Ryo Inoue rinopo

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature

Author: mala

Introduction

This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium.
This is done as my personal activity and is not related to my organization.
I'm not a zero-day guy and this is simply the result of a failure of coordinated disclosure.

Smoozサービス終了に寄せて

前置き

この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。
一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。
一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。

Smoozに報告した脆弱性2件

blacklist/whitelist master/slave に関する情報集め

blacklist/whitelist、master/slave という単語は相応しくないという意見に OSS がどの様に対応すべきかを自身で考える為の情報集めです。見つけ次第、逐次更新していきます。

僕(mattn) 自身は black lives matter に同意をしています。blacklist/whitelist、master/slave という単語を廃止する事が、歴史的背景を持たない文化圏では特定の意味を持たなかった為、個人的には若干思う所はありますが、廃止自身に反対するつもりはありません。

昔から、主副を表す物には master/slave という単語が使われてきました。ハードディスクの IDE、仮想端末(pty)、色々あります。またネットワークの IP フィルタリングに関しては blacklist/whitelist と表記した物が今でも沢山あります。

我々日本人が意識せずに使っていた blacklist/whitelist、master/slave という単語が、人々にどの様に影響しうるのか、今後 OSS としてどの様に関わっていけば良いかを理解する上で、自分なりの情報集めをしたいと思っています。

コミットメッセージガイドライン

概要

このドキュメントは feather のコミットメッセージをどのように書くのかを示すガイドラインです。

feather ではコミットメッセージを元にリリースノートを自動生成しているため一定のフォーマットに従ってコミットメッセージが書かれている必要があります。

ここではどのようなフォーマットでコミットメッセージを書けばよいのかを記載します。

esa に移しました。

--

コベリンの開発ガイドライン

概要

これは合同会社コベリン (covelline, LLC.) でソフトウェア開発を行う際のガイドラインです。複数人で円滑に開発を行う為の最低限のルールを記述します。

	#!/bin/bash

	if [ $# -lt 1 ]; then
	echo "Usage: $0 [enable\|disable]"
	exit 1
	fi

	plistLoc="/private/var/root/Library/Preferences/com.apple.CoreBrightness.plist"

	currentUserUID=$(dscl . -read /Users/$(whoami)/ GeneratedUID) # Get the GeneratedUID for the current user

	<!DOCTYPE html>
	<html lang="ja">
	<head>
	<meta charset="UTF-8">
	<title>年度毎に月別アーカイブへのリンクを出力</title>
	</head>
	<body>

	<mt:ArchiveList type="Monthly">
	<$mt:ArchiveTitle regex_replace="/(\d+)年\d+月/","$1" setvar="tmp__current_year"$>

	1. Create a directory/file in your deploy repo's root dir (e.g., .ImageMagic/policy.xml), commit it.
	2. Set the following config var:
	heroku config:set MAGICK_CONFIGURE_PATH=/app/.ImageMagick -a YOUR-APP-NAME
	3. Deploy
	4. heroku run bash -a YOUR-APP-NAME
	5. run
	convert -list policy

	Path: [built-in]
	Policy: Undefined

	# Close all notifications

	my closeNotifications()
	on closeNotifications()
	tell application "System Events" to tell process "Notification Center"
	set theWindows to every window
	repeat with i from 1 to number of items in theWindows
	set this_item to item i of theWindows
	try
	click button 1 of this_item

	:one: タイトル

	:two: 概要

	---

	:three: 関連する issue 番号

	################################## memo ########################################
	# `git config --local commit.template <your template path>` で設定する