スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月18日のtwitterセキュリティクラスタ

今日はディスリ分高めな感じです。

ライフハックとかiPadとかが好きそうな人が使っている印象があるサービスのEvernoteにXSSがあるようです。僕には面倒でインストールしたものの全く使ってないのでよかったですよ。
bulkneets: EvernoteにはXSS脆弱性があるので全員ログアウトした方がいい

bulkneets: 調べたところIEで警告が出るのでXSSフィルタを無効にしろとアナウンスしてる http://bit.ly/fFhQuh アホか、実際にXSSがあるんだよ http://bit.ly/hVGieW

bulkneets: 外部サイトのscriptを実行するexploitをつくって自分で踏んでみたけど、こういうの悪用された形跡がありますとか連絡絶対来ないよね。厳格にやるならPOSTパラメータも全部ログとっておかないと無理。

bulkneets: 胡散臭い連中が推してるサービス、大抵深刻な脆弱性があるわー

bulkneets: ノートの中身全部取ってくるようなのはWeb画面から叩いてるAPI解析したりソース読んで動作再現したりする必要があるので、それなりに手間がかかる。追加の認証とかないし同じドメインにあるから原理的にできる。概要取ってくるのは余裕

bulkneets: メールアドレスの変更にパスワードの再確認がありませんから、メールアドレス変更してパスワード再送してしまえばアカウントを乗っ取ることができますね。

bulkneets: なんでXSSフィルタが反応するかというとブラウザから送られてきたデータをそのままレスポンスに出力してる箇所があるからで、それが誤判定か実際に危険になるケースがあるか調べてりゃXSSがあることは分かる。あいつらはアホだからXSSフィルタ無効にしろと言ってる。

ockeghem: EvernoteのXSS(@bulkneets が公表したもの)と同種のXSSについては、#wasbook だとP111(script要素のXSS)に原理の解説が、P113以降に対策方法が説明されています。今はメタ文字を削除しているようですが、この方法は推奨しません

ockeghem: ちなみに、P113の対策1は、いわゆる過剰エスケープですね。僕は過剰エスケープに限らず「過剰」は嫌いですが、ここだけはしぶしぶ認めざるを得ないというところでした #wasbook

ockeghem: そうだ、EvernoteのXSSも、まっちゃ445で取り上げよう #matcha445 #wasbook

ockeghem: Evernoteの開発者にも僕の本を読んで欲しいが、彼らはたぶん日本語読めないだろうね:) #wasbook

office_acer: @ockeghem そこで英訳プロジェクト…と思ったけど、私にはそこまでの英語力がなく(と書いて言い出しっぺの法則を回避)。



そして、cookieとhiddenタイプとパスワードの保存とダメな書籍について。まずはcookieとhiddenタイプについて。
ockeghem: 『プロになるためのWeb技術入門』のP263「hiddenタグに重要な情報を持たせない」の項はひどいなと思いました。hiddenパラメータが第三者に閲覧可能ということが前提になっているけど、前提がおかしいでしょ。そもそも「hiddenタグ」というタグはないと思いますが

mizukihasegawa: 徳丸本読んだけど、hiddenやcookieをいつなら使っていいかが分からない、、、 RT @ockeghem: 『プロになるためのWeb技術入門』のP263「hiddenタグに重要な情報を持たせない」の項はひどいなと思いました。hiddenパラメータが第三者に閲覧可能ということ

ockeghem: @mizukihasegawa 簡単にここに書くと、hiddenは原則使ってよいが認証・認可情報はだめ、cookieはアプリケーションからは原則使わない、ただし乱数列を用いたトークンは可、ですね。P38とP206を参照ください #wasbook

ockeghem: hiddenとcookieの話題は#matcha445 で取り上げよう #wasbook

ockeghem: そもそもtype="hidden" なinput要素をなんと呼ぶかという議論がありました。というか、僕が勝手に悩んだんだけど #wasbook


そしてパスワードの保存の方。
ockeghem: 『プロになるためのWeb技術入門』P253には、パスワードの保存をソルトなし・ストレッチングなしのSHA-1ハッシュで保存する例が載っていますね。せめてソルトの説明はして欲しいです。この例だと、レインボークラックで簡単に元パスワードが復元できます

sen_u: @ockeghem その本の存在を今知りました。しかも発売は1年前。ひとまず買ってみようっと。

ockeghem: @sen_u この本、世間ではすごく評判がよくて売れているようですが、私の観測範囲では評判が悪いですね。

sen_u: @ockeghem 悪い事例も必要なので参考文献にします。w

ockeghem: @sen_u 酷い例としては 「Oracle Database11gセキュリティガイド」 http://amzn.to/gUObHm の付録B「SQLインジェクションについて」はもっと酷いけど、北野晴人さんにメールしただけでその内容は公開していないです


最近は位置情報でストーキングするのがアツイような気がします。携帯電話ってすごいですね。
lifehackerjapan: 最新記事: Instagramの写真がどこで撮られたか地図上で把握できるサービス『Extragram』 http://bit.ly/icR1ZI #lh_jp


さっきまたまたアップデートしたFlashについて。
jpcert: Adobe Flash Playerのアップデートを!脆弱性を使用した攻撃が確認されています。^YK https://www.jpcert.or.jp/at/2011/at110009.txt

piyokango: Wordだけではなく、Excelも利用されていたんですね。RT @shu_tom: New Blog post:Adobe Flash Playerの脆弱性を悪用するドライブ・バイ・ダウンロード攻撃を確認 http://ibm.co/i7eh5R ...


やっぱり楽する方法を見つけたら使いそうな予感。Androidでもかんたん認証ですね、これからはw
ockeghem: このエントリ通りインストレーションを区別する目的だけならいいんだけど、ANDROID_IDなどを認証に使うという方向にいきそうで怖いですね / インストーレーションを区別するアプリケーション - Android Zaurusの日記 http://htn.to/5xmQ3t

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。