<前回のお話> IMGタグが付いていても、それが本当に画像なのかはリクエストしてみないとわからない。巧みに「誰かにリクエストさせる」のがCSRFの手口だと知ったわかばちゃん。じゃあ、ブログサイトやSNSはどんな対策をしているの…?はまちちゃんによる前回までの説明からはじまりはじまり!
![第3回 CSRFの対策法ってどんなもの? | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/29c83b78ddd1366ab14d60f762747032e7fc5f2e/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2008%2F202_hamachiya.png)
※ src: 画像の場所を指定する属性。相対パスではなくURLで書けば、他のドメインにある画像を表示することも可能。つまりURLに対してGETリクエストを行う(閲覧者に行わせる)お手軽な手段とも言え、これを用いてなんらかの攻撃が行われることもしばしば。 まとめ このように、imgタグなどによって、閲覧者のブラウザからどこかのURLへ任意のリクエストを「送らせる」ことは簡単にできてしまいます。しかも、それで発生するリクエストは、閲覧者自身がリンクをクリックしたときとなんら変わりはありません。では、これを攻撃として用いられた場合(つまりCSRF)、Webプログラム側ではどのように防げばよいのでしょう。 きっとまっさきに思いつくのは、「POSTリクエストを使うようにする」、あるいは「リファラヘッダ(リンク元が記載されているヘッダ行)のチェックを行う」などでしょうか。しかしそれだけでは不
小飼弾のアルファギークに逢いたい♥ #6IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(後編) Webアプリ開発でもっとも重要なこと 天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の後編です。 編集部注) 本対談は2007年3月に行われたものです。 撮影:武田康宏 優れたエンジニアって 弾:毎度おなじみの質問です。優れたエンジニアとして重要なのはどんなことでしょうか。タグは綴じようとか(笑)。 天:俺は自分1人でどこまで作れるかっていうことだと思います。上から下まで自分でどのくらい作れるか。そういう意味では、自分はまだまだかなぁと思うんですけど。 は:そういう人がそばにいたら、何でもお願いしたくなっちゃうかも。アイディアが湧いたら「こんなの作って」とかって。この人に言ったら、上から下まで全部できちゃうみたいな。 弾:いやでも何でもやら
小飼弾のアルファギークに逢いたい♥ #6IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか 天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の中編です。 編集部注) 本対談は2007年3月に行われたものです。 こんにちはこんにちは! 弾:はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの? は:確かmixiを始めた2年前くらいかな。mixiってブログと違って、日記にコメントがたくさんつくのがおもしろくてハマってて。毎日見てるうちにおもしろい現象を見かけたんです。たまたま誰かが「ラーメン」ってタイトルの日記書いたんですよ。そしたらほかの人もつられて「ラーメン」って日記を書き出して、それがマイミクのマイミクまでどんどん伝染していっちゃって、その日の日記一覧が全部「ラーメン」になっち
今回はShibuya.jsなどJavaScript界で活躍中のamachangこと天野仁史さんと、mixi、はてなや最近ではIPAなどさまざまなWebサイト・サービスのセキュリティ脆弱性を指摘(?)していることで知られるHamachiya2さん(はまちちゃん)のお2人がゲストです。まずは2人の馴れ初めから…。 編集部注) 本対談は2007年3月に行われたものです。 出会い 弾:で、お2人の馴れ初めは? 天野(以下、天):mixiで俺が「マイミクなってください」ってところから始まった。 Hamachiya2(以下、は):はい。ナンパされちゃいました。 弾:はまち釣り(笑)。 天:マイミクなってくださいってとこから始まって、そしたら(はまちちゃんが)JavaScriptを高速化してる人だ!っていうことで、デブサミのときに見に来てくれたんです。 JavaScriptのライブラリ 天:
こんにちはこんにちは ! ! はまちや2です! 今日からぼくと一緒にWebプログラミングのセキュリティについて、ちょっぴり勉強してみませんか!今回はHTTPがどんなやりとりをしているのか、簡単におさらいしてみましょう!
