Twitter、モバイルアプリ向け新SDK「Fabric」発表 パスワード不要の次世代認証「Digits」リリース
米Twitterは10月22日(現地時間)、モバイル開発者に向けた初めてのカンファレンス「Twitter Flight」をサンフランシスコで開き、モバイルアプリ開発プラットフォーム「Fabric」を発表した。障害報告や広告管理などこれまで提供してきた開発者向けツールに加え、電話番号とSMSで認証・ログインできる新機能「Digits」も搭載する。利用は無料だ。 モバイルアプリ開発時に重要な(1)安定性を高める、(2)利用者を増やす、(3)収益化、(4)ユーザー認証――の4つの側面を網羅したという開発キット。これまで提供してきたAPIやOAuth、「Twitter Cards」などの埋め込み機能、障害報告ツール「Crashlytics」や広告管理ツール「MoPub」などを一元管理し、アプリ開発時に使える機能を数行のコードを追加することで簡単に組み込むことができる。 アカウント認証ツールとして、
ツイート数カウントくんのトークンが盗まれたようです - Togetterまとめ
まとめ ntddk氏をスパブロするように仕向けた犯人にインタビューしてみた。 2014/06/16 19:40 更新 主たる内容の更新は完全に終了しました。 事の顛末については他の方が作成されたまとめをどうぞ… http://togetter.com/li/679703 とりあえず聞きたいこと聞いてるだけ、意味は全くない感じです。 プロファイリングとかブログ記事書いてPV稼ぐぞとか全くないです。 68104 pv 380 71 users 67
Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える | スラド IT
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出するという事件が発生したが、この犯人を自称する人物がTwitter上で犯行の理由について語っている(Togetterまとめ)。 犯人は窃取したアクセストークンを使い、「ツイート数カウントくん」との連携設定を行っていたユーザーのアカウントを操作し、特定のユーザーをブロックしたり、フォローさせるといった操作を行っていた模様。ブロックされたユーザーが「一晩で大量にブロックされた」ことをTwitterで報告したことから流出が明るみになったようだ。いっぽう犯人はTwitter上で『単純に「私はこんな人をブロックしているよ!」みたいな感じで画像をあげていたのが気に喰わない』としてブロック行為を行ったと発言している。
Twitter、暗号解読されても過去のデータが読めないようにするデータ保護技術を採用 | スラド セキュリティ
通常、SSLでは最初だけ公開鍵/秘密鍵ペアを使って相手の確認と共有鍵の交換をして、その後は共有鍵暗号を使って通信します。 共有鍵の生成・交換方法はいくつかあるのですが、これが公開鍵/秘密鍵ペアから共有鍵を生成するような仕組みですと、後で秘密鍵を解読された場合に共有鍵もわかってしまいます。つまり、攻撃者に暗号通信を保存されて、あとで秘密鍵を解読されると全ての暗号通信が解読されてしまいます。 一方、毎回乱数などから生成して、しかも公開鍵/秘密鍵を使わずに交換するようにすると秘密鍵が解読されても過去の暗号通信の内容は解読できませんし、暗号通信の一部が解読されても他の部分は解読できません。このような性質をパーフェクトフォワードセキュリティと呼びます。 そのような交換方法としてはDiffie–Hellman鍵交換法があり、今回Twitterで採用されたのもその一種で、ほとんどのブラウザのSSL実装に
TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト - uinyan. com Twitter で TweetDeck Tweetbot for iOS HootSuite iOSのデフォルトアプリ ShootingStar/Pro 等のコンシューマキーが流出して、それを利用したウィルスが猛威を振るってたようです ためしに、 Tweet Deck でコンシューマキーとコンシューマシークレットキーが抜き出せるか試してみました まず、アプリケーションを起動し
【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):
「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説
あの、ちょっと厄介なことがありまして。 いつもどおりのフィッシングサイトだと思ってたんですよ。 ...と思ってたら違ったのでまとめました。 スクリーンショットなどありますが、その中のURLには絶対にアクセスしないでください。 まず被害に遭わないために必要なことと被害に遭ったら必要なこと。 いろいろなページを見てみたところ、すこし違う点があったのでまとめさせていただきました。 k5342 @k5342 スパムDMの対策 ・興味本位にURLを開かないこと ・パスワード変えるとか結果無意味、アプリ連携を解除すること ・それスパムじゃない?って聞いてあげるのも効果アリ(そのときに解説サイトのURLを貼らないように)
gist:5053810
gistfile1.md DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う これの話です。 http://togetter.com/li/463503 (追記 : この考察ではiframeでTwitterの認可URL指定してもX-Frame-Options設定されてるやんけ問題が未解決と思ったらなにやら更新されてたのでもう様子見) 前提条件 あくまでこれ前提で考えてます。間違ってたらごめんなさいね。 モバイルアプリの通信盗聴や某市長の手違いみたいな感じでConsumer Key/Secretを入手したやつがいる DMのリンク先で行われているらしいこと iframeがいっぱい開かれた 有名なTwitter Clientの認可画面だ : (本家の認可URLもしくはCunsumer Key/Secretを知っててRequest Token取得できた?) 画面を開くだけで自動
Gmailの成りすまし事件、傾向と対策
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ
Gmailの振り込め詐欺にご注意 : 池田信夫 blog
2012年10月03日18:47 カテゴリその他 Gmailの振り込め詐欺にご注意 けさ8:50ごろ、私のメールアドレスikedanob@gmail.comから、多数のみなさんに偽メールが届いたようです。それに返信すると、次のようなメールが届きます。このhotmailアカウントは私のものではないが、最初のGmailアカウントは私のものです。From: IKEDA Nobuo <ikedanob@hotmail.com> To: **** Subject: RE: Hello [...] I misplaced my wallet on my way back to the hotel and right now all my credit cards and money are gone. Am sending you this message to inform you that am
