はてなのログインについて、ユーザー名とパスワードをいちいち入力せずに、「指定したURL」を入力することで自動的にログインできるようなURLは見つけることはできますでしょうか?またどのような方法で見つけたかもぜひ教えてください。もちろんログイン画面の「次回から自動的にログイン」を使用しないことが前提です。
はてなのログインについて、ユーザー名とパスワードをいちいち入力せずに、「指定したURL」を入力することで自動的にログインできるようなURLは見つけることはで…
はてなのログインについて、ユーザー名とパスワードをいちいち入力せずに、「指定したURL」を入力することで自動的にログインできるようなURLは見つけることはできますでしょうか?またどのような方法で見つけたかもぜひ教えてください。もちろんログイン画面の「次回から自動的にログイン」を使用しないことが前提です。
Kazuho@Cybozu Labs: はてな認証 API への攻撃シナリオ
« 秘密鍵を後置している MAC の危険性 | メイン | Re: 攻撃してください→はてな認証の仮想セッション » 2006年05月09日 はてな認証 API への攻撃シナリオ 少し方向を変えて、 cert の漏洩に関する話です。 はてな認証 API における cert の使用法においては、 条件A) cert が第三者に漏洩しない 条件B) cert を最初に使うのがサードパーティアプリケーションである のいずれかが満たされれば良いです。 しかし、実際のところ cert が漏洩した場合に条件 B を破る (攻撃者の ?cert=... リクエストが、正規ユーザーのリクエストよりも先に処理されるようにする) ような攻撃を構築することは可能なので cert が漏洩する=セッションハイジャックが可能注3になる、と考えなければなりません。 じゃあ、どういう場合に、cert が漏れるか、というこ
結城浩のはてな日記 - はてな認証API / ためしに作ってみました
はてな認証APIが公開されましたので、ためしてみました。 懸念事項 なおやさんところ経由ではてな認証APIの公開について(開発者さま向け)を読んで感じたこと。 おそらくすぐに「はてな認証APIで○○を作ってみました」的なものが登場するでしょう。おもしろいアプリが登場することを期待。 ただし、一般ユーザにきちんと認識させないと、悪意のある第三者が一般ユーザのパスワードを奪うアプリを作ってしまう危険性があります。たとえば「はてな認証APIを利用しています」と偽って、「ログイン名とパスワードを入力させるフォーム」を見せるアプリが出た場合、ユーザは誤解しないか。 それから…解説した図がほしいです。→認証部分のシーケンス図は結城が描きました(このエントリの下の方で公開しています)。 結城さんちのはてな認証APIテスト 追記:2006-04-24 21:09: とりあえず、作ってみました。以下をお試し
セキュリティホール買います - ぼくはまちちゃん!
webサービスのバグとかセキュリティホールみたいなのって、 あらかじめ全部ふさいでおくのなんて無理な話なんだよね…! できるだけそういう穴が無いようにプログラムを組んでいくのって 実際すごく難しかったり泥臭かったりする作業なんだと思うよ! しかも、はてなみたいな自由度の高いサービスならなおさらだよね! (それなのに、はてなってすごくしっかり作ってあると思うんだけど!たぶん…!) かといって、テストとか穴探しだけのために人材を用意できるかっていうと それも判断が難しいところなんじゃないかな、と思うんだ…! きっと大きな企業でもないと、なかなか、そこまでまとまったお金のかけにくい部分なんじゃないかな! 幸い、はてなは、コンピュータ20年くらいいじってるようなパワーユーザーちゃんから 愛されてる感じだから「ここ穴があいてるよー」みたいな報告をユーザーからもらえたりすることも多いのかな。 だけどそ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
はてな 【本当ですか?】 日記をプライベートモードにされているユーザの皆様。 『はてラボのはてなSNS(http://sns.hatelabo.jp/)で、はてなダイアリーを ・・
ぼくはまちちゃん!(Hatena) - 日記を自動的に書いてくれる日記
