こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
みなさん、こんにちは お元気ですか?僕は元気です。 さて 最近よく、「いいね!」ボタンや「ミクシィチェック」ボタンによって、ウェブページを紹介し合う文化が少しずつ定着してきたなーと思います。 そんな中で、今後重要になってくるんじゃないかと思われる OGP (Open Graph Protocol)と言われる仕様があります。今日はそのことについて書いてみたいと思います。 OGP? おーじーぴー??とはなんでしょうか。 OGP とは 簡単に言うと「このウェブページは何のことを書いているか」という情報を、プログラムから読める形で HTML に付加する記述方法のことです。 まあ、普通のウェブページは人間が読めばだいたい何のことが書いてあるか分かりますよね。 ですが、プログラムは人間ほど頭が良くないので、そのウェブページ内の文章だけではそのページが何のことについて書かれているページなのか正確に識別す
mixiのメールアドレス検索機能を使って援交ビッチの彼氏を救おう カテゴリニュース 関連記事:mixi、遂にメールアドレス検索を実装 ストーカー達の胸が熱くなるな 1: ロングブーツ(長屋):2010/12/01(水) 23:58:44.67ID:1ek+8Kx60 ソース http://mixi.jp/search_friend_mail.pl 5: マーガレットコスモス(東京都):2010/12/02(木) 00:00:02.50ID:AyxGqJe80 どんどんおもしろい遊び方を教えろ 13: 千枚漬け(茨城県):2010/12/02(木) 00:01:15.75ID:jF14t2yN0 具体的に何するの? 57: しもやけ(チベット自治区):2010/12/02(木) 00:04:44.06ID:+c9ctyij0 >>13 ・援交サイト・違法サイトからメアド拾う→mixi
記事データ 投稿者 望月真琴 投稿日時 2006-02-03T00:07+09:00 タグ CSRF mixi まとめ アクセスログ セキュリティ 概要 本人の意図しないところで mixi の足あとを取得されてしまう……という話ですが、 mixi の中のための情報を持ったまま外出しなければ済むだけではという話。 リプライ 2 件のリプライがあります。 mixi の足跡を本人に悟られずに取得するネタ やねうらお-よっちゃんイカを買いに行ったついでに家を買う男 - mixi hacks で、本人の意図しないところで足あとを取得できる手段が紹介されていますが、定期的にこういった話は浮上しますね。 私が知る限りで mixi 関連のものを簡単に羅列してみましょう。 インターネット殺人事件 : 日記 : 2005-02 にて今回のものと同様の発想が提唱されました。既存のアクセスログより多くの情報が取れ
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
www.youtube.com 名前的にはやぎビームなんですけど、いぬビームも捨て難い これは 川見てる Advent Calendar 2020 4日目の記事です。 多摩川は奥多摩の方から流れてきます。 奥の多摩。 下っていくと、どんどん町になっていくのですが、流域はそれなりに野生があります。 川原に辿りつくまでに、結構やぶを越えないといけない場所も。 増水していないときの河川敷はとても広いです。 長らく川崎市民をやっていたので、多摩川にはちょっと思い入れがあります。 川を越えると東京都がある。 これは二子玉川(にこたま)近くの楽天本社ビル。 河口には羽田空港があります。 ではさようなら。 はてなブログのコミュニティではスターをつけるんだな! 私もスターをつけてしまう。前ならコメント付きでブックマークしていたような気もするが、今ブックマークすると何か......迷惑がかかりそうな気がして
http://hamachiya.com/junk/mixilog.html(はまちや2さん) これmixiとしては対処のしようがないよね。足あと機能に穴を開けない限り。*1 やり方 cgiもjavascriptも関係なくて、ページのどこかに <img src="http://mixi.jp/show_friend.pl?id=自分のID" width=1 height=1> と書くだけで、訪問者の足あとがつきます。 はてなダイアリーにも埋め込めるし、IEでもFirefoxでも動作します。 現時点で「訪問者のmixiアカウント」は、「訪問者のIPアドレス」と同じか、それ以上に簡単に収集可能です。 防ぎ方 mixiを見るときだけログイン&見終わったらログアウト。ログイン中は他のサイトを見ない。 mixiには普段と違うブラウザを使う。 「見てることがバレたら困る」ようなサイトを開かない。 *1
自分のホームページに <img src="http://mixi.jp/show_friend.pl?id=XXXXXX" width=0 height=0> と書いたり、CSSに body { background: url(http://mixi.jp/show_friend.pl?id=XXXXXX); } と書いたりするのが流行っている。 こうすると、そのページにアクセスした人のmixiのIDがわかるのである。mixiでは本名を入れていたりすることが多いので、どこの誰のアクセスだかバレてしまう。 このように「ユーザーの意図しないところで勝手にユーザーの情報が送信されてしまって本当にいいのか?」と思うのだが、この問題は案外根が深そうだ。
