malaさん(@bulkneets)のカレンダー・ブログ形式Twitter | meyou [ミーユー]

 
  • mala @bulkneets
  • 都内を中心に活動するバンドThe Bulkneetsの公式アカウント、IT活動も行っている

  • 東京   https://gist.github.com/mala/
  • Twitter歴: 5361日 (2007/04/05より)    一日の平均ツイート数 3.8つぶやき
malaのカレンダー形式ツイート履歴
  • 12/23(水)
  • 5 tweets
  • 16時
  • 2 tweets
  1. bulkneets

    12月23日

    @mizchi 誰がセキュリティのプロだよ、俺はUIエンジニアだバカにしてんのか。
         

  2. bulkneets

    12月23日

    @mizchi どこがいい話なんですか?
         

  • 15時
  • 2 tweets
  1. bulkneets

    12月23日

    Smoozサービス終了に寄せて gist.github.com/mala/f443d5d0b…
         

  2. bulkneets

    12月23日

    はあ。。
         

  • 14時
  • 1 tweets
  1. bulkneets

     
  • 12/22(火)
  • 19 tweets
  • 18時
  • 3 tweets
  1. bulkneets

    12月22日

    7年前、AndroidのWebViewでJavaScriptから任意コード実行出来まくって、アプリのパーミッションによってはアドレス帳ぶっこ抜きとか出来たんだけど、そのときの。今でもあんまり変わらない。 twitter.com/bulkneets/stat…
         

  2. bulkneets

    12月22日

    個人が作ってるブラウザとかベンチャーが作ってるブラウザとか応援したいんだけど、大手ブラウザが対応してるようなセキュリティ上の問題に対処されてるかっていうと、そういうの追っかけるのもう無理だと思う
         

  3. bulkneets

    12月22日

    Androidのブラウザなんか自分の知ってる範囲でも結構クリティカルなことできちゃう(Web見ただけで)ようなのが幾つかあるし(Chrome,Firefox,Opera使った方がいい) どういう問題あってどう修正されたか、すべきかが、もう個人のとこまで降りてこない状況だと思う
         

  • 11時
  • 4 tweets
  1. bulkneets

    12月22日

    中途半端な解析記事載せるぐらいだったらGIGAZINEにタレコミ入れたほうがマシ、GIGAZINEのほうがプロじゃん。
         

  2. bulkneets

    12月22日

    @rel0005 分析雑すぎるし、リクエストしか載せないでレスポンス載せないし、何で通信キャプチャしててこれに気付いてないのみたいなやつがあるので、あなたはセキュリティ関連の記事書かないほうが良いです。
         

  3. bulkneets

    12月22日

    @rel0005 分析雑すぎるし、リクエストしか載せないでレスポンス載せないし、何で通信キャプチャしててこれに気付いてないのみたいなやつがあるので、あなたはセキュリティ関連の記事書かないほうが良いです。
         

  4. bulkneets

    12月22日

    はー、ブログかくわ。
         

  • 09時
  • 1 tweets
  1. bulkneets

    12月22日

    @rel0005 お前は馬鹿なのか?
         

  • 04時
  • 5 tweets
  1. bulkneets

    12月22日

    本来、脆弱性の詳細とかは、修正版のリリースを待ってから載せる予定だったけれど、どうしても伝えたい。あのな、雑な分析でマルウェアだスパイウェアだとか騒ぐのやめろ。規約やアプリの説明が不足してるのも、アプリ自体の実装も、同程度に酷いと言うだけ。ハンロンの剃刀ってやつだ。
         

  2. bulkneets

    12月22日

    起動時に「Smoozにセキュリティ上の深刻な問題が発見されたため、直ちに利用を停止してください。」というpopupを出すようになっている。設定なども込みでのアプリの修正や規約改定や対外説明に時間がかかるため、取り急ぎは現行バージョンの利用者に注意喚起したのだろう。 pic.twitter.com/HYw6tt3Dvr
         

     
  3. bulkneets

    12月22日

    一方で自分がSmoozに報告した脆弱性というのは、悪意のあるWebページ側から全自動で入力サポート機能用に登録した住所氏名電話番号メールアドレスを盗み取れるというものです。影響はiOS版のみ(Android版は未実装) これはバージョンアップしない限り直りません。類似事例 twitter.com/bulkneets/stat… pic.twitter.com/KvVAetDi4m
         

     
  4. bulkneets

    12月22日

    規約やアプリ内の説明が不足してて信用できないというのはもっともな話だけど上から目線でこれはひどいだの評論してる人間も結局同じことやりますよ。記事書いてる人もコメントしてる人も、Webサイト側にDOMくっつけてる時点で、脆弱性ありそうだと気付けてない時点で間抜け b.hatena.ne.jp/entry/s/reliph…
         

  5. bulkneets

    12月22日

    関係性明示:脆弱性報告の謝礼貰う予定ですがまだ貰ってません、特に確認なく勝手に書いている。 Smoozは現在おすすめページ機能を止めており、具体的には nlp.api.smoozapp.com が日曜時点では403だったのが今はサーバー自体停止してる。そのためWebページ本文が送られるという挙動はなくなっている
         

  • 03時
  • 5 tweets
  1. bulkneets

    12月22日

    2011年12月コネクトフリーに脆弱性報告、Webサイトオーナー側から利用者のMACアドレスやSNSのidが抜ける問題があった twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat…
         

  2. bulkneets

    12月22日

    2015年9月、1passwordに脆弱性報告をしている。Webサイト側からパスワードフィルイン時のJavaScriptコード実行をフックすることが出来てしまうのだが、利用者の使い方によっては同一のパスワードを使いまわしている別ドメインがWebサイト側から把握できてしまう。 twitter.com/bulkneets/stat…
         

  3. bulkneets

    12月22日

    2013年12月、Evernote Web Clipperという拡張機能に脆弱性報告をしている。Webサイトに対してpostMessageでノート名を送信している。ノート名にはデフォルトでユーザー名を含むので、Webサイトにユーザー名を垂れ流してしまう問題があった。 twitter.com/bulkneets/stat…
         

  4. bulkneets

    12月22日

    Webページにサイトオーナー作成以外のコンテンツを、ブラウザ拡張機能等が継ぎ足すときに発生するセキュリティ上の問題特集をやります。2010年10月の記事。ページ継ぎ足し系のGreasemonkeyで別ドメインのコンテンツを読み込ませて、継ぎ足し元or先に悪意があると漏洩が起きる web.archive.org/web/2019072708…
         

  5. bulkneets

    12月22日

    developer.chrome.com/docs/extension… Chrome Extensionのcontents scriptsがIsolated worldsという概念を作ったのは2009年。contents scriptsからは、DOMのコピーのようなものが見えていて、Webサイト側から拡張機能のinjectしたscriptに触ることが出来ない。 youtube.com/watch?v=laLude…
         

  • 02時
  • 1 tweets
  1. bulkneets

    12月22日

    @fuba 俺は気分でやってない
         

  • 12/21(月)
  • 2 tweets
  • 17時
  • 2 tweets
  1. shn

    12月21日

    これ、退き忘れて蓋閉めて液晶割ったのでオススメしません… twitter.com/shn/status/131…
         

  2. shn

    12月21日

    MacBookをさらに快適に過ごすためにヒートシンク付き10円玉を導入したぞ pic.twitter.com/ebG5RPHsgL
         

     
ツイート成分
時間帯別ツイート
TOP