記事へのコメント35

    • 人気コメント
    • 新着コメント
    nilab nilab フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

    2022/10/28 リンク

    その他
    defiant defiant この記事をおすすめしました

    2022/10/28 リンク

    その他
    text-sakura-ne-jp text-sakura-ne-jp 《関連情報》『ショッピングサイトのプログラム改ざん クレジット情報流出か - NHK』https://www3.nhk.or.jp/news/html/20221027/k10013871221000.html

    2022/10/28 リンク

    その他
    adsty adsty サービスのソースコードが改ざんされ入力フォームの情報が流出した。

    2022/10/27 リンク

    その他
    estragon estragon “ショーケースが提供するサービスのソースコードの改ざんが行われた。対象サービスが稼働するシステムの一部で脆弱性を悪用されたことが原因。被害に遭ったのは「フォームアシスト」「サイト・パーソナライザ」「ス

    2022/10/27 リンク

    その他
    diet55 diet55 「被害に遭ったのは『フォームアシスト』『サイト・パーソナライザ』『スマートフォン・コンバータ』の3つ」「利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用」

    2022/10/27 リンク

    その他
    k-holy k-holy なるほど、JS読み込みだけでフォームを楽に書き換えてユーザー分析したいってニーズがあるのね。ログインID/パスワードやカード番号等の機密情報の入力フォームでは外部からのJS読み込みNG、ってのが定石化しそうだ。

    2022/10/27 リンク

    その他
    prograti prograti フォームアシストのJSはJSの中で別のJSをユーザごとにdocument.writeしてるみたいだからそっちが改ざんされたらintegrity属性でもダメでしょうね。一部のユーザのみということはそっちが改ざんされたんじゃないかしら。

    2022/10/27 リンク

    その他
    otchy210 otchy210 ちゃんとした CDN でホストされてるちゃんとした JS ライブラリはそのサンプルコードに最初からちゃんとハッシュが記載されてるが、そうでないところも多いでな…。

    2022/10/27 リンク

    その他
    legnum legnum 自社サーバにいちいちツール入れてた時代は「ツール作成業者が出してるパッチ当て忘れで流出」だったから「パッチ当てるのもツール作成業者、サーバも業者」になったのにその業者にやらかされると防ぎようが無い

    2022/10/27 リンク

    その他
    kitone kitone “利用企業は同社が公開するJavaScript (formassist.jp、navicast.jp上で公開)を自社サイトより読み込むことで利用する”

    2022/10/27 リンク

    その他
    diabah_blue diabah_blue 現代では、自ドメイン外のJavascriptを使う際、ブラウザがJSの改ざんを検知できるように、サブリソース完全性検証機能を使っておくもんだということを覚えた。 https://developer.mozilla.org/ja/docs/Web/Security/Subresource_Integrity

    2022/10/27 リンク

    その他
    hevohevo hevohevo 外部のJS組み込んでいたら、そのJSが改ざんされたということか。これはつらい。今回は特に入力フォーム用のJSだったので、フォームに書き込んだ内容が流出したと。

    2022/10/27 リンク

    その他
    doksensei doksensei まとめありがとうございます! 2022/10月情報流出まとめ。ハッキング?

    2022/10/27 リンク

    その他
    T2YAkun T2YAkun フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

    2022/10/27 リンク

    その他
    uunfo uunfo ユーキャンとABC-MARTが7月19日ではなく7月24日からとしてるのはなぜだろう/「クレジットカード番号入力画面において外部JSを読み込まないこと」がPCI-DSSに追加されるのかな

    2022/10/27 リンク

    その他
    paradisemaker paradisemaker 来てた。いつもながら素晴らしい。

    2022/10/27 リンク

    その他
    daij1n daij1n 毎回思うけど、決済でPayPalみたいな外部使わず直接クレカを入力させる意味ってあるんだろか。PayPalの手数料ってそんなに高額だったかな?

    2022/10/27 リンク

    その他
    sisicom sisicom 意外に自体がわかっていないケースも

    2022/10/27 リンク

    その他
    buhoho buhoho このてのサービス提供元はセキュリティ高そうって思ってたけど、実はそうでもなかったのかな

    2022/10/27 リンク

    その他
    lb501 lb501 悪質。7月中には問題があることわかっていたのに、発表は10月。https://www.security-next.com/138832

    2022/10/27 リンク

    その他
    dltlt dltlt ECサイト自体じゃなく、リダイレクト先の決済プラットフォームが(ここの)JS を外部参照してたりしないのかな?|integrity 属性を指定するとなると、参照先JSの更新のたびにハッシュを変更することになるが……

    2022/10/27 リンク

    その他
    diveintounlimit diveintounlimit “ショーケースに対して取引先よりフォームアシストのソースコード中に不審な記述があると指摘”すごい/セキュリティコード抜かれてるのヤバいな、全部そろってるやん

    2022/10/27 リンク

    その他
    kuracom kuracom 出光が細切れになってるのは、ログをもとに当サービスが実際に利用された正確な期間を割り出した結果だと思う

    2022/10/27 リンク

    その他
    rx7 rx7 外部参照しているところから。。

    2022/10/27 リンク

    その他
    Eiichiro Eiichiro まとめありがとうございます。これでだめなら、外部ソース読み込んでる箇所が全部だめってことになる?可能性としては、dnsポイズニングで埋込ソースを配布されたとか?続報に期待。

    2022/10/27 リンク

    その他
    lesamoureuses lesamoureuses 使う側は js読み込むだけだとすると直接 js書き換えられたのかな?どういう方法かよくわからない

    2022/10/27 リンク

    その他
    Lhankor_Mhy Lhankor_Mhy integrity 属性で回避できそうな?

    2022/10/27 リンク

    その他
    atrandom2520 atrandom2520 あらあらあら

    2022/10/27 リンク

    その他
    raimon49 raimon49 決済に必要な情報が全部入りで流出。発覚の経緯が検知ではなく取引先からの指摘というのが。

    2022/10/27 リンク

    その他

    人気コメント算出アルゴリズムの一部にヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    関連記事

    フォーム入力支援やサイト最適化サービスの改ざんについてまとめてみた - piyolog

    2022年10月25日、ショーケースは同社が提供する複数サービス不正アクセスを受けたため、サービスを...

    ブックマークしたユーザー

    • tailtame2022/11/03 tailtame
    • zunchan32022/10/31 zunchan3
    • jhoshina2022/10/31 jhoshina
    • tatatayou2022/10/30 tatatayou
    • stntaku2022/10/29 stntaku
    • yuiseki2022/10/29 yuiseki
    • kuyo2022/10/28 kuyo
    • nilab2022/10/28 nilab
    • m0t0m0t02022/10/28 m0t0m0t0
    • ragari2022/10/28 ragari
    • mkt2022/10/28 mkt
    • s90es2022/10/28 s90es
    • abekoh2022/10/28 abekoh
    • takasago082022/10/28 takasago08
    • yamagamism2022/10/28 yamagamism
    • defiant2022/10/28 defiant
    • junkin_au2022/10/28 junkin_au
    • yagipass2022/10/28 yagipass
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事