本物の偽はまちちゃんがCSRF騒動

2009/12/16

1年以上前の記事です。内容が古い可能性があります。

本物の偽はまちちゃんってのもワケ分かりませんが、アメーバのクロスサイトリクエストフォージェリ（CSRF）対策は完璧じゃなかったみたいだという話。
□ぼくの名前をかたったウイルス？｜ぼくはまちちゃん！(アメーバ)

ちょっと前にアメーバなうでワームのようなものが発生しました。
□「Ameba（アメーバ）なう」でこんにちは！祭
実はこれは注意喚起の意味を込めた特に害のないお遊びだったのです。
で、これはすぐ対策されたのですが、今度はアメーバのプロフィールページであるルームで同じことが起こっていたようです。

悪質なのはプロフィールの一部を書き換えちゃうスクリプトになっていたこと。
同じことをやっていてもこれはもうアウトでしょう。

しでかした人が残したページがこちら
□※ここには現在仕掛けはいっさいありません。
いまさら弁解しても消えたデータはどうするつもりなのでしょうか？

もっとも、一番の問題はアメーバほどの企業が「アメーバなう」でCSRFに対しての脆弱性を指摘されていたにもかかわらず、別の部分にある同じセキュリティホールを放っておいたというところでしょうね。

まあ、大きくなればなるほど管理が難しくなってくるのは企業の常。
でも、だからこそしっかりと管理できる体制を作っていただきたい。
藤田さんには今まで以上にがんばって欲しいと思います。

: クリスマスプレゼントにちょっと高価なシャンプーはいかが？全身シャンプー「PURE95」でサラサラの髪に!!

1年以上前の記事です。内容が古い可能性があります。以前はシャンプーなんてなんでも …

: ツイッター（twitter）にクロス・サイト・スクリプティング（XSS）のバグ【今週のトピック】

1年以上前の記事です。内容が古い可能性があります。ツイッターにXSSの脆弱性が存 …

: 海外で評価の高い故「今敏」監督デビュー作「パーフェクトブルー」は夢と現実とドラマとネットが入り混じる名作ミステリーアニメーション

1年以上前の記事です。内容が古い可能性があります。英国で評価されている世界のアニ …

: 直接的じゃないけどツイッター（Twitter）も役に立つという話

1年以上前の記事です。内容が古い可能性があります。実はこれに限ったことじゃないん …

: YouTubeでオフライン再生が可能になると逮捕者が増える？

1年以上前の記事です。内容が古い可能性があります。YouTubeで一時的にオフラ …

: バカッターの逆襲！アカウントを消さずバカッターなりの主張を続けることの意義

1年以上前の記事です。内容が古い可能性があります。さて、こちらの記事でツイッター …

: リニア中央新幹線（リニアモーターカー）は作るべき？環境破壊や電力問題など

1年以上前の記事です。内容が古い可能性があります。夢の時速500km/hが実現さ …