パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

過去のタレコミ一覧:
保留 0件、 却下 2件、 掲載 0件、合計:2件、 0.00%の掲載率
6217049 submission
日記

クリックジャッキングによるリアルタイム個人情報漏洩

タレコミ by ko-zu
ko-zu 曰く、

CSRF/クリックジャッキング対策がきちんとなされていないログインフォームを用いると、特定のSNSのユーザに対して意図しないログインをさせることが出来る。http://causeless.seesaa.net/article/288884453.html
これはブラウザのパスワード保存機能を悪用するもので、ユーザのリアルタイム情報を公開するSNSが狙われる可能性がある。

この攻撃対策の問題点は、ユーザー側ではパスワードをブラウザに保存しないか、IFRAMEなどを全てのページで拒否するようにするしか無いことだ。一方、SNS側ではログインユーザは多いほうがいいので、見つからない限り対策する意義があまりない。

また、CSRFはログイン後についてのみ対策すればいいや、という間違った思い込みは多いのではないかと思う。(母数1、自分)
今のところとあるSNSで一つだけこの攻撃が通ることを確認した。通報済みなので後ほど公開できると思う。

244780 submission
スラッシュドット

/.J改竄される? 3

タレコミ by ko-zu
ko-zu 曰く、

スラッシュドットジャパンの左サイドバー、OSDNサイト群のリンクのうち、ThinkGeek.comが改竄されている。
#不審なjsもなくリンク切れのようなので緊急性はないかと

ウェブ魚拓をみるかぎり、7月中には既に改竄されていたようだ。
改竄の経路が気になる。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...