This domain may be for sale!
![Walti サーバーサイドのセキュリティ スキャンを身近に](https://cdn-ak-scissors.b.st-hatena.com/image/square/c03a37dace2b22a3fcc83f978f2ff20f2822f242/height=288;version=1;width=512/https%3A%2F%2Fwalti.io%2Fimg%2Fscan.png)
Hey there! This site is obviously not affiliated with Apple, but rather a demonstration of a flaw in the way browsers handle Unicode domains. This is proof-of-concept works in Chrome 58 and earlier along with all versions of Firefox. Check out the complete blog post by Xudong Zheng for more details on the vulnerability.
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く