃないひとも、雰囲気だけでも味わってみてください。mixi stationのインストールmixiミュージックは、今PCで再生している曲の情報をアップロードする為に、「mixi station」というPC上のソフトウェアを使います。まずはこの「mixi station」をインストールします。まず、メニューから「ミュージック」を選択すると、「mixi station」のダウンロード画面が表示されますので、「ソフトウェアをダウンロード」を選択します。OSの選択画面が表示されますので、インストールするOSを選択します。すると
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
ITmedia エンタープライズ:大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?
「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。 4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。 サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。 だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。 正規ユーザーの操作で「意図しない」結果に URLをクリックすると勝手に日記が書き込まれ
いぬビーム - チェーンメールの発生経緯
すぐに思いつく修正方法は、mixiトップの「障害のご報告」のところに 「〜〜という内容の日記がでまわっておりますが、日記が追加される問題点は修正済みであり、情報などが漏洩されることはございません」のような内容を公式アナウンスとして掲載しちゃうことで、そうすれば「なんだガセか!」って情報がチェーンメールを駆逐する、とは思うんだけど、 それって、 「ぼくはまちちゃん脆弱性については、障害情報には一切のせない」というmixi運営ポリシーに反するからできない。 から修正不能なのかな! さすがいぬビーム…! さすがはまちちゃん! 昨日の話の続き。 まず、チェーンメールを書いたのははまちちゃん当人なのでした。 さらに、日記が書かれたのは19日なんですが、その前日には(いつもの)勝手に日記が投稿されちゃう攻撃が実施されてたのでした。なのでチェンメの半分くらいは実話。 ここまでだけなら「なんて手の混んだ自
セキュリティホール memo: フィッシング詐欺に新手法,本物のSSLサイトから偽サイトへリダイレクト
》 KDDI顧客情報流出 媒体渡した男を逮捕 (毎日, 6/29) 》 スペイン国会、著作物のP2P共有非合法化とブランクメディア課金を可決 (slashdot.jp, 6/30) 》 福井総裁「利殖の構図」村上ファンド事件とは何か (日経 BP, 6/28) 》 個人情報保護法:漏えい件数は1556件 05年度 (毎日, 6/30) 》 NHK スペシャル、「危機と闘う・テクノクライシス」の予告編が出てます。 eargray さん情報ありがとうございます。 》 GnuPG 1.4.3更新情報及びgpg-zipについて (GnuPG News Japan)。gpg-zip というのは、PGP 9.0 で追加された PGP Zip の gpg 版のようです。 Windows 用 gpg-zip というものもあるようです。 》 DocCheck Tool Update Available (s
FrontPage - mixiシークレットバトン
mixiシークレットバトン † ここははまちや2が Wiki の練習のためにつくったところだよ!!! ここに載ってないシークレットバトン知ってたら教えてね! → http://mixi.jp/view_diary.pl?id=143896384&owner_id=609805 っていうか Wiki 難しすぎです! なにこれどうやんの><
ぼくはまちちゃん! - や16ぁ
はてブを見て興味がわいたので、簡単に集計を取ってみました! "マイミクさんの日記に「ぼくはまちちゃん!」というタイトルがあったら絶対にコメントしないでください!!!!"で検索。日記に書いている人のみ対象。 ウイルスだと信じている:1340 ウイルスかもと疑っている:4 ウイルスじゃないと知っている:15 2006/06/21 1:30時点での集計 "デマ"、"ウイルスではない"、"ワームではない"と組み合わせて検索をかけてはみたものの、精度の高い結果を得るためにはもうちょっと細かくチェックすべきなのだが、この絶望的な結果の前にこれ以上調べても無意味かなぁというのが正直なところ。 今回の件でわかったのは、紹介制であるために相手を信頼してしまい、そのためにデマ情報を何の疑いもなく信じてしまうことでデマ情報が伝播してしまうSNSの持つ運営サイドでは対策不可能な問題、というのは既に語られているから
mixiで“チェーン日記” 「広めないで」とミクシィ
