本物の偽はまちちゃんがCSRF騒動

2009/12/16

1年以上前の記事です。内容が古い可能性があります。

本物の偽はまちちゃんってのもワケ分かりませんが、アメーバのクロスサイトリクエストフォージェリ（CSRF）対策は完璧じゃなかったみたいだという話。
□ぼくの名前をかたったウイルス？｜ぼくはまちちゃん！(アメーバ)

ちょっと前にアメーバなうでワームのようなものが発生しました。
□「Ameba（アメーバ）なう」でこんにちは！祭
実はこれは注意喚起の意味を込めた特に害のないお遊びだったのです。
で、これはすぐ対策されたのですが、今度はアメーバのプロフィールページであるルームで同じことが起こっていたようです。

悪質なのはプロフィールの一部を書き換えちゃうスクリプトになっていたこと。
同じことをやっていてもこれはもうアウトでしょう。

しでかした人が残したページがこちら
□※ここには現在仕掛けはいっさいありません。
いまさら弁解しても消えたデータはどうするつもりなのでしょうか？

もっとも、一番の問題はアメーバほどの企業が「アメーバなう」でCSRFに対しての脆弱性を指摘されていたにもかかわらず、別の部分にある同じセキュリティホールを放っておいたというところでしょうね。

まあ、大きくなればなるほど管理が難しくなってくるのは企業の常。
でも、だからこそしっかりと管理できる体制を作っていただきたい。
藤田さんには今まで以上にがんばって欲しいと思います。

: 「イオン銀行」と「ゆうちょ銀行」、他行だったら「イオン銀行」の方がお得

1年以上前の記事です。内容が古い可能性があります。自分はメインの銀行口座が「住信 …

: Facebook（フェイスブック）でやると嫌われてしまうかもしれない行動

1年以上前の記事です。内容が古い可能性があります。あっという間にmixiを追い抜 …

: 名刺をiPhoneで管理。「FastBizCard」は900円

1年以上前の記事です。内容が古い可能性があります。先日、ちょこっとだけ触れたiP …

: クリスマスプレゼントにちょっと高価なシャンプーはいかが？全身シャンプー「PURE95」でサラサラの髪に!!

1年以上前の記事です。内容が古い可能性があります。以前はシャンプーなんてなんでも …

: 是非、ご家族orお友達と、パスタ・ビザ食べ放題「ヴォーノ・イタリア」熊谷大井店

1年以上前の記事です。内容が古い可能性があります。久しぶりの食べログ連携。と言 …

: AU「iPhone 4S」 vs. ソフトバンク「iPhone 4S」（発売後追記）

1年以上前の記事です。内容が古い可能性があります。発売待ち遠しい「iPhone …

: 世界一安全なドメインは「.jp」、危険なドメインは「.com」

1年以上前の記事です。内容が古い可能性があります。今まで、安いからと「.com」 …

: 日本はいつ？Facebook（フェイスブック）のグラフ検索でポスト本文が検索対象に

1年以上前の記事です。内容が古い可能性があります。日本ではなかなか始まるに至って …