水無月ばけらのえび日記

いやいや、明快、明快、実に解りやすい。

で、結局まだ沢山残ってるんですね？

といっても28日までにまだ2.5日ありますが。う～ん、おまけして７月までにと延ばしてあげましょう。NIFTYさん。

>で、結局まだ沢山残ってるんですね？

　実は私はあんまり調べてないのですが、office さんがそれなりに精力的に調査してくださったようで、3ヶ所ほど発見されています。いずれも未修整で、うち一つは SSL 保護つきのログインフォームです。先日の DOM 使用例はそこできっちり動作しました。

　これについてニフティが把握しているかどうかは分かりません。全フォームについて調査していると思うので、気づくだろうとは思うのですが……。

私のじゃないやつって、僕のかも。

セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。

念のためパスワード変更しておこっと。

>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。

　うおっと。

　とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。

>>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。

>　うおっと。

>　とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。

パスワードってどうやって変更するのだっけ。

>パスワードってどうやって変更するのだっけ。

　TTY なら GO PASSWORD です。

　Web上ではパスワード変更を行いたくない気がする今日この頃。

>>>セッションIDが漏れるテストなどを試みるときに、なんとなく本物を入れてしまった【謎】気がおぼろげに…。

>>　うおっと。

>>　とりあえずログは公開していないし、誰が見られるのかはまあ分かっていると思いますが、念のため変更しておいた方が良いかもですね。

>

>パスワードってどうやって変更するのだっけ。

https://www.nifty.com/webscr/cgi-bin/pwget.cgi

残念ながら【謎】XSSはなさげです。

>>パスワードってどうやって変更するのだっけ。

>

>　TTY なら GO PASSWORD です。

>　Web上ではパスワード変更を行いたくない気がする今日この頃。

そう言われましても【謎】会員種別を@nifty会員に変更してしまったのでどうしようもありません【謎】。

あ、戻せばいいのか【謎】。スパムメーブロックは結局役に立たなかったし。

あわわ、なんかログインパスワードのみ変更ってのがあるんだけど、これでいいのかな。何かもう色々忘れちゃったよ。

>あわわ、なんかログインパスワードのみ変更ってのがあるんだけど、これでいいのかな。何かもう色々忘れちゃったよ。

　ログインパスワードと POP3 のパスワードが別々になっているようですね。いつのまにやら。

>念のためパスワード変更しておこっと。

　よく考えたら、私のもパケット盗聴で漏れてる可能性ありますね。

# 捏造フォームの送信先は https ではなかったし。

　パスワード変えとこ……。

>>あわわ、なんかログインパスワードのみ変更ってのがあるんだけど、これでいいのかな。何かもう色々忘れちゃったよ。

>　ログインパスワードと POP3 のパスワードが別々になっているようですね。いつのまにやら。

ログインパスワードだけ変更してPOP3のパスワードを変えなかったら、あまり意味がないことに気づきました【謎】。

実際にIDとパスワードが漏洩したらどうなるんですか？