SNS(ソーシャルネットワーキングサービス)「mixi」上で6月19日夜から、「mixiの日記を介してウイルスが広まっている、個人情報が漏えいする恐れもある」などという内容の日記が、チェーンメールのような形で急速に広まっている。運営元のミクシィは、「ウイルスによる影響や個人情報の漏えいなどは一切ない」とし、この日記を広めたり、メッセージで友人に注意を促したりしないよう注意を呼びかけている。 問題の日記は、「『ぼくはまちちゃん!』というタイトルの日記にコメントすると、自分の日記にも自動的に同じ内容の記事が投稿され、メールや本名などの個人情報が漏えいする。これはワームという名のウイルスで、mixi管理者でも対応できないほどのスピードで繁殖を繰り返している。友人にぜひ伝えてほしい」という内容。ミクシィは「ウイルスによる影響や個人情報の漏えいなどは一切ない。日記やメッセージなどでの注意喚起は遠慮し
FPN-mixiの事件に見る運営ポリシーの重要さ
2.ビジネスリサーチの情報収集 デスクトップ調査 の基本〜アニュアルレポートなど公開情報から… デスクトップ調査 とは、主にインターネットなどを使用して、公開情報を調査して整理・分析を行うものです。「CIAも収集する情報の95%が公開情報」ということで、情報不足とい… 2021.01.28 2021.05.13 1915 view コラム〜リサーチャーの日常 人生を通じてマッチクオリティーを追求する 知識の幅が最強の武器になる という本で初めて知った「 マッチクオリティー 」という言葉は、経済学の用語で、ある仕事をする人とその仕事がどれくらい合っているか、その人の能力… 2021.05.04 2021.05.13 295 view 2.ビジネスリサーチの情報収集 日常的な情報収集・整理術(Feedly+Dropbox) 【 ビジネス 情報収集 と 情報整理 の基本 】いま目の前にあるリサー
mixiとは何か:mix pod - CNET Japan
mixiとは何かを色々考えている。 本を読んでもオピニオン・リーダーの意見を見てもこれだというものがないので自分で挙げてみる。なお挙げているのは一つのアイデアであり、各人が思うmixiの本質とは必ずしも言えないかもしれない。 ■共通のインフラとインターフェイスの中でひしめく”すし詰めブログ状態”。 ■バックボーンとなるコミュニティ参加からパーソナリティ演出と社会参画。 ■本人情報公開から匿名、完全な架空キャラクター演出まで可能なある種の巨大掲示板。 ■プロフなどにリアルの情報を書く人がいる。この書く人がいるということがmixi最大の特徴でもし書く人がいなければ匿名や架空しか存在しない混沌とした空間になっていただろう。 ちなみにわたしはプロフに嘘は書いていないが、リアルの情報を全て記すつもりもない。それは単にmixiの日記や関係を外に持ち込まれると仕事する上で都合が悪くなるからだ。 だがアー
プチツール - mixipress - IburiWorks
最懂你的优质手机视频网站,禁止未满18岁人员进入,本站视频永久免费、免下载、最佳看片体验。亚洲伊人色欲综合网,三级国产三级在线,亚洲婷婷五月激情综合查询,久久国产欧美日韩精品,夜夜添夜夜添夜夜摸夜夜摸,国产精品乱码高清在线观看,欧美成人精品视频在线不卡,免费提供最火爆最优质的好电影,性感的美女波霸、迷人的午夜诱惑是您寂寞消遣的网站!
mixi豆テクニック集(仕様が変わるまでの保存版):地獄変00
利用者数が50万人を突破したmixi。もうSNSと言うよりはmixiという新しいメディアですね。 しかし、ここまで利用者数がいる割にはmixiを利用する際の豆知識的なものがあまり浸透していないなぁ、感じることが多いです。最終ログイン時間を更新しない方法とかアクセス禁止にされたときの挙動とか。 そこで、今回はmixi豆テクニック集(仕様が変わるまでの保存版)として、メジャーなものからマイナーなものまでいろいろピックアップしてみました。いつぞやのネットランナーの記事ではmixiの規約違反になるようなものを掲載していましたが、ここにはそういうものはないので安心してどうぞ。 ちなみに、mixiに書かずにBlogに書いているのはmixiは検索性がえらく低いから。また、このエントリーはmixiは現状このような仕様になっていることを記述したもので、mixiに仕様変更などを求めるものではないです。 ログイ
いぬビーム - backup_mixi
mixiの各データを、手元のハードディスク等に保存するツールです。特徴は以下の通り。 メッセージ(受信、送信、下書き、ごみ箱)を一括保存します。 日記も一括保存します。 日記にアップロードした画像や、メッセージ中の顔写真も保存します。 html形式で目次を作ります。 2回目以降は追加分だけを取得するので高速です。 日記をはてなダイアリー形式に変換できます。対応した各種ブログに移行できます。 気に入ったら広めてくださいね。 ダウンロード ひな。さんが機能拡張版を公開しておられます。 → http://milk-tea.que.jp/milk-cake/soft/ オリジナル版はmixiの仕様変更により正しく動作しないため、公開を中止しています。 使い方(Windowsの場合) backup_mixi.exe をダブルクリックして下さい。 「msvcr71.dllが無い」ってダイアログが出る場
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mixiで商品企画のプランナー養成塾をはじめました: 女性潮流研究所 ターゲットのインサイトにズバッ!
Japan.internet.com Webテクノロジー - mixi と2ちゃんねるに見る、未来の Web2.0 的仮想社会
FrontPage - そろそろFAQテンプレ(mixi)from SNS@2ちゃんねる