スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月27日のtwitterセキュリティクラスタ

行く会社がないと仕事と休みの境界線が非常にあいまいで、すっかり忘れていたのですが明日から世間はゴールデンウィークだそうです。ということでニュースソースの活動が緩慢になりそうなので明日からしばらく不定期更新になります。

プレイステーションネットワークですが、7700万人とか、カード番号とパスワードが抜かれたとかAnonymousがやったとかいろんな情報と噂が飛び交っていますが、真相はどうなんでしょうね。
kitagawa_takuji: Anonymousの活動はIRCや掲示板などですべて誰でも見ることが出来る。今回 Anonymousは関与を否定するコメントを出している。仮にAnonymousの活動に加わったことのあるメンバーが個人的に犯行を行ったとしてもそれはAnonymousの犯行と言えるのか?


そして、なぜ、ウィキリークス?
kitagawa_takuji: 禿同、なぜウィキリークス?RT @gohsuket: 日本のセキュ屋は技術ばかり追いかけて国際情勢に疎い。そこに国際情勢に疎いメディアが取材して更に歪む。 RT @nofrills "「S&Jコンサルティング」社長は、ハッカー集団は内部告発サイト「ウィキリークス」と関連があると


カード番号も抜かれたんですよね…
ockeghem: 『クレジットカードの引き落とし履歴等を定期的に確認されることを推奨いたします』<カード番号を定期的に変更するように言い出す人が出ないか心配です / PlayStationRNetwork/Qriocity?をご利用の皆様へのお詫びとお願… http://htn.to/mFMhtU


PS3とPPで1億台超だから7700万人登録されててもおかしくないわけですね。こわいなあ。
kitagawa_takuji: PS3の世界累積販売台数が5000万台程度らしいが、7700万人の情報漏洩というのはPS3持っていない人でもオンライン登録できるということだろうか?PS3持っているけどオンライン登録していない人もいるのでは?ゲーム事情はさっぱりわからん

kitagawa_takuji: PS3の世界累積販売台数が4980万台、PSPが6780万台か?http://www.vgchartz.com/ 1台で複数人(家族)がオンライン登録するということもあるのかな?


そして秘密の質問ダダ漏れした模様ですが、そもそも秘密の質問っているの?という意見。
piyokango: 秘密の質問の答えはパスワード以上に同じものを使いまわしているもの(というか質問が大体同じなので実質使いまわさざるを得ないのですが)なので、これが分かってしまうと非常に危険ですね。

piyokango: 秘密の質問ってそもそも必要なんですかね。辞書攻撃にも弱そうですし。

piyokango: ちなみに徳丸本にはP353-354に秘密の質問について記述があります。どこもこのような実装がされていればよいのですが。。

ockeghem: 最近、「秘密の質問」ってあまり実装しないような気がしますね。とくに海外のサイトは。 RT @piyokango: 秘密の質問ってそもそも必要なんですかね。辞書攻撃にも弱そうですし。

ockeghem: 秘密の質問「初恋の人の名前」に対する答えは「キャサリン」とセキュリティの教科書に書いてあります(違 #wasbook



書かれているのは半年ほど前のことなのですが、Osfooraというtwitterクライアントがタグをそのまま解釈するというお話。もちろんJavaScriptの実行も可能でアラートがポップアップしました(たまたま手元にあったので確認しました)。
hasegawayosuke: XSSで「端末(iPhone)に不具合をもたらす」「ユーザの情報を不正に入手する」ってできるの? えー! なにそれ!?  知りたい知りたーい♪ http://control-ak.org/2010/11/xss-vulnerability-in-osfoora/ ><

a4lg: script の src 属性が指定できるなら…。 RT @expl01t: これ初歩的すぎてXSS脆弱性とか言えるのかな? http://control-ak.org/2010/11/xss-vulnerability-in-osfoora/ 140文字で何ができるのかわからん

a4lg: script の src 属性が指定できるなら…。 RT @expl01t: これ初歩的すぎてXSS脆弱性とか言えるのかな? http://control-ak.org/2010/11/xss-vulnerability-in-osfoora/ 140文字で何ができるのかわからん

yoggy: そろそろ「僕のTLにJavaScript書かないでください」と言い出す人が出現してもいい頃

bulkneets: ファイルはsandboxで読めない、同じ画面に重要な情報無い、カスタムURLスキームで叩ける機能に何か特別取り返しの付かないのがあれば危険、ぐらいだろうな

bulkneets: ファイル構成調べてjsから読めるかどうかとか調べてみたいけど買わないと無理だなー。

bulkneets: Twitterの公式iPhone appにも過去に同じ問題があって修正されたけど http://bit.ly/fWemY1 それは確かabout:なんちゃらで動いてたと思う。

bulkneets: iPhoneアプリ開発詳しい人、UIWebViewで file:///var/mobile/Applications/***/***.app/ を開いてる時にJSから ../Documents/ とか ../Library/ とかの中身読めますか?


