Skip to content

Instantly share code, notes, and snippets.

mala mala

Block or report user

Report or block mala

Hide content and notifications from this user.

Learn more about blocking users

Contact Support about this user’s behavior.

Learn more about reporting abuse

Report abuse
View GitHub Profile
@mala
mala / 0.md
Last active Nov 12, 2019
Vulnerabilities related to url parser, etc / shibuya.xss #8
View 0.md
@mala
mala / CVE-2019-5418_is_RCE.md
Last active Nov 7, 2019
Rails の CVE-2019-5418 は RCE (Remote code execution) です
View CVE-2019-5418_is_RCE.md
@mala
mala / gist:8857629
Last active Oct 29, 2019
Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話
View gist:8857629

2014-07-09 それぞれ修正されたのを確認したので追記します。

APSB14-17 で修正されたようです

筆者が把握している範囲で、最新版のFlash Playerを利用している場合に、(crossdomain.xmlもしくはユーザーの許可なしで)cross originでカスタムヘッダを付与する方法はありません。

Webサイト運営者は

@mala
mala / nwc.md
Created Jan 15, 2019
次世代Webカンファレンス 2019 振り返り
View nwc.md

次世代Webカンファレンス 2019 振り返り

  • この文章に関しても所属組織とは関係のない個人の見解です

所感など

  • 本当に全く打ち合わせをしていないので、話題が分散しがちだったかもしれない。
  • せっかくの所属組織とは無関係のレギュレーションなので、具体名を上げてガンガン治安の悪いことを言うつもりだったのだけど、直前に「具体的な企業名は避けましょう」と言われて若干遠慮した。
  • マズいことをガンガンしゃべる覚悟で来たので、防刃ベストを着ているが、特に出番は無かった。トイレにも行った。
  • 本当は話す予定だったトピックについて、いくつかは、別途private gistに書く。
View gist:4986504

@ITやテッククランチがアホすぎてつらい。

要約

Rap GeniusというサービスがHerokuに月額2万ドル払っていて、そのサービスに満足していたという。 内訳はよくわからないが、Herokuの「サクセスストーリー」に公開されているところによると、彼らはWeb用のdynoを120使っているとのこと。 http://success.heroku.com/rapgenius

New Relic(サードパーティのパフォーマンス計測アドオン)には年間 $63116.13 払っているという。

@mala
mala / gist:5107120
Last active Jul 26, 2019
TwitterのOAuthの問題の補足とか
View gist:5107120

https://gist.github.com/mala/5062931

の続き。

Twitterの人に色々と問題点は伝えたんだけど、これからOAuthのサーバー書く人や、クライアント書く人が似たような問題を起こさないようにするために、どうすればいいのかについて簡単に書きます。既存の実装真似して作るとうっかりひどい目にあう。

自分は意図的に「Twitterの脆弱性」という表現を使わないように気を使っていて、それはクライアントアプリ側の責任もあるからなのだけれども、安全に実装するための方法がわかりにくかったり誤解を招きやすかったり、Twitterに買収されているTweetDeckにも問題があったりしたので、それはやっぱりTwitter側の責任の比重が大きいとは思う。とはいっても別に責任を追求したかったり◯◯はクソだといったことを言いたいわけではなく、誰が悪いとか言う以前に、複合的な要因によって問題が起きるときには原因を正しく理解する必要があると思う。

そもそも何を担保に安全性を保証しているのか

  • サーバー側で秘密の鍵を持っている(それが無いとアクセストークンを取得できない or 使えない)
@mala
mala / safari-like-cookie-policy-is-too-bad.md
Last active Jul 11, 2019
Firefox 22のCookieに関するポリシー変更(予定)についての意見書
View safari-like-cookie-policy-is-too-bad.md
@mala
mala / gist:5096954
Last active Jul 8, 2019
Google Safe Browsing と埋め込みリソースの関係
View gist:5096954

検証環境 Firefox19.0 / Chrome 27.0.1425.0 / Safari 6.0.2

攻撃サイトとして報告されているURLを(hosts書き換えて) 読み込むとどう反応するか。それぞれアドレスバーに直接入力だとブロック。

Chromeの場合

  • 画像: リクエスト自体行わない、派手な警告を出す
  • script: リクエスト自体行わない、派手な警告を出す
  • iframe: リクエスト自体行わない、派手な警告を出す

Firefoxの場合

@mala
mala / gist:5108900
Created Mar 7, 2013
攻撃者が生パスワードまず復元できないだろという状況でも全ユーザーのパスワードリセットしたほうが良い10の理由
View gist:5108900

Evernoteの話ですけど。「強固なパスワード暗号化技術を採用」していて、攻撃者がまず生パスワード復元できないだろう、という状況であっても、パスワードリセットはしたほうがいい。

2011年のLastpassのケースでは、強固なパスワード使っている人は大丈夫だけど、そうじゃない場合はブルートフォースでマスターパスワード取得されうるということを発表していた。これはハッシュ値生成のアルゴリズムが、既知 or 推測しやすい or ソースコードも含めて漏洩している、という時にこの状態になる。

"If you have a strong, non-dictionary based password or pass phrase, this shouldn't impact you - the potential threat here is brute forcing your master password using dictionary words, then going to LastPass with that password to get your data. Unfortunately not everyone picks a master password that's immune to brute forcing."

で、Evernoteのケースは「弊社は強固なパスワード暗号化技術を採用しておりますが」と言っている。

@mala
mala / gist:5062931
Last active Jan 25, 2019
TwitterのOAuthの問題まとめ
View gist:5062931

どういう問題があったか

説明するのめんどい http://vividcode.hatenablog.com/entry/twitter-oauth-vulnerability

どういう対策がされたか

とりあえず即座に攻撃できるような状態ではなくなっています。

フィッシング?

You can’t perform that action at this time.