mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
mixiコミュジャックまとめ(4)事件の流れと全体像[絵文録ことのは]2006/12/31
今回のmixiコミュニティ乗っ取り事件について、コメント欄にて「mixiのユーザーじゃないひとはもっと訳がわからないと思うので、もう少し噛み砕いて、どういうことが起こっててなにが問題なのかを解説する記述を追加してくれることを希望」という要望があった。確かにそのとおりだ。 そこでまとめようと思って少々調べてみたところ、今回の「カリスマ」グループを中心とする乗っ取り事件には、例の「三洋電機社員のプライベート写真流出事件」から始まる一連の流れがあったようなのである。 ■当ブログでの関連記事 悪質なmixiコミュジャック事案勃発中(状況まとめ/随時更新) [絵文録ことのは]2006/12/28 mixiコミュジャックまとめ(2)乗っ取られたコミュ一覧 [絵文録ことのは]2006/12/30 mixiコミュジャックまとめ(3)逆恨みと脅迫 [絵文録ことのは]2006/12/30 mixiコミュジャッ
mixi にアップロードした画像ファイルが認証なしに閲覧可能な件について - 葉っぱ日記
先日書いた、mixi の画像の話の詳細。IPAとのやりとりの抜粋です。 mixiのメインコンテンツは mixi.jp ドメインで提供されているけれど、画像は img1.mixi.jp ドメインで提供されているため、正常に Cookie が飛ばないといったあたりがネックになって、なかなか改善に至らないのではないかと思います…が、いろいろやり方はあるだろうにと思います。 2005年5月9日 IPAへWebアプリケーションの脆弱性として届け出。 []2. 脆弱性関連情報[] 1) 脆弱性を確認したウェブサイトのURL [] ソーシャル・ネットワーキングサイト [mixi(ミクシィ)][] []http://mixi.jp/[] 2) 脆弱性の種類 mixiに参加していない人への画像の表示、非公開画像の公開 3) 脆弱性の発見に至った経緯 []ソーシャルネットワーキングサイト mixi.jp では
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
超mixi足あとちょう
