タグ

ブックマーク / gist.github.com/mala (6)

  • noteの独自ドメインセッションの脆弱性について報告した件

    note_vuln.md noteの独自ドメインセッションの脆弱性について報告した件 文責: mala 前置き note.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する 個人の活動として行っており所属組織とは関係がない 自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。 公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません) note社のサービスに他の脆弱性が無いことを保証するものではありません。 経緯 2020年9月30日に公開されたnote社の記事で https:/

    noteの独自ドメインセッションの脆弱性について報告した件

  • Meety脆弱性 2022-11

    meety_vuln.md Meety脆弱性 2022-11 文責 mala 経緯: Meety退会しようと思ったがアカウントがなかったので、退会するためにアカウントを作ることにした。 免責: 気になった範囲ですぐに見つかったもののうち、悪用可能なものを記載しています。 好ましくないが仕様だろうというものは書いていません。 他の脆弱性が無いことを保証するものではないです。 これはsecret gistです 11/24 時点で未修正の脆弱性情報が含まれています。修正されたらpublicに変更する予定です。 近しい人向けの注意喚起と、開発元への報告を兼ねて書いています。 悪用を教唆したり、悪用しそうな人に情報を共有することは避けてください。 自分の所有していないアカウントの情報を書き換えると法に触れるので、そのような行為は絶対にやめてください。 11/25 Publicにしました 以下 1-4

    Meety脆弱性 2022-11
    kinushu
    kinushu 2022/11/25
    リンク

  • noteとインシデントハンドリングと広報の仕事

    note_vuln.md noteとインシデントハンドリングと広報の仕事 前提 この文章はmalaが書いています。個人の見解であり所属している企業とは関係ありません。 noteには知り合いが何人かいるし、中の人と直接コンタクトも取っているし相談もされているが、(10月2日時点で)正規の仕事としては請け負っていない。 10月2日追記 正規の仕事として請け負う可能性もありますが、自身の主張や脆弱性情報の公開に制限が掛かるのであれば引き受けないつもりです。 脆弱性の指摘や修正方法以外にも意見を伝えることがありますが、公表されている文章については、あくまでnote社内で検討されて発信されているものであり、必ずしも自分の意見が反映されたものではありません。(事前に確認などはしてません) 重要 この記事には、9月30日付けと、10月1日付けでnoteに報告した脆弱性についての解説を後ほど追記します。誠

    noteとインシデントハンドリングと広報の仕事
    kinushu
    kinushu 2020/10/01
    リンク

  • 各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について

  • 次世代Webカンファレンス 2019 振り返り

    nwc.md 次世代Webカンファレンス 2019 振り返り この文章に関しても所属組織とは関係のない個人の見解です 所感など 当に全く打ち合わせをしていないので、話題が分散しがちだったかもしれない。 せっかくの所属組織とは無関係のレギュレーションなので、具体名を上げてガンガン治安の悪いことを言うつもりだったのだけど、直前に「具体的な企業名は避けましょう」と言われて若干遠慮した。 マズいことをガンガンしゃべる覚悟で来たので、防刃ベストを着ているが、特に出番は無かった。トイレにも行った。 当は話す予定だったトピックについて、いくつかは、別途private gistに書く。 話した話題の参考情報 CDN設定の話、request collapsing という名前の機能 https://tech.mercari.com/entry/2017/06/22/204500 http://www.it

    次世代Webカンファレンス 2019 振り返り
    kinushu
    kinushu 2019/01/16
    リンク

  • アプリの信頼とサービス運営者の信頼の話

    e.md もう5年も前の話になっていたのだけど、Echofon(Twitterクライアントの一つ)の件を今更だけど書かねばならない。 https://subtech.g.hatena.ne.jp/mala/20120214/1329199851 https://subtech.g.hatena.ne.jp/mala/20120305/1330961228 https://twitter.com/bulkneets/status/176658152882831360 当時、Echofonのプッシュ通知を管理するサーバーの認証機能に欠陥があり(というか認証が無く) 他のEchofon利用者に対して送られるpush通知(DMやreplyなど)を横取りすることが出来た。 このセキュリティホール自体は素早く修正されたのだけど、この件をきっかけに、クライアント/サーバーの境界線が曖昧になっている、とい

    アプリの信頼とサービス運営者の信頼の話
    kinushu
    kinushu 2017/04/26
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.