Immortal Session の恐怖 : 404 Blog Not Found

2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは！！ この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残

[Steiger31226]

“対処”

[kokogiko]

これは…

[MinazukiBakera]

ネタ消化済みだが再メモ。→http://bakera.jp/ebi/topic/3034

[Tetsu3]

cookieのsessionIDだけで認証するとあぶない的な話。

[webmarksjp]

セキュリティ

[bakishin]

[immortal session] [security]

[nilab]

404 Blog Not Found:Immortal Session の恐怖

[mlhshino]

実装時は気をつけないと。

[machikoma]

こわいこわい。

[MotoyukiOgawa]

セッションハイジャックとCSRFをごっちゃにしてないか? IPアドレスもチェックしろとか、そう言えばXOOPSの人も同じことを高木さんに噛みついてたな・・・と思ったら高木さんの突っ込みがすでに↓(笑)

[rna]

そういうものでは? UNIXだってログイン中にパスワード変えて他の端末の接続切れたりしないし。セッションリセット機能は不正利用者がリセットかけまくったら正規利用者が何もできなくなるし…

[rev-9]

「あんなパスワードを使う私でも安心して使える安全なサービスを構築して欲しい」というセキュリティ技術者への激励ですね。ま、「絶対荒れずに良質な記事だけが並ぶブログサービス」よりは実現可能性は高いかも。

[sync_sync]

dankogai氏のtwitterがクラックされたらしい。

[I11]

説明不足。dAN氏の信用格付けをAa(投資適格上位)からBaa(中程度のリスクあり)に二段階降格。

[Vitalsine]

意外とダサかったdanせんせい。誕生日とか名前をパスワードにしちゃいけないってうちのママもいってました。

[takanorikido]

しまったしばらくtwitter見てなかった。

[tyamamoto]

？？

[cubed-l]

こんなことがおきてたのか／セッションの話詳しくないのかな？

[daichan330]

Immortal Session よりも胃も～たれ折衝の方が怖い

[mo_dem38]

'俺、実はPerl嫌いなんだ....'

[adsty]

弾さんのTwitterが荒らされた件について。彼さえも恐怖する事態。

[noreply]

[]

[mi1kman]

だれも「不正アクセス」というタグをつけない不思議/祭りとかいたずらとか荒らしの範囲を超えてますよ

[hamasta]

セッションについて

[as365n2]

のっとり

[hasegawayosuke]

高度に発達したCSRFはXSSと区別がつかない。

[at_yasu]

cookie の実(装|体)

[ockeghem]

CSRFでcookie値を読み出すことはできない。サーバー上で副作用を起こさせるだけ。dankogaiを詐称したメッセージの書き込みならできる。xssならcookie値を窃取することが可能。

[sankaseki]

404 Blog Not Found:Immortal Session の恐怖

[tsupo]

昨晩(というか、日付は今日だけど)に発生したdankogai祭りの件。Twitter の脆弱性問題。