mixi脆弱性報告制度:評価対象外になったもの
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 mixi脆弱性報告制度で報告した脆弱性のうち、報告したけど評価対象外になったものをまとめます。 報告したけど評価対象外だった脆弱性 1.ショッパーズアイ コードインジェクション 報告日:2014年3月31日 評価結果連絡:2014年4月8日 弊社において既知の脆弱性であると判断、よって脆弱性報告制度の対象外 ※追記:この脆弱性は現在は対応済みです。mixiさんに問い合わせて脆弱性対応済みであることを確認してから記事を公開しました。 ※2014.4.16 23:00 本記事の反響がやたら大きくなってしまったのでコメントを
脆弱性報告制度 << mixi Developer Center (ミクシィ デベロッパーセンター)
株式会社ミクシィは、お客様に安心してご利用いただけるサービスを提供するため、脆弱性に関する報告の重要性を認識しております。より安全なサービスの実現を目指し、脆弱性報告に対して、正当な対価をお支払いすることを目標に、脆弱性報告制度を開始しましたので、ご案内いたします。 概要 弊社のサービスにおいて、脆弱性を発見した場合に、窓口にご報告いただき、その重要度によって、報酬をお支払いする制度です。 対象 本制度は、株式会社ミクシィとその子会社がリリースした、ウェブアプリケーションおよびクライアントアプリケーションの脆弱性を対象とします。 ただし、次に該当するものは含まれません。 既に公表されている脆弱性 弊社にとって既知の脆弱性 報告されてから修正が完了する前に公表された脆弱性 攻撃が成立する可能性が著しく低いと考えられる脆弱性 原理的に修正が不可能な脆弱性 本制度の期間外に報告された脆弱性 窓口
「足あと」改修の背景 - ミクシィグループ公式ブログ
株式会社ミクシィでは、2011年6月13日(月)より、『mixi』の「足あと」機能をリニューアルし、新たに「先週の訪問者」として提供開始いたしました。 当社では、「mixi」のサービス開始当初からの機能である「足あと」をより良いものにする為に、「良さ」を残しながら、「足あと」が抱えていた課題を解消し、更に良いサービスに生まれ変わらせるというコンセプトのもとリニューアルをいたしました。 リニューアルに関してユーザーの皆さまより様々なご意見をいただきましたので、ここであらためて、今回のリニューアルの背景や目的についてご紹介させていただきます。 ■旧「足あと」の良さと課題について 旧「足あと」の良さ 旧「足あと」について、ユーザーの皆さまに人気だった点の代表例として以下の2つのような良さがありました。 1.フィードバックとしての機能 2.つながり(交流)のきっかけとしての機能 1.フィードバック
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
mixiがこの時期に年齢制限を緩和した本当の理由
昨日から意味わかんねー、とか思って、色々調べてたんだけど、オープン化案内のページ下部に、コッソリとこんな事が書かれてる。ブクマで気がついた。 「第三者認証を取得すべく、モバイルコンテンツ審査・運用監視機構(EMA)に申請を行いました。(2008年11月現在)」 http://mixi.jp/guide_openmixi.pl オープン化って言ってるけど、これ、フィルタリング対策じゃん。 青少年ネット規制法ってので、「コミュニティサイト」はフィルタリング対象になった。で、携帯キャリアも2009年1月ぐらいから、18歳未満の利用者のフィルターをONにする。このフィルターは、親権者同意書をショップに持って行かないと解除されない。でもでも、mixiって元々18歳以上だけだし、別にフィルタリングされても問題ないじゃんって思ってた。だけどよく調べてみたら、このフィルターって、自動解除されないらしい。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてなブログ | 無料ブログを作成しよう