ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
アフィリエイトIDが書き換わる脆弱性について - はてなダイアリー日記
本日20時頃、特定のタグを貼り付けたページを閲覧するだけで、はてなにご登録いただいているアフィリエイトIDが書き換わってしまう脆弱性が存在する事が判明しました。 この脆弱性について、先ほど修正を行いました。現在、この脆弱性は修正されております。 脆弱性の内容 特定の引数を指定した画像タグを使用する事で、ページの閲覧者がアフィリエイトページで設定を変更した操作と同等の操作が可能となっておりました。 今後の対応について 現在被害状況を調査中ですが、アフィリエイトIDの書き換えが行われた方が現在200名程度確認されています。 今後さらに詳細な調査を行い、被害者の方には随時個別に今回の状況説明と、アフィリエイトID再設定のご連絡を行わせていただきます。 また、同様の脆弱性が存在しないか、改めて他のページについても確認を行います。 このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけ
それが愚かに見えるのなら、自分たちだけの SBM を作ればいい - ぼくはまちちゃん!
はてなブックマークって、色々な特徴と使われかたがあるよね。 そんな中でも、やっぱり目立っているのが hotentry。 最近、この hotentry が面白くないってひとが多いとか…! そこで、はてなブックマークの特徴の中でも、 ・おもしろいページを他人におすすめできる ・おもしろいページを誰かにおすすめしてもらえる って部分を少し考えてみるよ! これ、面白くなくなってきたのなら、 「おすすめしたい、されたい」に指向性を持たせられればいいのにね! つまり… アルファ専用ブックマークだとか 断片部ブックマークだとか なんかそういうの、つくれればいいのに! So-net が SNS でやってるような感じの 「だれでも自分たちだけの SBM をつくれます」みたいなの。 もちろん、それぞれがはてブなの。 hotentry とかの機能があるの。 そうしちゃえば、他にも、家庭内やリアルな仲間内みたいな
XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
ITmedia News:Web2.0時代の“脆弱性”――mixiチェーン日記はなぜ広まったか (1/2)
「mixi日記を介してウイルスが広まっている」――日本最大手のソーシャルネットワーキングサービス(SNS)「mixi」上で、こんな内容の日記が、6月19日夜から21日ごろにかけてチェーンメールのように広がった。不審な点の多い日記だったが、多くのユーザーが信じ込んで自分の日記にコピーしたり、メッセージで知り合いのユーザー(マイミク)に知らせるなどして急速に広まった。 21日午前10時過ぎに、運営元のミクシィが「ウイルスによる影響などは一切ない」と告知文を出すまで、少なくとも数千のユーザーが日記を信じ、マイミクに伝えようと自分の日記にコピー。ピーク時で1分間に4~5件の日記が更新されていた(関連記事参照)。 チェーン日記が広まった背景には、友人の日記に対する素朴な信頼感や、「情報を広げて問題を食い止めねば」という善意などがあったようだ。広めてしまったユーザーには、「チェーンメールは転送してはい
いぬビーム - チェーンメールの発生経緯
すぐに思いつく修正方法は、mixiトップの「障害のご報告」のところに 「〜〜という内容の日記がでまわっておりますが、日記が追加される問題点は修正済みであり、情報などが漏洩されることはございません」のような内容を公式アナウンスとして掲載しちゃうことで、そうすれば「なんだガセか!」って情報がチェーンメールを駆逐する、とは思うんだけど、 それって、 「ぼくはまちちゃん脆弱性については、障害情報には一切のせない」というmixi運営ポリシーに反するからできない。 から修正不能なのかな! さすがいぬビーム…! さすがはまちちゃん! 昨日の話の続き。 まず、チェーンメールを書いたのははまちちゃん当人なのでした。 さらに、日記が書かれたのは19日なんですが、その前日には(いつもの)勝手に日記が投稿されちゃう攻撃が実施されてたのでした。なのでチェンメの半分くらいは実話。 ここまでだけなら「なんて手の混んだ自
超mixi足あとちょうについて :: ぼくはまちちゃん!
