説明するのめんどい http://vividcode.hatenablog.com/entry/twitter-oauth-vulnerability
とりあえず即座に攻撃できるような状態ではなくなっています。
| このLEMONってのがrapgeniusの人ね。 | |
| http://cache.gyazo.com/91f2e906a220fbeef2e9283b0aee597a.png | |
| Unicorn使っても2workerで動いているところに遅いリクエストが3件来たら詰まるよ!! | |
| 根本的な解決にならない!! | |
| とか言ってるんですよ。 | |
| じゃあ例えば、並列数1x10と並列数2x5で遅いリクエスト5件投げてキューに詰まる確率を考えてみよう。 | |
| 絵で表すとこう。絵じゃなくて文字だけど。 |
@ITやテッククランチがアホすぎてつらい。
Rap GeniusというサービスがHerokuに月額2万ドル払っていて、そのサービスに満足していたという。 内訳はよくわからないが、Herokuの「サクセスストーリー」に公開されているところによると、彼らはWeb用のdynoを120使っているとのこと。 http://success.heroku.com/rapgenius
New Relic(サードパーティのパフォーマンス計測アドオン)には年間 $63116.13 払っているという。
| http://www.gnucitizen.org/blog/hacking-the-interwebs/ や、この問題を取り上げてるブログ記事なんかで | |
| Flashの仕様じゃー、とかバージョンアップしても直らないみたいなこと書かれてるのですが、 | |
| 少なくとも現状、Flashで独自のリクエストヘッダ追加した上でのクロスドメインのPOSTリクエストはcrossdomain.xmlを要求するようになっています。 | |
| Flashの仕様なんでバージョンアップしても解消しないんだぜー、って書かれたままの記事が多くあるため | |
| 「えっ、そうなの?」という印象を受けてしまった。 | |
| この記事が書かれた頃には出来たようだけど、JavaScript使いからするとこの挙動は直感に反するもので、 | |
| Flashを使うことで「ユーザーの許可無く」「ブラウザ標準の機能で出来ること以上のことが出来ている」のがおかしい。 |
| use strict; | |
| use Plack::Builder; | |
| use Plack::Request; | |
| use Plack::App::Directory; | |
| use Path::Class; | |
| use Digest::MD5 qw(md5_hex); | |
| my $upload_dir = "./files/"; | |
| builder { |
| http://mozilla-remix.seesaa.net/article/313529718.html | |
| Fasterfox Liteで送信されているのは | |
| - 起動時にUserAgentやユニークidを送る。 | |
| - 存在しないドメインにアクセスした場合に、そのドメイン名を送る(フルのURLではない) | |
| 「閲覧URLに関わる情報」で送られるのは、最大でもドメイン名まで。(ソースを参照) | |
| Fasterfox Liteの過去バージョン(3.9.5-3.9.8) も調べてみたが、同様に閲覧URLを収集する機能は存在しないか、コメントアウトされていた。 | |
| ソース中 |
| 平文でパスワード保存されていた?と推測する奴は頭がおかしいのでエンジニアやめろ。 | |
| ---- | |
| まず事実関係 | |
| MUFGは、ID登録及び、ログインの際に、パスワード規定文字数を超えて「入力することができませんでした」と主張している。 | |
| http://www.cr.mufg.jp/corporate/info/pdf/2012/121120_01.pdf | |
| リニューアル前の直近のログインフォームでは、password入力のinput要素に各提携先に応じたmaxlengthが設定されていて、 |
| 9/24にG+に書いたものの転載 | |
| ---- | |
| Sep 24, 2012 - Limited | |
| Lionの場合、開くアプリケーションが何であろうと com.apple.quarantine が付いていたら警告を表示。一度開いたら外れる。Mountain LionのSafariは、com.apple.quarantine を維持したまま、安全なモードで開く、という対応を取った。com.apple.quarantine が付いていないHTMLファイルは相変わらず強い権限で動き、file:// から http:// や https:// への通信が可能でCookieも送るため、ログイン済みのWebページの内容を読み取ることも可能になっている。 | |
| Lion → 警告あるけど開いたら何でもオッケー | |
| Mountain Lion → フラグ維持したまま安全なモードで開く | |
| と変わっていることが分かる。なぜOSのバージョンによって挙動が違うのだろうか。Lionの場合、どんなアプリで開く場合でもとりあえず警告を出して、開いたらフラグを外すという挙動になっている。おそらく、SafariにHTMLファイルが渡った時点で com.apple.quarantine は外れている。ただし、Safariに直接HTMLファイルをドラッグアンドドロップすることで、com.apple.quarantineを維持したままファイルを開くことも出来る。その場合でもLion上のSafari6.0.1では制限されていない状態で開かれる。なので、LionかMountain Lionかによって、そもそも挙動が違う。com.apple.quarantineがついている場合に権限が制限される、というのはMountain Lion限定の挙動である。 |
| http://topsy.com/jp.wsj.com/IT/node_522784?infonly=1 のスクレイピング結果から | |
| "フェイスブック、個人データの試験販売を開始"というタイトルのままWSJの記事に言及したインフルエンサーの一覧です。RTも含まれます。 | |
| result = []; $(".list-tweet-v2").filter(function(i,v){ return $(v).html().indexOf("個人データ") != -1 }).map(function(i,v){ result.push( [$(v).find(".author-name").text(), $(v).find(".date-link").attr("href"), $(v).find(".twitter-post-text").text().replace(/\n/g," ") ] ) }); copy(result.join("\n")); | |
| ---- | |
| 小寺勝之Katsuyuki Kodera,http://twitter.com/ame_inu/status/253820739654934528,フェイスブック、個人データの試験販売を開始 http://t.co/q6Z9ebLA | |
| Sirius,http://twitter.com/sitesirius/status/253702011470622720,フェイスブック、個人データの試験販売を開始 http://t.co/GPoecKKn 流用されると思ってた。だからFbには登録しなかった。 |