「2ちゃんねる」が一時壊滅状態に、キャップ漏れ騒ぎでスレッドが大乱立・大削除
巨大掲示板「2ちゃんねる」で大量のスレッドが勝手に立てられたり、削除されたりという騒ぎが発生しました。 2ちゃんねるではスレッドや投稿の削除は一部の選ばれた削除人だけが削除できる権利を持っており、また「ニュース速報+」などでは誰もが勝手にスレッドを立てることができないように制限されているのですが、その削除スクリプトや、スレッド立ての権限を持った「キャップ」のIDとパスワードが流出したことで、近年まれに見る大混乱に陥ったようです。 何が起きているのか、詳細は以下から。 2ちゃんねる掲示板へようこそ http://www.2ch.net/ 今や「2ちゃんねる」を知らないという人はそれほど多くないと思いますが、「2ちゃんねる」は多くの掲示板が集まって形成されている巨大掲示板群で、テーマごとに分けられた「板」と呼ばれるスレッド(掲示板)の集まりで形成されています。 多くの板では、ユーザーが自由にス
日本レコード協会のキャンペーンサイトでTwitterのIDとパスワードの入力を求められる件 - P2Pとかその辺のお話@はてな
日本レコード協会(RIAJ)が「Love Music 〜未来につなぐ音楽愛〜(http://www.riaj.or.jp/lovemusic_cpn/)」とかいうツイッターと連動した著作権啓発キャンペーンを開始した。 まぁいつもの"Love (our) Music (business)"だからどうでもいいやと思っていたら、「Twitterと連動」の部分がなかなかすごいことになってた。ハッシュタグ#lovemusic_cpnを設定して、ユーザのツイートをキャンペーンサイト上に表示するというのはいいとして。 キャンペーンサイト上のFlashコンテンツからツィートしようとすると・・・。 TwitterのIDとパスワードを要求される。さすがにそれはまずいんじゃないのかしら。 [Twitterの共同設立者であるBiz ]Stone氏はユーザーに対し、Twitterのアカウントに破られにくいパスワード
世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?
世界的猛威を奮ったTwitterマウスオーバー・バグはどう広まった?2010.09.22 10:305,218 satomi これは今朝世界中を席巻したTwitterバグにやられたブラウン元英首相夫人のTwitter公式サイト。巨大な英文字「h」が出て、日本のポルノサイトに自動リンクしてます...なんとまあ...。 ツイッター公式Webでリンクをマウスオーバーすると、フォロワーにスパムやポルノがリツイート(RT)されちゃう、この「マウスオーバーバグ」。いやあ、ひどかったひどかった。世界中にみるみる野火のように広まって一時はどうなることかと思いましたよ。 サードパーティーのアプリ使ってる人は大丈夫です(バグったRTもそっちで削除できます)が、twitter.com開いてこんな状態なっててビックリこいた人も多いんじゃ? これはTwitterのサイトにあるクロス・サイト・スクリプティング(XSS
2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について
【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。 はじめに 2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。 JavaScript とマウスオーバーイベント まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。 この枠の中をマウスカーソルで触って! どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。 このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。 今回は、ページ上のある部分にマウスカーソ
Twitterで悪質なスクリプトが流通、cookie盗難の恐れ
Twitterでクロスサイトスクリプティング(XSS)の脆弱性を突いた不正スクリプトが感染を広げているという。ロシアのセキュリティ企業Kaspersky Labが9月7日のブログで伝えた。 同社によると、この手口には悪質なJavaScriptが使われている。ユーザーが偽ツイートにだまされて不正なリンクをクリックすると、cookieが盗まれて外部のサーバに転送されてしまうという。 問題のリンクをクリックしたユーザーの数は相当数に上るとみられる。URL短縮サービスbit.lyの統計を見ると、攻撃に使われたうちの1つのリンクだけでもクリック数が10万を超えていたという。攻撃はブラジルから仕掛けられている可能性が大きいとKasperskyは推測する。偽ツイートはポルトガル語で、「Restartが事故に遭った」というデマを流す内容だった。Restartはブラジルの人気ポップバンドだ。
ツイッターの悪質な「呼びかけ」にご注意を
【再警告】スパムアカウントの中に、アカウントの言語帯に合わせて同じ言語のツィートを抽出し、URL部分だけスパム誘導先の短縮URLに差し替えるパターンが登場しています。自分宛てのツイートとしては本物のように見えますのでご注意を。アカウント名がランダムな文字の羅列なら要注意です。 ツイッターでは基本的に、自分がフォローしていない人物のツィート(つぶやき、発言)は基本タイムライン(リアルタイムで更新される、ツィートの羅列)には表示されない。自分がフォローしているアカウントがリツィートした場合くらいである。しかし基本タイムラインだけを見ていると、「自分がフォローしていないアカウント」から自分に向けて発せられたツィートを読むことが出来ない。 そのようなツィートを読みたい時には、公式サイト上なら右側サイドメニューの「@XXXX(自分のアカウント名)」をクリック。すると自分向けの”全ツィートを”一覧を表
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログ
Twitterアカウント流出は外部サイトから、一般ユーザーに影響なし 
https://jp.techcrunch.com/2011/05/19/20110518twitter-revokes-automatic-3rd-party-dm-access-gives-users-more-details-on-app-permissions/
簡単なために見失いがちなもの | day by day
