公開: 2009年10月3日16時35分頃 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。 はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。 つまり、こういうことですね。 docomo端末でログインした場合、URLにセッションIDを付加することによってアクセス制御を行うようになっていたその際、他のページへのリンクの箇所には、セッションIDつきのURLが出力されてい
はてなからセキュリティホールを突かれた不正アクセスについての報告があった。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど これは先週の連休中に騒ぎになった件。id:guldeen さんのブックマークコメントが何者かによって改竄されたという事件があったのだ。*1 当初パスワードが推測または盗難されたのではないかという話だったが、実際の手口は、いわゆるセッションハイジャックだったようだ。要するに、 guldeen さんが docomo の携帯電話からはてなにログインした ログインした状態でモバイル版はてなブックマークを利用した ログイン情報を含んだリンクがはてなのサーバの共有部分に残ってしまった 他人がはてなにアクセスした時にそのリンクが表示されてしまう状態だった 誰か(以下 X)がそのリンクをクリックし
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
