malaさん(@bulkneets)のカレンダー・ブログ形式Twitter

mala

@bulkneetsさんをフォロー

mala @bulkneets
都内を中心に活動するバンドThe Bulkneetsの公式アカウント、IT活動も行っている
東京 https://gist.github.com/mala/
Twitter歴： 6225日 (2007/04/05より) 一日の平均ツイート数 3.8つぶやき

79,414 ツイート
2,204 フォロー
12,936 フォロワー

malaのカレンダー形式ツイート履歴

12/23(水)
5 tweets

16時
2 tweets

mala
@bulkneets

12月23日

@mizchi 誰がセキュリティのプロだよ、俺はUIエンジニアだバカにしてんのか。
mala
@bulkneets

12月23日

@mizchi どこがいい話なんですか？

15時
2 tweets

mala
@bulkneets

12月23日

Smoozサービス終了に寄せて gist.github.com/mala/f443d5d0b…
mala
@bulkneets

12月23日

はあ。。

14時
1 tweets

mala
@bulkneets

12月23日

めしにしましょう pic.twitter.com/m5n6I761B4

12/22(火)
19 tweets

18時
3 tweets

mala
@bulkneets

12月22日

7年前、AndroidのWebViewでJavaScriptから任意コード実行出来まくって、アプリのパーミッションによってはアドレス帳ぶっこ抜きとか出来たんだけど、そのときの。今でもあんまり変わらない。 twitter.com/bulkneets/stat…
malaさんがリツイート

mala
@bulkneets

12月22日

個人が作ってるブラウザとかベンチャーが作ってるブラウザとか応援したいんだけど、大手ブラウザが対応してるようなセキュリティ上の問題に対処されてるかっていうと、そういうの追っかけるのもう無理だと思う
malaさんがリツイート

mala
@bulkneets

12月22日

Androidのブラウザなんか自分の知ってる範囲でも結構クリティカルなことできちゃう(Web見ただけで)ようなのが幾つかあるし(Chrome,Firefox,Opera使った方がいい) どういう問題あってどう修正されたか、すべきかが、もう個人のとこまで降りてこない状況だと思う

11時
4 tweets

mala
@bulkneets

12月22日

中途半端な解析記事載せるぐらいだったらGIGAZINEにタレコミ入れたほうがマシ、GIGAZINEのほうがプロじゃん。
malaさんがリツイート

mala
@bulkneets

12月22日

@rel0005 分析雑すぎるし、リクエストしか載せないでレスポンス載せないし、何で通信キャプチャしててこれに気付いてないのみたいなやつがあるので、あなたはセキュリティ関連の記事書かないほうが良いです。
mala
@bulkneets

12月22日

@rel0005 分析雑すぎるし、リクエストしか載せないでレスポンス載せないし、何で通信キャプチャしててこれに気付いてないのみたいなやつがあるので、あなたはセキュリティ関連の記事書かないほうが良いです。
mala
@bulkneets

12月22日

はー、ブログかくわ。

09時
1 tweets

mala
@bulkneets

12月22日

@rel0005 お前は馬鹿なのか？

04時
5 tweets

mala
@bulkneets

12月22日

本来、脆弱性の詳細とかは、修正版のリリースを待ってから載せる予定だったけれど、どうしても伝えたい。あのな、雑な分析でマルウェアだスパイウェアだとか騒ぐのやめろ。規約やアプリの説明が不足してるのも、アプリ自体の実装も、同程度に酷いと言うだけ。ハンロンの剃刀ってやつだ。
mala
@bulkneets

12月22日

起動時に「Smoozにセキュリティ上の深刻な問題が発見されたため、直ちに利用を停止してください。」というpopupを出すようになっている。設定なども込みでのアプリの修正や規約改定や対外説明に時間がかかるため、取り急ぎは現行バージョンの利用者に注意喚起したのだろう。 pic.twitter.com/HYw6tt3Dvr
mala
@bulkneets

12月22日

一方で自分がSmoozに報告した脆弱性というのは、悪意のあるWebページ側から全自動で入力サポート機能用に登録した住所氏名電話番号メールアドレスを盗み取れるというものです。影響はiOS版のみ(Android版は未実装) これはバージョンアップしない限り直りません。類似事例 twitter.com/bulkneets/stat… pic.twitter.com/KvVAetDi4m
mala
@bulkneets

12月22日

規約やアプリ内の説明が不足してて信用できないというのはもっともな話だけど上から目線でこれはひどいだの評論してる人間も結局同じことやりますよ。記事書いてる人もコメントしてる人も、Webサイト側にDOMくっつけてる時点で、脆弱性ありそうだと気付けてない時点で間抜け b.hatena.ne.jp/entry/s/reliph…
mala
@bulkneets

12月22日

関係性明示:脆弱性報告の謝礼貰う予定ですがまだ貰ってません、特に確認なく勝手に書いている。 Smoozは現在おすすめページ機能を止めており、具体的には nlp.api.smoozapp.com が日曜時点では403だったのが今はサーバー自体停止してる。そのためWebページ本文が送られるという挙動はなくなっている

03時
5 tweets

mala
@bulkneets

12月22日

2011年12月コネクトフリーに脆弱性報告、Webサイトオーナー側から利用者のMACアドレスやSNSのidが抜ける問題があった twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat… twitter.com/bulkneets/stat…
mala
@bulkneets

12月22日

2015年9月、1passwordに脆弱性報告をしている。Webサイト側からパスワードフィルイン時のJavaScriptコード実行をフックすることが出来てしまうのだが、利用者の使い方によっては同一のパスワードを使いまわしている別ドメインがWebサイト側から把握できてしまう。 twitter.com/bulkneets/stat…
mala
@bulkneets

12月22日

2013年12月、Evernote Web Clipperという拡張機能に脆弱性報告をしている。Webサイトに対してpostMessageでノート名を送信している。ノート名にはデフォルトでユーザー名を含むので、Webサイトにユーザー名を垂れ流してしまう問題があった。 twitter.com/bulkneets/stat…
mala
@bulkneets

12月22日

Webページにサイトオーナー作成以外のコンテンツを、ブラウザ拡張機能等が継ぎ足すときに発生するセキュリティ上の問題特集をやります。2010年10月の記事。ページ継ぎ足し系のGreasemonkeyで別ドメインのコンテンツを読み込ませて、継ぎ足し元or先に悪意があると漏洩が起きる web.archive.org/web/2019072708…
mala
@bulkneets

12月22日

developer.chrome.com/docs/extension… Chrome Extensionのcontents scriptsがIsolated worldsという概念を作ったのは2009年。contents scriptsからは、DOMのコピーのようなものが見えていて、Webサイト側から拡張機能のinjectしたscriptに触ることが出来ない。 youtube.com/watch?v=laLude…

02時
1 tweets

mala
@bulkneets

12月22日

@fuba 俺は気分でやってない

12/21(月)
2 tweets

17時
2 tweets

malaさんがリツイート

Shin Adachi
@shn

12月21日

これ、退き忘れて蓋閉めて液晶割ったのでオススメしません… twitter.com/shn/status/131…
malaさんがリツイート

Shin Adachi
@shn

12月21日

MacBookをさらに快適に過ごすためにヒートシンク付き10円玉を導入したぞ pic.twitter.com/ebG5RPHsgL

malaさん(@bulkneets)のカレンダー・ブログ形式Twitter | meyou [ミーユー]

malaさん(@bulkneets)