Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
Masato Kinugawa Security Blog: DiscordデスクトップアプリのRCE
数か月前、ゲームのコミュニティなどで人気のチャットアプリ「Discord」のデスクトップ用アプリケーションに任意のコードを実行可能な問題を発見し、Bug Bounty Programを通じて報告しました。発見したRCEは、複数のバグを組み合わせることによって達成される面白いものだったので、この記事では、その詳細を共有したいと思います。なお、現在脆弱性は修正されています。 調査のきっかけElectronアプリの脆弱性を探したい気分だったので、Electronアプリで報奨金が出るアプリを探していたところ、Discordが候補にあがりました。Discordは自分自身が利用者で、自分が使うアプリが安全かどうかをチェックしたいという思いもあったので、調査をすることにしました。 発見した脆弱性私は主に次の3つのバグを組み合わせることでRCEを達成しました。 contextIsolationオプションの
[PDF] TLSとWebブラウザの表示のいまとこれから ~URLバーの表示はどうなるのか~ 2019/5/31 NTTセキュアプラットフォーム研究所 奥田 哲矢
TLSとWebブラウザの表示のいまとこれから ~URLバーの表示はどうなるのか~ 2019/5/31 NTTセキュアプラットフォーム研究所 奥田 哲矢 ユーザ 認証局 Web サービス ブラウザ 2 SSL/TLSとは? →相手の顔が見えないインターネット上で安全な通信を実現する仕組み ・SSL/TLSの目的は、2者間通信に ”セキュアチャネル” を提供すること ・”セキュアチャネル” は下記機能を提供する。 ・エンドポイント認証:サーバ認証は必須、クライアント認証は任意 (※サーバの運営元の信頼性は必ずしも保証されない → 詳細は本編で) ・データ機密性:通信内容をエンドポイント間で秘匿 ・データ完全性:攻撃者による通信内容の改ざんの検知 はじめに ユーザ Web サービス ブラウザ “セキュアチャネル” Internet 3 T S H R 本編に入る前に 今年のSSL/TLS分野の話
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
