会社員になって他人に厳しくなっていく - やしお
なんかサラリーマンになると、他人に厳しくなってるような気がする。昔の同級生や、会社の同期を見ていてたまにそんなことを思う。厳しいというのは無理難題を要求するとかじゃなくて、これくらいは働いて当然だという水準が高くなってて、それを他人に押し付けていて、そのこと自体に疑いをあまり持っていないという感じだ。 この前、ひさびさに同期と同じ電車に乗っていたときに「うちの会社だと製造部門と開発部門で給与面とかの待遇が変わりないけど、ほかの会社だと違うんだろうね」といったことを言われた。その場では一般論というつもりで「ああ、そうかもしれないね」と応えたけれど、それを言った彼が開発部門の人間で、自分が製造部門の人間だから、これってどういうつもりなんだろうと少し思った。開発部門の方が能力的に高い仕事を求められているのだし、そこで待遇面の差がつけられてしかるべきだろう、という意図には違いないだろうけど、それを
Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 の続き。 今回は Chrome 拡張とは関係ない、サイト設計側の話です。 ※本記事では Zaif のセキュリティ上の問題について指摘していますが、非難の意図はありません。 続報:11月4日 Facebookコメントより。 Ryosuke Hosoi · テックビューロ CTO ご指摘ありがとうございました!少し事情があってすぐに対応出来なかったのですが、先ほどZaifの認証情報にもhttp_only属性がつくようになりました。 しかしながら、jsが汚染されていると他にもいろいろ攻撃出来てしまいますので、今回の件はこれでもう安心、というわけではないと考えています。 15時間前 11月14日時点で httponly 属性が付くようになったようです。対応
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Expired