4月19日のtwitterセキュリティクラスタ

今日は無職なのに申し訳ないですが朝から仕事でお出かけしているため予約投稿にチャレンジしてみました。

前日に引き続き、EvernoteのXSSについて。早速修正されたといいながら、昨日言及されていたもの以外にも、いろいろ見つかっているようで。どうやら本質的なところを間違えてるっぽいです。

mapi: 突撃お宅のXSS、今回はEvernote社に訪れています。

EvernoteJP: セキュリティアップデート - 本日早朝にサーバーソフトウエアに修正を行ったことをお知らせ致します http://bit.ly/fQDCbm

bulkneets: EvernoteのXSSが「修正されていないのを」確認した

bulkneets: やや難しいのでパズルに最適や

bulkneets: 信用できないつってんだから「修正しました」ってアナウンスも信用できないんだよ、クソ情弱どもが

piyokango: EvernoteでCTF開催中と聞いて。

bulkneets: IEが危険なのではなくて、IEにはXSSフィルタという危険なコードが実行されそうになったらブロックする機能があって、上手く機能すればXSSを踏んでも防げる(安全)のだが、Evernoteの連中がそれを「無効にしろ」といってる。

hasegawayosuke: IEのXSSフィルタ、HTML内のここからここまでは入力に依存してない固定出力だから判定基準に使うな的な指定ができればいいなと一瞬おもったけど、XSSでそれを注入されたら無意味だからだめか。

bulkneets: 特に酷いのはこれね、2011年の回答とは思えん "it will break many of the utilities that people want to use." http://bit.ly/efA5rp

ockeghem: 刺さった… @bulkneets と同じものを見ているかどうかは不明

bulkneets: Evernote XSS複数残ってた + 分かりやすかった

bulkneets: 報告されたパターンが動かなくなったことで満足していて本質的に安全にする方法がどういったものか分かってないように思われる

ockeghem: まっちゃ445までに「分かりやすかった」XSS直らないかな。そしたら、まっちゃで解説できるのになー #matcha445 そして、正しい対策の必要性が説得力に富むものになる（早く直すのはまず利用者のためであることは当然ですが）

bulkneets: Evernoteの脆弱性を複数把握してるけど、これらの不適切なFAQが修正されない限り http://bit.ly/fFhQuh http://bit.ly/eJTjZr http://bit.ly/efA5rp 報告する予定ないですよ

とかいいながら解決したのでしょうか。

bulkneets: セキュリティコンサルdone. 美味しいお酒とお刺身お魚とEvernote永年プレミアム会員権を手に入れた

bulkneets: Evernote直ったのかって言われても、ソース読んでないのに安心です安全ですと言うことは技術者倫理に反するので言えません。CEOが話が分かるやつで修正が不完全な箇所があると伝えたら時差がある本国のCTOを叩き起して即座に修正されました、刺身うまかった。

短パンとXSSで有名なはせがわようすけ氏が技術顧問に就任したそうです。本名がひらがなじゃないんですね。

ripjyr: I'm reading now: ニュースリリース：NetAgent Co., Ltd. http://www.netagent.co.jp/news20110419.html 「株式会社セキュアスカイ・テクノロジー技術顧問に弊社はせがわようすけが就任」

tokuhirom: リリースなのに名前がひらがな……

ripjyr: 会社としてのプレスリリースなのに、ひらがな名ってのはどうかと思うｗ

ymzkei5: はせがわさんの場合、逆に、漢字にされると違和感を覚えるレベルｗｗｗ　QT @ripjyr: 会社としてのプレスリリースなのに、ひらがな名ってのはどうかと思うｗ

こういうところで取り上げられて、また脆弱なスクリプトが増えていくのかもしれません。

taguchi: PHPってこうやってBashスクリプトが書けるのですね・・・ - http://bit.ly/faBtP7 via @taguchi

その他に気になったことはこのあたり。

shingoym: 民間で「単一サイバー認証」導入を、米政府が新戦略　国際ニュース : AFPBB News http://www.afpbb.com/article/environment-science-it/it/2796095/7103232 誤認があるが #nstic の日本語記事

risa_ozaki: The Password is Dead. Time for Better Online Security. http://bit.ly/h7i0Xu

security_info: 脆弱性対策情報データベースJVN iPediaの登録状況[2011年第1四半期（1月～3月）]を公開しました。: http://bit.ly/fgL2Hs

yasulib: ソーシャルエンジニアリングをユーザー教育によって防ぐことはできない？ - セキュリティは楽しいかね？ (id:ukky3 / @MasafumiNegishi) http://t.co/Sgho9Mh

kinugawamasato: www.google.com/intl/en/corporate/halloffame.html 4-6月にも載ったよ！見つかりにくくなってきてるけどまだ見つけてます。

tiliaceus: Kotaku｜ ハッカー集団・アノニマスによるソニーへの攻撃計画、人が集まらず失敗 http://bit.ly/eh6oAD #ktkjp

datahouseinfo: オランダの信号機がハッキングされたようです(g_inujini氏より) http://labaq.com/archives/51653683.html この手口は通称「ハレンチハックアタック」のようです(;`Д´)