2010年9月22日(水曜日)
ポケモンセンターの新しいお誕生日サービス
公開: 2010年10月1日15時35分頃
誕生日にポケモンセンターに行くと専用のヒトカゲがもらえるというサービスがあり、私ももらったことがあるわけですが、ブラック (www.amazon.co.jp)
キタ! すばらしいタイミング! と思ったら、
11月4日(木)から、ポケモンセンターで新しいお誕生日サービスが始まるよ!
えっ、11月4日から? 今日やってくださいよ……。orz
- 「ポケモンセンターの新しいお誕生日サービス」にコメントを書く
情報セキュリティ白書2010
公開: 2010年10月1日11時30分頃
今年の情報セキュリティ白書、無事に届きました。ありがとうございます。
- 情報セキュリティ白書2010 (www.amazon.co.jp)
174ページに名前を出していただいております。
今年は例年よりも厚さが一割ほど増しています。末尾の付録部分がまるまる増えた感じでしょうか。
※出版社が異なるため装丁が毎年異なるのですが、今年は背表紙の「セキュリティ」の文字が妙に細い明朝体で、昨年・一昨年のものと並べるとかなり違和感がありますね……。
関連する話題: セキュリティ / 本 / IPA / 情報セキュリティ白書
Twitter XSS騒動
公開: 2010年9月28日16時35分頃
TwitterでXSSによる攻撃が行われていたようで……「Twitterブログ: 「マウスオーバーの」問題についての全容 (blog.twitter.jp)」。
日本時間の昨晩、ユーザーがこのセキュリティホールに気づき、Twitter.comにてそれを悪用しました。まず、誰かがアカウントを作成し、この問題を悪用しました。具体的には、そのツイートのリンクにユーザーがマウスオーバーすると、ツイートが異なる色に変化し、テキストを表示したポップアップ画面が表示される仕組みでした。このため、「マウスオーバーの」問題と呼ばれています。このセキュリティ上の弱点を付いた悪用は、ユーザーがリンクにマウスオーバーした時に発生しました。
これは、この辺りの話ですね。
もう1ヵ月経つので言うけど、このXSS-after-@ issues、僕が8月14日に報告したものなんだけどなんでold Twitterで修正されてないのにTwitterの中の人自ら丸見えにさせてるの? http://bit.ly/aDhTs4
そんな訳でRainbow Twitterをリリースしました。各自RTしてタイムラインをカラフルにしましょう!!!(新Twitterには対応していません) http://twitter.com/rainbowtwtr
Twiiterブログでは「昨晩、ユーザーがこのセキュリティホールに気づき」と言われていますが、ずっと前に気づいていて報告していたのにスルーされていて、しかもTwitter側によって事実上公開されていたというお話のようで。このRainbow Twitterはそれ自体は特に害のないPoCに過ぎませんが、これを見て実際に攻撃コードを作成した人がいて、ワームのように被害が広がったと。
まあ、良くも悪くも、XSSで実際に被害が出た例として語り継がれることになるでしょう。
関連する話題: Twitter / セキュリティ / クロスサイトスクリプティング脆弱性
- 前(古い): 2010年9月21日(Tuesday)のえび日記
- 次(新しい): 2010年9月24日(Friday)のえび日記
