Skip to content

Instantly share code, notes, and snippets.

@mala
mala / social-distance-internet-meme-research.md
Created May 14, 2020
アカウント名にスペース入れてソーシャルディスタンス、って謎の風習、最初はどこから始まったの?
View social-distance-internet-meme-research.md

アカウント名にスペース入れてソーシャルディスタンス、って謎の風習、最初はどこから始まったの?

5/10 に書いたこれ https://gist.github.com/mala/08fdbc680d84bb1b2305688282f26cea に関連して

というTweetがあり、自分もインターネットミームとしての側面については気になっていたため調べていた。(事前に把握していたものも含む)

普段からTwitterをクロールしていたわけではなく、大規模なデータを持っていないので、実際にどこが発端になって、どういう流れで広まっていったのか正確なところは良く分からない。経緯を把握しているものだとシャープを参考にした(シャープはアカウント名部分ではないけど)というものがあるのは知っている。フォロワー数も非常に多く、企業SNS運用担当者の中では圧倒的な影響がある。

@mala
mala / twitter_crawl.pl
Created May 10, 2020
一個前の記事用に書いた Twitter Profile 収集するやつ
View twitter_crawl.pl
use strict;
use Net::Twitter;
use MongoDB;
my $nt = Net::Twitter->new(
traits => [qw/API::RESTv1_1/],
consumer_key => "xxx",
consumer_secret => "xxx",
access_token => "xxx",
access_token_secret => "xxx",
@mala
mala / covid19-twitter-research_01.md
Last active Aug 1, 2020
生活と意見: ソーシャルディスタンスなどと称してユーザー名や文章にスペースを挟む行為についての苦情
View covid19-twitter-research_01.md

生活と意見: ソーシャルディスタンスなどと称してユーザー名や文章にスペースを挟む行為についての苦情

更新履歴

2020-05-13 追記

@mala
mala / CVE-2019-5418_is_RCE.md
Last active Jun 12, 2020
Rails の CVE-2019-5418 は RCE (Remote code execution) です
View CVE-2019-5418_is_RCE.md
@mala
mala / nwc.md
Created Jan 15, 2019
次世代Webカンファレンス 2019 振り返り
View nwc.md

次世代Webカンファレンス 2019 振り返り

  • この文章に関しても所属組織とは関係のない個人の見解です

所感など

  • 本当に全く打ち合わせをしていないので、話題が分散しがちだったかもしれない。
  • せっかくの所属組織とは無関係のレギュレーションなので、具体名を上げてガンガン治安の悪いことを言うつもりだったのだけど、直前に「具体的な企業名は避けましょう」と言われて若干遠慮した。
  • マズいことをガンガンしゃべる覚悟で来たので、防刃ベストを着ているが、特に出番は無かった。トイレにも行った。
  • 本当は話す予定だったトピックについて、いくつかは、別途private gistに書く。
@mala
mala / CVE-2018-0691.md
Last active Oct 15, 2018
CVE-2018-0691 プラスメッセージにおける証明書検証不備について
View CVE-2018-0691.md

CVE-2018-0691 プラスメッセージにおける証明書検証不備について

  • https://jvn.jp/jp/JVN37288228/

  • 平日の業務時間内に見つけた問題である関係で(自分ルールで)所属を入れていますが、他社サービスに対する調査や報告は業務とは一切関係のない個人の活動として行っています。

  • 文責はmala個人にあります。お問い合わせなどありましたら個人宛にどうぞ。TwitterのDMや任意の文字列 @ma.la

概要

@mala
mala / e.md
Created Apr 25, 2017
アプリの信頼とサービス運営者の信頼の話
View e.md

もう5年も前の話になっていたのだけど、Echofon(Twitterクライアントの一つ)の件を今更だけど書かねばならない。

当時、Echofonのプッシュ通知を管理するサーバーの認証機能に欠陥があり(というか認証が無く) 他のEchofon利用者に対して送られるpush通知(DMやreplyなど)を横取りすることが出来た。

このセキュリティホール自体は素早く修正されたのだけど、この件をきっかけに、クライアント/サーバーの境界線が曖昧になっている、という問題を強く意識するようになった。

@mala
mala / o.md
Created Apr 21, 2017
Orarioについての雑感
View o.md

調べたこと

通信をキャプチャして調べた。似たようなことをしている人が既にいて仕組みについてはサービス提供者側が説明されているとおりだった。

IDパスワードはネイティブUIで表示して、html中のどこに入力するかなどはリモートから受信するjsで定義している。特に難読化や独自の暗号化などがされているわけではない。

@mala
mala / autofill_ui.md
Last active Jan 19, 2017
暮らしに役立つITコラム ChromeやSafariの自動入力機能が、なぜ「悪いデザイン」なのか
View autofill_ui.md

見た目の上で、隠されているフィールドに対しても自動入力してしまうという問題が話題になっている(2017年1月)

のだけれど、この問題の歴史はとても古い。自分も調査したり問題を報告したりしているので、振り返ってみる。

2012年の話

2012年4月のShibuya.XSS #1 https://atnd.org/events/25689 で、Hamachiya2が発表した

@mala
mala / yapcjapan2016_lt.md
Last active Dec 29, 2016
5分でわかる Perl and web security
View yapcjapan2016_lt.md

5分でわかる Perl and web security

ma.la


CSRFとかXSSとか

  • CSRF: フレームワークの機能使って下さい
  • XSS: Xslateとか自動エスケープして下さい、jsの動的生成はするな
  • 終わり
You can’t perform that action at this time.