2008年3月12日(水曜日)
Amazon ほしい物リストまつり
Amazon のウィッシュリスト改め「ほしい物リスト」機能がたいへんな事になっているようですね。「密かな趣味が全公開--Amazonのウィッシュリスト、改め「ほしい物リスト」に注意? (www.st.ryukoku.ac.jp)」。
問題は以下の3点?
- 「ほしい物」を「買う予定リスト」として使用しているユーザが、買う予定の物を意図せずに公開してしまっている場合がある。
- 「ほしい物リスト」には「お届け先住所」が表示されるが、これが通常「本名 - 届け先エリア」という形式になっている。要するに、本名や居住地がばれる。
- 「このリストをメールでともだちに知らせる」機能に CSRF の問題があり、Amazon にログインしている利用者が罠ページを踏むと、攻撃者宛にリストが送信されてしまう。
前2者については、「ほしい物リスト」がデフォルトで「公開」なのが問題ですね。
最後の件は明白に脆弱性と言って良いかと。現在、その機能は利用できなくなっているようです。
※ずっと前からウィッシュリストに SQL Server (www.amazon.co.jp)
- 「Amazon ほしい物リストまつり」へのコメント (2件)
Yicha? 220.194.55.45 をアクセス拒否
ずいぶん前から気になってはいたのですが、220.194.55.45 からのアクセスがあまりに酷く、改善の気配がありません。何がどれだけ酷いのか興味ある方は、昨日の 220.194.55.45 からのアクセスログをどうぞ。1.7MB ほどありますが……220.194.55.45.txt。
220.194.55.45 は中国の IP アドレスですが、なんか攻撃されているというより、救いようがないほどアホなクローラーが無限ループにはまっているような雰囲気です。IP アドレスで Google 検索してみると、どうも Yicha という検索サービスのクローラーらしいですが……。
ケータイ検索Yicha.jp
独自に開発した高精度なクローリング技術とアルゴリズムを使い、常に新鮮で豊富な検索結果を提供する、「ケータイ検索Yicha.jp」。
以上、株式会社YICHA より
……。
「実験中なのでごめんなさい」とかいう話ではなくて、これが「高精度なクローリング技術」だという認識なのですか。
これはもうどうしようもないので、220.194.55.45 からのアクセスを拒否するように設定させていただきました。
- 前(古い): 2008年3月8日(Saturday)のえび日記
- 次(新しい): 2008年3月13日(Thursday)のえび日記
