Gmailのコンタクトリストが抜かれる脆弱性
2007年1月4日(木曜日)
Gmailのコンタクトリストが抜かれる脆弱性
「Google: Gmailに脆弱性 (slashdot.jp)」だそうで。
どうも、コンタクトリストのデータが JSON 形式で出力される仕組みのようですね。ちょっと前にも書きましたが、外部 JS ファイルのデータはクロスドメインでも普通にアクセスできますので、ユーザのログイン状態によって変化するようなデータを JavaScript の形で出力するのは危険です。
今のところ Ajax のセキュリティについてはあまり知見がないと思いますが、罠はいろいろなところにありそうですね……。
- 「Gmailのコンタクトリストが抜かれる脆弱性」にコメントを書く
