本物の偽はまちちゃんがCSRF騒動

2009/12/16

1年以上前の記事です。内容が古い可能性があります。

本物の偽はまちちゃんってのもワケ分かりませんが、アメーバのクロスサイトリクエストフォージェリ（CSRF）対策は完璧じゃなかったみたいだという話。
□ぼくの名前をかたったウイルス？｜ぼくはまちちゃん！(アメーバ)

ちょっと前にアメーバなうでワームのようなものが発生しました。
□「Ameba（アメーバ）なう」でこんにちは！祭
実はこれは注意喚起の意味を込めた特に害のないお遊びだったのです。
で、これはすぐ対策されたのですが、今度はアメーバのプロフィールページであるルームで同じことが起こっていたようです。

悪質なのはプロフィールの一部を書き換えちゃうスクリプトになっていたこと。
同じことをやっていてもこれはもうアウトでしょう。

しでかした人が残したページがこちら
□※ここには現在仕掛けはいっさいありません。
いまさら弁解しても消えたデータはどうするつもりなのでしょうか？

もっとも、一番の問題はアメーバほどの企業が「アメーバなう」でCSRFに対しての脆弱性を指摘されていたにもかかわらず、別の部分にある同じセキュリティホールを放っておいたというところでしょうね。

まあ、大きくなればなるほど管理が難しくなってくるのは企業の常。
でも、だからこそしっかりと管理できる体制を作っていただきたい。
藤田さんには今まで以上にがんばって欲しいと思います。

: 踊るシリーズ番外編3本「交渉人真下正義」「容疑者室井慎次」「係長青島俊作」

1年以上前の記事です。内容が古い可能性があります。久しぶりのTSUTAYAで旧作 …

: 片山祐輔被告はやはり冤罪？真犯人が自供を指示したとメール【PC遠隔操作ウイルス事件】

1年以上前の記事です。内容が古い可能性があります。もう、ここまでくるとわけわから …

: 富士フイルムがエボラ出血熱を攻略！感染したフランス人看護師が完治！

1年以上前の記事です。内容が古い可能性があります。これは嬉しいニュースです。 □ …

: 先日の大雪は人工雪であるとの説。そういえば3.11人工地震説なんてのもありました

1年以上前の記事です。内容が古い可能性があります。バカバカしすぎてネタにするのも …

: 「ふじやまビール」と「うなぎ松葉」（思い出しレビューその5）

1年以上前の記事です。内容が古い可能性があります。さて、食べログに複数トラックバ …