本物の偽はまちちゃんがCSRF騒動

2009/12/16

1年以上前の記事です。内容が古い可能性があります。

本物の偽はまちちゃんってのもワケ分かりませんが、アメーバのクロスサイトリクエストフォージェリ（CSRF）対策は完璧じゃなかったみたいだという話。
□ぼくの名前をかたったウイルス？｜ぼくはまちちゃん！(アメーバ)

ちょっと前にアメーバなうでワームのようなものが発生しました。
□「Ameba（アメーバ）なう」でこんにちは！祭
実はこれは注意喚起の意味を込めた特に害のないお遊びだったのです。
で、これはすぐ対策されたのですが、今度はアメーバのプロフィールページであるルームで同じことが起こっていたようです。

悪質なのはプロフィールの一部を書き換えちゃうスクリプトになっていたこと。
同じことをやっていてもこれはもうアウトでしょう。

しでかした人が残したページがこちら
□※ここには現在仕掛けはいっさいありません。
いまさら弁解しても消えたデータはどうするつもりなのでしょうか？

もっとも、一番の問題はアメーバほどの企業が「アメーバなう」でCSRFに対しての脆弱性を指摘されていたにもかかわらず、別の部分にある同じセキュリティホールを放っておいたというところでしょうね。

まあ、大きくなればなるほど管理が難しくなってくるのは企業の常。
でも、だからこそしっかりと管理できる体制を作っていただきたい。
藤田さんには今まで以上にがんばって欲しいと思います。

: 著名な障害者「乙武洋匡」氏とGANZOシェフ「高田晋一」氏悪いのはどっち？

1年以上前の記事です。内容が古い可能性があります。なんか、かなり話題になっている …

: 次は何？Google Glass（眼鏡）かiPod nano（腕時計）か？

1年以上前の記事です。内容が古い可能性があります。スマホ（スマートフォン）がかつ …

: 「ノラ電波」危険、暗号化されていないWi-FiにつなぐとFacebookが乗っ取られる恐れ

1年以上前の記事です。内容が古い可能性があります。「ノラ電波」というのを知ってい …

: 意外とパスワードは簡単に見破れる。「長澤まさみ」さんや「北川景子」さんら芸能人のパスワードを解読し覗き見していた会社員、不正アクセス禁止法で逮捕

1年以上前の記事です。内容が古い可能性があります。何でもこの人、ツール等は一切使 …

: NHKで放映していた「七人の侍」のアニメ版「SAMURAI 7」が面白かった

1年以上前の記事です。内容が古い可能性があります。NHKで実際放映していたのはも …