怪しいクライアントを許可していないのに勝手に twitter で DM が送信されていた 何やら Twitter で勝手に DM が送られるという事案が発生していた模様。 調査の結果、ある web ページにアクセスしただけで、Twitter の token credentials が攻撃者に知られてしまう *1 ということがわかったらしい。 下記ページにまとめられていたのだけどパッと読んですぐには攻撃手法を理解できなかったので、いろいろ考えたことを書き残しておく。 「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説 - Togetter 簡潔な解説が以下の記事にあったので、簡潔な説明で理解できる人は下記記事参照。 gist:5053810 (DM踏んだだけでアレな件はTwitterのOAuth実装がク○だと思う) 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだ
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
公式ブログ、ITmedia Newsなどによると、Twitterの公式webサイト上で表示されれるツイート(つぶやき)の中に任意のコードを挿入できる脆弱性が発見されたとのこと。ただし、脆弱性は既に修正されているとのこと。 脆弱性は、ツイート内のURLをリンクに変換する処理に問題があり、URLの後に一定の文字を付加することにより、Aタグに任意の属性を付加できるというもの。これにより、onmouseover属性などを使用して、JavaScriptで任意のコードを実行する事が可能となった。この脆弱性を利用したコードにより、ユーザが意図しないツイートがされるなどの問題が発生し、ユーザが他のユーザに公式webを使用しないように警告するなど、Twitter内は大きな騒ぎとなった。
TwitterのDM(ダイレクト・メッセージ)機能はメールよりも気軽で便利な連絡手段として普及しつつあります。でも、気をつけてください。あなたが技術者のようにTwitterのことを理解していないのであれば、DMが盗み見られる可能性は、おそらくあなたが考えている以上です。 〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました(参照:Twitterブログ: ミッション: アプリ認証でのアクセス権)。さらには連携アプリの一覧画面もありますので、プライバシーに関する機能が充実しました。詳しくはサードパーティアプリケーションとの連携方法もご覧ください。〕 〔註:本稿はなるべく多くの人に読んで頂けるように、易しく書きました。このように「註」欄で詳しい説明を書いていますが、詳しく知りたい人向けですので、読み飛ばして頂いても構いません〕 「DMで大事な話をするこ
OAuth の Read と Write 先日, ツイート君に会話をまとめてもらい, 大変嫌な思いをした. Twitter の OAuth には Read 権限と Write 権限があって, Write 権限があると つぶやく 誰かをフォローする 誰かをリムーブする などのことが行えてしまう. つまり, Write 権限を要求するアプリケーションを許可することは, 「このアプリケーションが私のアカウントを使って勝手に変なことをつぶやいたり, 勝手に誰かをフォローしたり, 勝手に誰かをリムーブしても文句は言いませんよ」ということに等しい. さて, それでは OAuth の権限付与画面を見てみよう. ここでは冒頭に上げたツイート君が権限をこちらに要求してきている. では, いったい何の権限を要求してきているのだろうか. Read なのだろうか. それとも Write なのだろうか. 答えは R
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