ウェブカレの開発費は2人のエンジニアの人件費とイラストレーターや声優の外注費を含めても1000万円程度で済んだという http://it.nikkei.co.jp/internet/news/index.aspx?n=MMIT2B000011112008 こんな記事があった。 なんでこんなサイト作るのに1000万円もかかるんだろう??? 高すぎ。素で理解できない。 2人のエンジニアって書いてあるけど 仮に給料を少し高めに考えて月に30万円だとして たっぷり5ヶ月かかっても、30万x2人分x5ヶ月 = 300万円だ。 イラストや声優なんかも、よっぽど高くてもそれぞれ100万円もかかんないんじゃないの? だってウェブサイトのデザインとかでも、業者にまるごと依頼しても高くて50万とかでしょ?? つか、これくらいの似たようなサイトなら自分でも作れるし、 それで1000万円もらえるんなら作るけど??
disりたい、ネガコメ書きたい、俺のカッコイイdisりっぷり見て欲しい! なんて時もあるだろうけど、だからといって そういう時にうっかり、はてなブックマークなんて使っちゃうと、 それは、相手にみすみす「リンク」なんていう極上の飴玉あげちゃってることになるんだよ。 そしてそれはもちろん、対象のページの「信頼」へとつながる。 たとえ、はてブのコメントの内容がネガコメ一色だったとしても。 きみがひとつ、はてなでブックマークするだけで、たとえ1userだったとしても 5個くらいリンク増えるよ。もっと増えるかな。 きみのブックマークページ きみのブックマークページ(日付別) きみのタグページ 含むキーワードページ(新着) タグページ(新着) … そんな奥まったページ、普通だれもみないし関係ないと思うよね。 だけど見るんだ。検索エンジンが。 リンクひとつ見つけるたびに、対象のページにポイントを加算する
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
履歴書には、うちには勿体ないような経歴が書かれていたので採用しましたが、 ふたを開けてみたら、 寝坊していつまでたっても職場に出社してこないし、 お願いした書類を一ヶ月かかっても書き上げることができないし、 プロジェクトを任せてもいい加減で彼女とけんかを始めたり、 全く困ったもんなんです。 でもね、もうフリーダム過ぎる彼を首にしてしまったら、 次に雇ってくれるところはないんじゃないかと思って、我慢しています。 そんな彼ですが、仕事へのやる気はまるっきりだめでも、 実はセキュリティホール探しを任せたらピカイチってことに最近気付きました。 根気よく使っていれば、長所が見つかるもんです。 このように、うちはエリートの集まりではありません。 Lanタソから、「この子、ニートにしておくのはもったいないですよ」と 頼まれて仕方なく採用したり、公募で採用してもはまちや君のような人しかきません。 それでも
2008/10/20 エガミくんの脆弱性のやつ とその返事 2008/11/11 彼氏がphp使ってた。別れたい… 2008/11/12 取締役がありえない失言をしてた。ユーザーサポート辞めたい… 2008/11/13 ウェブカレ1000万て (参考) 今年書いた主なはてな匿名ダイアリーまとめ - 俺のターン
株式会社ミクシィは、お客様に安心してご利用いただけるサービスを提供するため、脆弱性に関する報告の重要性を認識しております。より安全なサービスの実現を目指し、脆弱性報告に対して、正当な対価をお支払いすることを目標に、脆弱性報告制度を開始しましたので、ご案内いたします。 概要 弊社のサービスにおいて、脆弱性を発見した場合に、窓口にご報告いただき、その重要度によって、報酬をお支払いする制度です。 対象 本制度は、株式会社ミクシィとその子会社がリリースした、ウェブアプリケーションおよびクライアントアプリケーションの脆弱性を対象とします。 ただし、次に該当するものは含まれません。 既に公表されている脆弱性 弊社にとって既知の脆弱性 報告されてから修正が完了する前に公表された脆弱性 攻撃が成立する可能性が著しく低いと考えられる脆弱性 原理的に修正が不可能な脆弱性 本制度の期間外に報告された脆弱性 窓口
