水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2007年のえび日記 > 2007年1月 > 2007年1月4日(木曜日)

2007年1月4日(木曜日)

Gmailのコンタクトリストが抜かれる脆弱性

Google: Gmailに脆弱性 (slashdot.jp)」だそうで。

どうも、コンタクトリストのデータが JSON 形式で出力される仕組みのようですね。ちょっと前にも書きましたが、外部 JS ファイルのデータはクロスドメインでも普通にアクセスできますので、ユーザのログイン状態によって変化するようなデータを JavaScript の形で出力するのは危険です。

今のところ Ajax のセキュリティについてはあまり知見がないと思いますが、罠はいろいろなところにありそうですね……。

関連する話題: Web / セキュリティ

ココログのドメイン

niftyに偽装した悪意のあるサイトが登場 (slashdot.jp)」だそうで。この場合、本物の homepage3.nifty.com もユーザーのエリアですから、そこに悪意あるスクリプトが置かれていることもあり得ます。偽装としてはあんまり意味がないような気がしますけれども。

個人的にはココログのドメインの方が興味深いと思っていたりしますが……。ココログには以下のようなドメインが存在しています。

これらは全て本物のニフティのサービスなのですが、だいぶ前から oyaji-nifty.com なんてのがありまして、掲示板spamなどにちょこちょこ顔を出しています。spam でばらまかれる URL ですから内容もそれなりですが、デザインがココログによく似ていたり、http://oyaji-nifty.com にアクセスすると本物のココログにリダイレクトしたりして、かなりココログっぽい雰囲気を醸し出しつつ運営されているようです。

関連する話題: Web / セキュリティ / ニフティ

最近の日記

関わった本など

ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング