高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
南京錠の鎖 - Radium Software
Kevin Kelly's Lifestream - One Gate, Multiple Locks 門に鍵を付けたいのだけれど,複数の人がその鍵を開けられるようにしたい。 そんなときは,複数の南京錠をチェーン状に繋げよう。 こうすれば,どれかの錠を外すだけで門を開けることができるようになる。 もし,どれかの鍵を無くしてしまっても,その錠だけを取り替えれば,セキュリティは守られる。合鍵だと,錠とすべての合鍵を取り替えなきゃならない。 こういうインプロビゼーションは大好き。一目では何をしたいのか分からないところもいいね。
高木浩光@自宅の日記 - 素人メディアに脆弱性報告文化を破壊されるおそれ
■ 素人メディアに脆弱性報告文化を破壊されるおそれ みなさんは、「ニセ脆弱性」という言葉を耳にしたことがあるでしょうか。 これは、見かけは脆弱性のようだけれども、実は、脆弱性とはとても言えないもののことで、「疑似エクスプロイト」や「似非ゼロデイ」などとも呼ばれます。 「そんなものがどこにあるんだ」とお思いの方も、例として、「サニタイジング」や、「hiddenは危険」や、「非接触スキミング」などの名前を挙げれば、「ああ、そういうもののことか」と納得されるかもしれません。それとも、かえって、「え?」と驚かれるでしょうか。 例えば、皆さんもよくご存知のように、「サニタイジングは脆弱性対策にいい」と盛んに言われ、ひところは大手コーディネーション機関もこぞって解説を出すほどのブームになりました。サニタイジングがよく語られたのは、もちろん、サニタイジングの対策効果に裏づけがあると信じた人が多かったから
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
