HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 の続き。 今回は Chrome 拡張とは関係ない、サイト設計側の話です。 ※本記事では Zaif のセキュリティ上の問題について指摘していますが、非難の意図はありません。 続報：11月4日 Facebookコメントより。 Ryosuke Hosoi · テックビューロ CTO ご指摘ありがとうございました！少し事情があってすぐに対応出来なかったのですが、先ほどZaifの認証情報にもhttp_only属性がつくようになりました。 しかしながら、jsが汚染されていると他にもいろいろ攻撃出来てしまいますので、今回の件はこれでもう安心、というわけではないと考えています。 15時間前 11月14日時点で httponly 属性が付くようになったようです。対応

疑惑どころか 99.99% くらい黒な話。 （後記：セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい） 追記：続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様（？）の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様（？）。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog

前提 ImageMagick をインストールしておくこと。 Windows でも Mac でも Linux でもインストールできるはず。 余白トリミングするコマンド 以下のようなコマンドで、画像の余白を自動検出してトリミングしてくれる。 mogrify -trim +repage hoge.gif 画像がJPEG等の場合、背景色にノイズが乗ることがあるので、背景色判定をやや曖昧にするオプション（-fuzz *%）を指定すると良い。 mogrify -fuzz 5% -trim +repage hoge.jpg 複数画像を一気にトリミングしたい場合はワイルドカード指定もできるやで～ mogrify -fuzz 5% -trim +repage *.jpg JPEG のトリミング例 変換前 変換後（-fuzz を指定しない場合。微妙に余白が残る） 変換後（-fuzz 5% を指定した場合。ぴっ