本物の偽はまちちゃんがCSRF騒動

2009/12/16

1年以上前の記事です。内容が古い可能性があります。

本物の偽はまちちゃんってのもワケ分かりませんが、アメーバのクロスサイトリクエストフォージェリ（CSRF）対策は完璧じゃなかったみたいだという話。
□ぼくの名前をかたったウイルス？｜ぼくはまちちゃん！(アメーバ)

ちょっと前にアメーバなうでワームのようなものが発生しました。
□「Ameba（アメーバ）なう」でこんにちは！祭
実はこれは注意喚起の意味を込めた特に害のないお遊びだったのです。
で、これはすぐ対策されたのですが、今度はアメーバのプロフィールページであるルームで同じことが起こっていたようです。

悪質なのはプロフィールの一部を書き換えちゃうスクリプトになっていたこと。
同じことをやっていてもこれはもうアウトでしょう。

しでかした人が残したページがこちら
□※ここには現在仕掛けはいっさいありません。
いまさら弁解しても消えたデータはどうするつもりなのでしょうか？

もっとも、一番の問題はアメーバほどの企業が「アメーバなう」でCSRFに対しての脆弱性を指摘されていたにもかかわらず、別の部分にある同じセキュリティホールを放っておいたというところでしょうね。

まあ、大きくなればなるほど管理が難しくなってくるのは企業の常。
でも、だからこそしっかりと管理できる体制を作っていただきたい。
藤田さんには今まで以上にがんばって欲しいと思います。

: クリスマス商戦。スマートフォンにしていないだけで2000円もの損失

1年以上前の記事です。内容が古い可能性があります。スマホ（スマートフォン）への機 …

: 駅前すぎてどうかと思った「豊丸（とよまる）」は海鮮系の旨いサラリーマン向け居酒屋だった【浦和グルメ】

1年以上前の記事です。内容が古い可能性があります。「うちわ祭」で死んでるところを …

: パズドラの魔法石はセブンイレブンで買おう。セブンイレブンでGoogle Playギフトカードを買うと最高「たまドラ」が10個ついてくるキャンペーン実施中！

1年以上前の記事です。内容が古い可能性があります。今月、上限まで課金しちゃった後 …

: 「キラキラ☆ウォーカー（kira2-w.com）」のパズドラ魔法石212個無料は本当か確かめてみた

1年以上前の記事です。内容が古い可能性があります。ってか、ぶっちゃけ釣られました …

: ブラック企業は気をつけよう。「サービス残業なう」で労基署（労働基準監督署）が動く

1年以上前の記事です。内容が古い可能性があります。ブラック企業の社長さんは気をつ …

: リアルな辞書編集者の現場を描く「舟を編む」@Hulu（フールー）

1年以上前の記事です。内容が古い可能性があります。久しぶりの土日連続自宅で休養と …