そして、Osfooraは有料アプリなので、iPhoneアプリのJavaScriptから何ができるかを同じような脆弱性のあるらしいBoxcarで調査されています。
bulkneets: Boxcar.appで試すかなあ。。

bulkneets: ローカルのHTMLファイルからどこまで読み取れるか選手権 on iPhone app

bulkneets: 読めましたね…

bulkneets: 他のアプリのとか読めるのかとか一応試した方がいいのかな、これ。

bulkneets: まとめるとiPhone appでfile:// 開いてて、そこに任意のscript混入できると、そのアプリの設定(plistとか)とかキャッシュとか読み取り可能、危険度は何保存してるアプリかによる

bulkneets: アプリの入ってるディレクトリのUUIDみたいなのってアプリ固有?ユーザー固有?

bulkneets: 上位階層たどれないのか、インストールディレクトリのパスが分からないということに依存したsandboxなのか知りたいということです

bulkneets: 別アプリの設定ファイルを読もうとしたらXHRがエラー出した

bulkneets: Boxcar.appの提供でお送りしました

bulkneets: JavaScriptでシンボリックリンク張るのは無理だと思うのでまあいいです

bulkneets: 僕はOsfoora購入してないので、そのアプリの設定とか読めて何ができるかについては知らない、plistどこにおいてあるかはiPhone Explorerというソフトで調べました

bulkneets: Boxcar結局WebアプリもMacアプリもiPhoneアプリもダメでしたね

bulkneets: Boxcar 凄いと思う。作ってるプロダクト全部に脆弱性がある。


そして、突然画像XSSについて、ブラウザーがわかんないMIMEタイプを無理にhtmlに判定して、画像なのにhtmlってやつでしたっけ。
ockeghem: 久しぶりに「Webアプリケーションテスト手法」と言う本を引っ張り出して見てみたけど、この本のセキュリティの説明は、かなりマニアックですな。画像XSSとか載っているし http://amzn.to/gNukJJ

hasegawayosuke: 「画像XSS」という言い方はあんまり好きでなくて、確かにPNGのように標準的なフォーマットがHTMLに昇格するのは大問題なんだけど、それが改善された今でもIEにとって未知のMIMEタイプはHTMLに昇格し得るので本質的には終了していない問題。

hasegawayosuke: もっとも、当時のPNGやBMP(は今でもかな)については、IEにとっては未知のMIMEタイプではないにも関わらずsniffの結果、HTMLに昇格していたので、現存する「未知のMIMEタイプがHTMLと判定される」という問題とは別といえば別だけど。

hasegawayosuke: で、IE9もリリースされた今の世の中では、画像としてBMPファイルを吐き出す場合のベストプラクティスとしては、X-Content-Type-Option: nosniff をつけろ、ということだと思う。ただそれだとIE7以下が救済されないので、しかたなくPNGに変換しろ、という。



その他気になったことはこのあたり。
jpcert: こんにちは。WeeklyReport 2011-04-27 を公開しました。次週は休刊予定です。 ^KS https://www.jpcert.or.jp/wr/2011/wr111601.html


s_hskz: 昔よく、こんなのつっこんでいた。 "><plaintext onmouseover=alert(1)>


s_hskz: 詰めXSS風味のパズルを作った。 http://jsbin.com/ajido6/ 楽しんでちょ。


cchanabo: はなけんブログ更新しました。『IPAからIT人材系の報告書が公表されていました&セキュ女子もついでに。』|http://hanaken.seesaa.net/article/198100502.html


22century: サービスオープン化すると言った矢先に、アメーバなうのAPIの仕様をXMLの中にCDATAでHTML突っ込むとか意味不明なものにして、自分たちはTwitterクライアント作ってるとかサイバーエージェントまじ鬼畜ですね… http://bit.ly/fCfdG0
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
09-2017
SUN MON TUE WED THU FRI SAT
- - - - - 1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30

08   10

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。