CSSXSSを改良した?手法でmixiのpost_keyを抜き取るデモを作りました - ?D of K:
IDを抜き取る方法が思いつかなかったので、「はまちちゃん」の書き込みの二年来の再来とはいきませんが、セキュリティーホールだと思うので、早めに書いておきます。(修正済みです) 実証コード http://k75.s321.xrea.com/cssxss/mixi.html パッチ済みのIE6でmixiにログインしていた場合、post_keyの取得を確認できると思います。勘違いだったらすみません。その際、僕のmixiのあしあとに残るのでその点のみ注意してください。 手法 CSSの読み込み いわゆるCSSXSSと同じようにlinkを使って、ファイルを読み込みます。旧来の手法では中括弧があることでCSSと誤認識させ、cssTextで取得しましたが、今回は文中に「}selector{property:」という文字列を埋め込んで、selectorに該当する要素のcurrentStyle.property
mixi、画像が外部のWebサイトで表示される仕様を修正
ミクシィは、SNS「mixi」の画像表示について仕様変更を11月8日に実施した。 これまで、mixi内の画像は日記などで公開設定を限定している場合でも、外部のWebサイトから画像のURLに直接リンクすることで閲覧可能であった。このため、mixiはヘルプにて「他人と共有する可能性のある画像を、100%外部から保護することはできないというのがインターネットの現状」として、アップロードする画像の内容について注意を促していた。 今回の仕様変更では、日記やコミュニティのトピック、フォトアルバムにアップロードされた画像が、該当ページのみで表示されるよう変更された。これにより、外部サイトから画像のURLへ遷移しても仕様変更後は表示されない、または一定時間後に表示されなくなる。また、画像ファイルへのURLもあわせて変更した。
ミクシィが画像のセキュリティをかけられない理由
欠陥だー、って祭状態なんだけど、、、、 http://slashdot.jp/security/article.pl?sid=06/10/17/1958219 画像のサーバは AS、つまりネットワーク上の場所が違うんだよね。 具体的には img.mixi.jp だけ CDN(Akamai)を使っている。 Akamai の仕組みは以下。 http://www.akamai.co.jp/jp/html/technology/overview.html それぞれのユーザに近いところにコンテンツ用のサーバを置いて、 ユーザからのアクセスをそのネットワーク内だけで閉じさせて、 大元のサーバやネットワークへの負荷を下げる、という仕組み。 たとえば NTT-PC のネットワークから img.mixi.jp に繋ぎに行くと、 NTT-PC 上のネットワーク上に置いてある Akamai のサーバに繋がる。
mixCipher - mixi Diary Cryptographer - Lab MagicVox.net
mixCipher は mixi の日記本文やコメントを暗号化することで,心無いユーザによる情報漏えいを防ぐためのソリューション(?)です。 "みっくすさいふぁー"と読みます。投稿者が設定したパスワードを正しく入力しない限り元の文章を読むことはできません。しかし貴方が信頼してパスワードを教えた人が,実は情報漏えいの黒幕であった場合にはどうしようもありません。マイミクは大切にしましょう。 どうやって読むの? mixi 日記を読んでいて -----BEGIN BLOWFISH DATA BLOCK----- DWVKdwrD2vbTQiDeeHN5ZoKGi9YOUZdiMClHGHXj Wub+YxpRqvobqw== -----END BLOWFISH DATA BLOCK----- のような日記本文やコメントを見かけたら,すかさず次の Bookmarklet(ブックマークレット) を実行
ぼくはまちちゃん!
はてなダイアリー (メインブログです!) → ぼくはまちちゃん! (Hatena) はまちや2のツイッターです! 気軽にフォローしてみてくださいね! → Twitter / はまちや2 はてなブックマーク → Hamachiya2のブックマーク タンブラーです! かわいい絵をあつめたりしています! → [tumblr] hmcy ゲームの動画をあげて、ぼくもモテモテユーチューバーになるつもりです! → はまちや2(Hamachiya2)のYouTube (以下は過去の記事など) きみのライフを可視化するよ! → [JavaScript] ライフカウンター 空から女の子が…! → 空から女の子が降ってくる AIRアプリの簡単な作り方 → [AIR][JavaScript] JavaScriptでかんたんAIRアプリに挑戦 つくってみました! → ドリームメーカー : ブラウザで簡単にノベルゲ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mixiのユーザーのプロフィールを外部へ持ち出し、データベース化するシステムは作成可能*ホームページを作る人のネタ帳