こんにちはこんにちは!! 最近ソーシャルゲームが熱いらしいですね! いわゆるmixiアプリのゲームとか…! ああいうのって、なんで流行ったかなー。 色々あるんだろうけど、 やっぱり一番の理由は潜在的な需要へのアプローチってことでしょうか…! 「ゲームやりたいなー。そんな暇ないけど」って人はたくさんいるんだろうけれど、 みんなゲーム機やパッケージを買ってきてまでは、 あるいはPCにインストールしてまでは、ゲームやらないんだよね。 やらないやらない。忙しいから。 もし買っても、やらずに積むね…。 でも、なにかのきっかけでやりはじめちゃうと、 「そんな暇ない」と言いつつ、むりやり暇をつくってでもやっちゃうんだよね。 だからきっと、そういう層がクリックひとつでできるブラウザゲームを(うっかり)はじめたのかな。 毎日みてるサイトの画面から2クリックくらいでゲームスタートしてしまうなら、 そしてそこに
こんにちはこんにちは!! 最近、多いですよね。 バイト先で食品の上に寝そべった写真とかを、 ツイッターで公開して、拡散されて、まとめられて大炎上。 お店は休業、やらかした人はクビ…。 なんで今、そんなことが多発してるのか? なんてことについて、近頃たくさんのブログで言及されています。 だいたいの皆さんは、 「そういうことは元からよくあった。井戸端会議が可視化されるようになっただけ」 ということを言ってます。 ぼくもそう思う。 じゃあなぜ、そんなにも可視化されるようになったんだろう? 単純にツイッターが流行ったから? ツイッターにも書いたけど、こっちにも書いておきますね。 バカな写真がよく炎上している理由: スマホで見たとき、ツイッターとかフェイスブックのインターフェイスが、グループチャットに見えるから。 たぶんこれかな、とおもいます。 いまどきのひとは、PCなんて使いません。 昨日までガラ
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
こんにちはこんにちは!! はてなブックマークがリニューアルされてから、4ヶ月ほど経ちましたが みなさんはそろそろ慣れましたか! ぼくはいまだに慣れてません…>< 一覧性が悪いとかそういうのは、他ですでにさんざん言われてるので、ここではあえて触れずにおきます。 が、特に何に慣れないかっていうと、 ぼくはPCで見る時、「マウスのホイールクリックで新タブひらく」というやり方をよくつかうのですが… ふむふむ、読んでみようかな〜 よーし新タブで開いちゃうぞ〜 あっ! これ、文字と文字のあいだ、行間に、けっこう大きな「すきま」があるんですね。 で、そこをクリックしてしまう。 はてなの皆さんは、MacBookとかタブレットばかり使っている リア充オシャレメガネスタバ野郎ばかりだからきっと気づかないのかもしれませんが、 ぼくみたいにふつうのVAIOとかマウスとか使ってる人がいることも忘れないでほしいです。
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
古くからのmixiユーザーであれば、“はまちちゃん事件”を覚えている人も多いだろう。2005年4月、mixiで大勢のユーザーが“ぼくはまちちゃん!”というタイトルを付けた、謎の日記を次々に公開するという怪現象が起こった。 きっかけとなったのは、あるユーザーが投稿した日記。その日記の本文には「こんにちはこんにちは!!」という言葉とともに“あるURL”が貼り付けてあった。 このURLが罠で、不思議に思って押すと、クリックしたユーザーのページに“ぼくはまちちゃん!”というタイトルで同じ文面/URLの日記が勝手にアップされてしまうのだ。 投稿は“ねずみ算”的に増え、一時は混乱状態に…… さらに、勝手にアップロードされた日記を見て「友達が変な日記を書いている」と興味を持った友達がURLをクリック……。mixi内には“ぼくはまちちゃん!”という題名の日記が“ねずみ算式”に増えていき、一部のユーザーを混
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く