CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub
CVE-2018-0691.md CVE-2018-0691 プラスメッセージにおける証明書検証不備について https://jvn.jp/jp/JVN37288228/ 平日の業務時間内に見つけた問題である関係で(自分ルールで)所属を入れていますが、他社サービスに対する調査や報告は業務とは一切関係のない個人の活動として行っています。 文責はmala個人にあります。お問い合わせなどありましたら個人宛にどうぞ。TwitterのDMや任意の文字列 @ma.la 概要 2018-06-21 に脆弱性の報告を行い 2018-06-27 に修正版が公開されたプラスメッセージについて、2018-09-27 に情報開示が行われているので、経緯について書きます。 タイムライン 2018-06-21 11:44 プラスメッセージのiOS版が公開されたと聞いてインストールする 2018-06-21 12:54
アプリの信頼とサービス運営者の信頼の話
e.md もう5年も前の話になっていたのだけど、Echofon(Twitterクライアントの一つ)の件を今更だけど書かねばならない。 https://subtech.g.hatena.ne.jp/mala/20120214/1329199851 https://subtech.g.hatena.ne.jp/mala/20120305/1330961228 https://twitter.com/bulkneets/status/176658152882831360 当時、Echofonのプッシュ通知を管理するサーバーの認証機能に欠陥があり(というか認証が無く) 他のEchofon利用者に対して送られるpush通知(DMやreplyなど)を横取りすることが出来た。 このセキュリティホール自体は素早く修正されたのだけど、この件をきっかけに、クライアント/サーバーの境界線が曖昧になっている、とい
クライアントサイドでガチャ · GitHub
gistfile1.md 目的 サーバー側でガチャのアイテムを選択すると確率操作している疑いがかかるので、事前に提示した確率から変更が出来ず疑いが掛からないような方式を提案する サーバー側でもクライアント側でも不正が出来ないことが要件として求められる 簡便なアルゴリズムで一般市民にも理解しやすく、また、解析によるアルゴリズムの把握が容易であることが望ましい かんがえかた これ相当のことを、サーバーとクライアントでやればいい。 ディーラーはカードを伏せた状態でプレイヤーに配る。プレイヤーは自分の責任でカードを選ぶ。選んだ後で選択していないものも含めて、全てのカードが公開される。 このような機能を実現するためには、次のような性質を持つアルゴリズムがあればいい。 サーバー側では中身が確定していて、宣言したカードの中身を後から変更することが出来ない(不正ができない) クライアントからはカードの中身
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TwitterのOAuthの問題まとめ
gist:4986504