本物の偽はまちちゃんがCSRF騒動

1年以上前の記事です。内容が古い可能性があります。

本物の偽はまちちゃんってのもワケ分かりませんが、アメーバのクロスサイトリクエストフォージェリ（CSRF）対策は完璧じゃなかったみたいだという話。
□ぼくの名前をかたったウイルス？｜ぼくはまちちゃん！(アメーバ)

ネットワーク監視システム―「ウイルス」「ワーム」「クラッキング」の「検出」「ログ解析」から「逆襲」まで (I・O BOOKS)
著者：一条 博
販売元：工学社
発売日：2004-10
レビューを見る

悪質なのはプロフィールの一部を書き換えちゃうスクリプトになっていたこと。
同じことをやっていてもこれはもうアウトでしょう。

しでかした人が残したページがこちら
□※ここには現在仕掛けはいっさいありません。
いまさら弁解しても消えたデータはどうするつもりなのでしょうか？

もっとも、一番の問題はアメーバほどの企業が「アメーバなう」でCSRFに対しての脆弱性を指摘されていたにもかかわらず、別の部分にある同じセキュリティホールを放っておいたというところでしょうね。

まあ、大きくなればなるほど管理が難しくなってくるのは企業の常。
でも、だからこそしっかりと管理できる体制を作っていただきたい。
藤田さんには今まで以上にがんばって欲しいと思います。

□ルームのほまちちゃんについて （しでかした人のブログ）