きのうの「ameba内ウイルス」関係?のです
ITMediaさんから引用させて頂きますo
引用ここから---
URL踏むと「こんにちは こんにちは!!」
AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
「Amebaなう」で、あるURLをクリックすると、
「こんにちは こんにちは!!」というフレーズと
クリックしたURL文字列が自動で投稿され、
特定のアカウントを自動でフォローしてしまうという現象が広がった。
12月10日にPC版がスタートしたサイバーエージェントの
ミニブログサービス「Amebaなう」で、あるURLをクリックすると、
「こんにちは こんにちは!!」というフレーズと
クリックしたURL文字列が自動で投稿され、
「はまちや2」さんのアカウントを自動で
フォローしてしまうという現象が広がった。
URLをクリックしたユーザーが意図しない機能を実行させられる
Webアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)
を突いたもの。
同社は10日夜、URLをクリックしないようユーザーに告知。
誤ってクリックした場合は投稿を削除し、
はまちや2さんのフォローを外すよう呼び掛けた。
11日朝までに脆弱性も修正したという。
mixiでも2005年、あるURLをクリックすると
「ぼくはまちちゃん!」という日記が勝手に投稿されるという、
CSRFを利用したスパムが流通したことがあった。
コミュニティーサイト構築に詳しい専門家は、
「CSRF対策は基本的なところ。
Amebaなうが対策していなかったのは意外だ」と話している。
---引用ここまでo
引用元:URL踏むと「こんにちは こんにちは!!」
AmebaなうのCSRF脆弱性で“意図しない投稿”
あとは、
「ある人のルームを見ると強制的に
ペタがつく?「あしあとちょう」」o
きのうのルーム騒動の
「ルーム乗っ取り」かな…??
大体のものはPC用
のなので、
携帯
ユーザーさんは大丈夫だと思いますo
前にネットで流行ったウイルスもだけど、
大体絡んでくるのって
Javascriptなんだよなぁ…
ameba内
だけだと、
Javascript無効と、
ログアウトしての
他のひとのブログの閲覧が
防衛に推奨されるけれど、
超不便だし
サイト構築とかWebアプリの構造とか、
僕はぜんぜん詳しくないので…o
CSRFとか言われても分からないよー
なうは見る側として使おうかな?って
思っていた矢先の出来事なだけに、
ちょっと困惑中…
てゆか、
スタッフブログさんが
「Amebaのセキュリティ対策について」
ってお知らせ投稿していたけれど、
何が起きていたのかさっぱり説明なくって、
お知らせ読んだだけじゃ「??」でした
とりあえずちゃんと外部に調査してもらってます!
みたいな…?
でも調査して直してリリースしてこれじゃ
ちょっと…
あと、ピグ
も新エリアオープンや
新機能追加するまえに、
ちゃんとテストしてるのかなぁと
思うこともしばしばです
amebaさんのサービスは
楽しいものが多い分、
セキュ面しっかりして欲しいです
芸能人ブロガーも多く抱えてて、
有料利用者も多くって、
何かとマネーな面でニュースに
取り上げられているサイバーエージェントさんなので、
こういうことあると信用に欠けてしまいますですよ
てゆかタイアップとかしてるけれど、
そっちのほうは大丈夫なんだろうか…
タイアップ企業側だったら…って思うと、
こんな風に記事書けません…
ITMediaさんから引用させて頂きますo
引用ここから---
URL踏むと「こんにちは こんにちは!!」
AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
「Amebaなう」で、あるURLをクリックすると、
「こんにちは こんにちは!!」というフレーズと
クリックしたURL文字列が自動で投稿され、
特定のアカウントを自動でフォローしてしまうという現象が広がった。
12月10日にPC版がスタートしたサイバーエージェントの
ミニブログサービス「Amebaなう」で、あるURLをクリックすると、
「こんにちは こんにちは!!」というフレーズと
クリックしたURL文字列が自動で投稿され、
「はまちや2」さんのアカウントを自動で
フォローしてしまうという現象が広がった。
URLをクリックしたユーザーが意図しない機能を実行させられる
Webアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)
を突いたもの。
同社は10日夜、URLをクリックしないようユーザーに告知。
誤ってクリックした場合は投稿を削除し、
はまちや2さんのフォローを外すよう呼び掛けた。
11日朝までに脆弱性も修正したという。
mixiでも2005年、あるURLをクリックすると
「ぼくはまちちゃん!」という日記が勝手に投稿されるという、
CSRFを利用したスパムが流通したことがあった。
コミュニティーサイト構築に詳しい専門家は、
「CSRF対策は基本的なところ。
Amebaなうが対策していなかったのは意外だ」と話している。
---引用ここまでo
引用元:URL踏むと「こんにちは こんにちは!!」
AmebaなうのCSRF脆弱性で“意図しない投稿”
あとは、
「ある人のルームを見ると強制的に
ペタがつく?「あしあとちょう」」o
きのうのルーム騒動の
「ルーム乗っ取り」かな…??
大体のものはPC用
のなので、携帯
ユーザーさんは大丈夫だと思いますo前にネットで流行ったウイルスもだけど、
大体絡んでくるのって
Javascriptなんだよなぁ…
ameba内
だけだと、Javascript無効と、
ログアウトしての
他のひとのブログの閲覧が
防衛に推奨されるけれど、
超不便だし
サイト構築とかWebアプリの構造とか、
僕はぜんぜん詳しくないので…o
CSRFとか言われても分からないよー
なうは見る側として使おうかな?って
思っていた矢先の出来事なだけに、
ちょっと困惑中…
てゆか、
スタッフブログさんが
「Amebaのセキュリティ対策について」
ってお知らせ投稿していたけれど、
何が起きていたのかさっぱり説明なくって、
お知らせ読んだだけじゃ「??
」でしたとりあえずちゃんと外部に調査してもらってます!
みたいな…?
でも調査して直してリリースしてこれじゃ
ちょっと…
あと、ピグ
も新エリアオープンや新機能追加するまえに、
ちゃんとテストしてるのかなぁと
思うこともしばしばです
amebaさんのサービスは
楽しいものが多い分、
セキュ面しっかりして欲しいです
芸能人ブロガーも多く抱えてて、
有料利用者も多くって、
何かとマネーな面でニュースに
取り上げられているサイバーエージェントさんなので、
こういうことあると信用に欠けてしまいますですよ
てゆかタイアップとかしてるけれど、
そっちのほうは大丈夫なんだろうか…
タイアップ企業側だったら…って思うと、
こんな風に記事書けません…