スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月20日のtwitterセキュリティクラスタ

もうすぐゴールデンウィークだというのにまたまた寒くなってきましたね。

EvernoteのXSSその後です。解決したような、けど根本的にはしてないような、そんなかんじなのですかね。
ockeghem: 昨日は僕もevernote社に呼ばれたので徳丸本#wasbook を持参しました。僕が昨日報告したXSSも昨夜のうちに直っているようです。まだ修正方法が残念な感じですし、Evernote社のCTOは日本語の徳丸本読めないと思うので、「こう直すといいよ」というのは別に提案します

hasegawayosuke: XSS見つけて刺身にありつくためには、自分の居住地ちかくの会社にターゲットを絞らなくてはいけないということを学んだ。

kinugawamasato: evernote、昨日複数XSS報告して、さっき修正したという連絡がきたけど、いくつかは修正されたが、1つは修正失敗とかじゃなく報告したやつがそのまま動いてるッス

tokuhirom: おれもxss指摘して刺身くいたい

ockeghem: 確かに昨日Evernote社に呼ばれました。よく分かりましたね。XSS見つけるより難しいようなw / Evernote XSS事件のエクスプロイトとその対策過程と顛末 | uuu http://htn.to/AvnLCo

hasegawayosuke: マジレスすると、対策のために脆弱性の発見者を呼びつけるというのは、発見者の心理的・物理的負担が大きいので、企業の対応としては全くもって勧められない。

kinugawamasato: そのままは再現しなくなったので修正失敗というレベルまであがった

bulkneets: Evernote reward 刺身 programが公式発表されるまでXSSを見つけてもストックしておく人もいそう。

bulkneets: はてなのXSS報告して本社に呼び出されたらどうしようガクガクブルブル


Anonymousが東電を攻撃ターゲットにしていたようですが、空気読んで原発が落ち着いてからにしてくださいお願いします。
MasafumiNegishi: 現在はターゲットリストにのっていないようだけど(はずされた?)、もし TEPCOをターゲットにしたら、Anonymousは空気が読めていないと言わざるを得ない。間違いなく日本中の反感を買うと思う。

msaitotypeR: それどこ情報?って、ここでやる? RT @MasafumiNegishi: 現在はターゲットリストにのっていないようだけど(はずされた?)

MasafumiNegishi: @msaitotypeR いや、いまメール見れなくて。すいません。ソースは元々の Target Flyersですよ。順序関係逆なのかと思ってたんですが、よくよく見るとそうじゃなくて、あとからはずしたのかなと。単なる推測にすぎませんが。

msaitotypeR: @MasafumiNegishi あ、そうでしたか。tweet順ではTEPCOのURLさらしている方があとですよね。

MasafumiNegishi: @msaitotypeR 僕も最初そう思ってたんですけど、他と整合性とれてないんですよね。PiratenPadの編集履歴を見ると、最初はターゲットが4つで、途中から4番目がはずされてるんです。で最新版は3つ。

MasafumiNegishi: 履歴を見ると、やはり TEPCOはターゲットから除外されていた。その程度の常識はあるらしい。

msaitotypeR: 常識は期待しちゃいけないんじゃないかな。今回はセーフでも RT @MasafumiNegishi: 履歴を見ると、やはり TEPCOはターゲットから除外されていた。その程度の常識はあるらしい。

MasafumiNegishi: @msaitotypeR まあ、そうなんですけど、この前も PSNへの攻撃やめましたし、誰かが暴走を抑えている感じですね。


iPhoneが履歴を保存しているそうです。怪しげな勉強会や秘密のミーティングに参加したことも知られてしまうのでしょうか。
sen_u: 後で試したい。 RT @kojiando 取り扱い注意だなぁ「iPhoneがユーザーの行動履歴を保存していることが判明」http://t.co/QrHhDxL

piyokango: 暗号化されてない以上、iTunesでバックアップされたファイルが取得できれば相手の行動範囲がある程度分かってしまうってことなんですかね。

piyokango: 当然といえばそうなんですが、ipod Touchでも収集したWifiの位置情報(Macアドレス、時間、緯度経度等)が保存されていそうですね。

piyokango: 私のバックアップだと、17万行ぐらい収集したWifiの位置情報がありそうなので、記事の通り過去の情報も集めていそうですね。http://twitpic.com/4ndxnf

piyokango: 当然といえばそうなんですが、ipod Touchでも収集したWifiの位置情報(Macアドレス、時間、緯度経度等)が保存されていそうですね。

kojiando: 母艦をクラックされるといろいろ見られちゃうという訳ですねぇ。これからはそういう暴露系ウイルスも出そう RT @ichiroh: 複数台所有していると最後にシンクした物の情報が見えるようです。 QT @kojiando: iPhoneのログの件


その他に気になったことはこのあたり。
hasegawayosuke: IEのフィードバック出してたやつの回答が返ってきたけど、「フィードバックの提出から間もなくIE9がリリースされたので、そのフィードバック内容がIE9リリース版にも該当するか調べて、再度コメント頂戴。そしたらこっちも調べるよ」という対応はひどいんでないかと思った。


yasulib: wiresharkの更新 :-) 「Wireshark <= 1.4.4 packet-dect.c Stack Buffer Overflow - exploit-db」 http://www.exploit-db.com/exploits/17186/


ripjyr: なかにしさんと平仮名(攻撃属性)で書いてあったのだが、「なにがしさん」と空目してAnonymousのなかの人が来たかと思ってgkbrしたけど空目で良かったd(^_^o) #matcha445


WebSecurityNews: Hackers attack petition to free Chinese artist http://ow.ly/1chpdt

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。