こんにちはこんにちは!! 現在の超mixi足あとちょうは、何度かのバージョンアップをして、以下のような内容になってますよ! きみのMIXI ID: きみのpostkey: きみのメールアドレス: ※mixiの修正が4回入って、現在は非表示 きみのブラウザ: きみのホスト名: リンク元: (おまけ4) きみのYahoo ID: (おまけ5) きみのHatena ID: (おまけ2) きみのlivedoor ID: (おまけ6) きみのGoogleアカウント: (おまけ3) きみのなまえ(amazon): (おまけ7) きみの好みのタイプ: (おまけ1) きみのクリップボードの中身 ところで、超mixi足あとちょうの追記にも書いたけれど、 「hamachiya.com を見にいかなければ大丈夫」で 思考停止するのって一番危険なんじゃないかな、と思うんだけど…! ここをみている一部の方々は、たぶ
■ - hoshikuzu | star_dust の書斎
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml
DOMAIN ERROR
ドメインウェブの設定が見つかりません 考えられる原因 ドメインウェブの設定がまだ行われていない。 ドメインウェブの設定がまだ反映されていない。(反映には数時間~24時間かかることがあります) ドメインウェブ・DNSの設定が誤っている。 アカウントが存在しない、契約が終了している、削除されている。
はてなダイアリー - キーワードでつながる面白ブログ(http://diary.hamachiya.com/)
ドメインウェブの設定が見つかりません 考えられる原因 ドメインウェブの設定がまだ行われていない。 ドメインウェブの設定がまだ反映されていない。(反映には数時間~24時間かかることがあります) ドメインウェブ・DNSの設定が誤っている。 アカウントが存在しない、契約が終了している、削除されている。
はてな記法ってべんりなの? - ぼくはまちちゃん!
前回の日記のコメントを書いてて思ったんだけど…! 純粋に疑問が! 「はてな記法」ってべんりなの? 言語っていっちゃうには大げさなんだけど、 (それでも、ぼくみたいな初心者にとってはこれもじゅうぶん言語だよ…!) 使い方をおぼえても、ツブシのきかない言語なんだよね?これって。 で、それをおぼえて得られることって、 htmlの表現を、少ないキー入力でできる、ってことでいいのかな。 もしhtmlを知ってるひとなら、 はてな記法を使わないとできない表現、っていうのは無いんだよね。 つまり…、えーと… わーやっぱり何がべんりなのかわからないよ>< と、おもってヘルプを見つけてきた! はてなダイアリーでは、HTMLの知識がなくとも、 はてな独自の記述方法「はてな記法」で書くことにより、 自動的に見出しを作ったり、 リストを作ったりといった、 いろいろな表現を簡単に行うことができます。 あ!これって、や
ぼくはまちちゃん!(Hatena) - はてなのとっつきにくさ
こんにちはこんにちは!! はてな楽しいですね! ぼく最近、はてながおもしろくて友達にすすめちゃったりしてるんだよ。 だけど反応がいまいちで、とっても残念なんだよね。 なんかこんなかんじ。 Aさん(男性) にすすめたとき ※Aさんはこんなひと 業務系Cプログラマ パソコン通信の頃からのネットワーカー Rubyに興味ありそうだけど、Webの技術や動向には詳しくないというか関心なさげかな 主に掲示板・チャット・mixiなんかで遊んでいるひと はまち「はてなおもしろいよ!!!!!ぶっくまーく!!!!!!」 Aさん「はてな? あー、ググった時によくでてくるあの邪魔なサイトかぁ… なんかひたすら文字が並んでてさー、 正直、あんなサイト二度と見たくないんだよね…」 たぶん「文字が並んでいた」っていうのは、 「単語のリンク」がたくさん並んでいたってことかな…。 うん。わかるわかる。 ぼくもはじめてはてなダ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【クリスマス特別企画】mixiの「足あと」をはてなで体験してみようね!!
はてなブログ | 無料ブログを作成しよう
はてな外のサイトからはてなダイアリーが閲覧できていた件につきまして - はてなダイアリー日記