はてなダイアリー (メインブログです!) → ぼくはまちちゃん! (Hatena) はまちや2のツイッターです! 気軽にフォローしてみてくださいね! → Twitter / はまちや2 はてなブックマーク → Hamachiya2のブックマーク タンブラーです! かわいい絵をあつめたりしています! → [tumblr] hmcy ゲームの動画をあげて、ぼくもモテモテユーチューバーになるつもりです! → はまちや2(Hamachiya2)のYouTube (以下は過去の記事など) きみのライフを可視化するよ! → [JavaScript] ライフカウンター 空から女の子が…! → 空から女の子が降ってくる AIRアプリの簡単な作り方 → [AIR][JavaScript] JavaScriptでかんたんAIRアプリに挑戦 つくってみました! → ドリームメーカー : ブラウザで簡単にノベルゲ
CSRF と HTTP Redirect を組み合わせる http://hxxk.jp/2006/02/07/0258 前の記事 : マシンを新調する前に拡張をメモ 次の記事 : ビール日記 2006/02/07 - ドン ドュ デュウ 記事データ 投稿者 望月真琴 投稿日時 2006-02-07T02:58+09:00 タグ CSRF htaccess HTTP mixi アクセスログ セキュリティ リダイレクト 概要 「 mixi足あとちょうを、さらにバレにくくする」が具体的にはどのような方法なのか、サンプルを交えて解説。 リプライ 4 件のリプライがあります。 mixi 足あとちょうと .htaccess を組み合わせる mixi足あとちょうを、さらにバレにくくする :: ぼくはまちちゃん! あー、言われてみれば確かに、という感じ。 実際に .htaccess でこっそり他ページに飛
はまちや2さんの日記 mixiがクローキングしちゃってる Googleで「mixi」を検索してみました! すると、上からいくつかのところに「mixi(ミクシィ)モバイル」の文字がでてくるよね! うんうん…え、あれれ! 検索結果の要約のところに、しっかりとコンテンツの一部がでちゃってるよ! なんで! 続きはこちら [コメント:11件 トラックバック:2件] 2007/01/07 [23:39] コンパクトデジカメを買うための自分用メモ 最近おみせでよく見かける、手ぶれ補正とか高感度とかの コンパクトデジカメが 3万円を切ってきたんだよ! だから買おうと思うんだけど! 候補は 4機種…! せっかくだから色々しらべて検討したときのメモを置いておきますね! 続きはこちら [コメント:2件 トラックバック:0件] 2006/11/15 [20:28] XSS - 表示系パラメータに存在する盲点 こ
というのが可能だと考え付いて、ちょっと愕然とした。 自分のサイトに、隠しiframeでMIXIの自ページを読み込ませておくの。 そうすると、自分のサイトを訪れたログイン中のMIXI会員は、足跡がついちゃうの。あとは定期的に足跡キャッシュする。誰がウチのサイトを見てるかバレバレ(注:実装してないよ)。 一見、アホネタだけど。これ凄いシリアスな問題だよな。だってさ、エロサイトとかにそういう仕組みがあったら、最悪の場合一瞬で個人情報特定されるぜ?サイトのクッキーと、MIXIのアカウントとかが結びつけられた日には、何がおこるかわかったもんじゃないですよ。 100万超過の巨大コミュニティとなった今、MIXIの持っていた知り合いとの人間関係を担保とした安全性ってのは、もうとっくに崩壊してる。さらにザバサーチのようにネット上に分散する情報をかき集めれば、かなりの精度で個人情報が筒抜けになる危険性も増して
公開終了しました。 めんどくさいので記録などはしてません。 (仕組みの解説) 1. imgタグとかcssの背景画像とかで、ぼくのmixiのプロフィールを指定して踏ませる 2. このページの足あと表示用iframeにcgi(※)を呼ぶ (※cgiの内容) 呼ばれる → 数秒待つ → ぼくのmixiの足あとページを取得 → 整形 → このページのiframeに出力 これだけです>< これ架空請求のサイトとかで使われたらビックリするかもしれないね! spamメールくる→踏む→ipアドレスどころか「mixiのxxxxさんですね。ご利用ありがとうございます」とか表示する…。 うわ!これはイヤですね…。 はやく防止できる仕様になりますように。
はまちや2さんの日記 mixi足あとちょうを、さらにバレにくくする2006/02/05 [15:53] (参考) mixi足あとちょう なんだか最近↑みたいに、自分のサイトのimgタグにmixiを指定して こっそり足あとを取るのが流行ってるらしい、って聞いたんですが!! 「わーぼくのサイトにもimgタグにmixi仕込んでみたいな~」 「けどバレちゃったら感じ悪いし…><」 なんて感じで二の足を踏んでいた人たちはいるかな! じゃあ、こんなふうにしてみればどうだろう…! かなりバレにくくなると思うよ! .htaccessとかに以下のように書いておく Redirect 302 /spacer.gif http://mixi.jp/show_friend.pl?id=609805 そしたら、htmlは↓みたいにするだけ! <img src="spacer.gif" width="1" height
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
