to all users' 脆弱性

• # 2005/05/22 00:00 ishinao
  セキュリティ IPA 脆弱性
  その１ edit res
  • URL orz - TOTOROの自堕落 日記 →2 links
    http://d.hatena.ne.jp/magisystem/20050517#1116315079

  まさかIPAって、開発者本人が「仕様」と「脆弱性」のどちらと答えるかを脆弱性かどうかの判断基準として採用しているんじゃなかろうな。と、ちょっと不安になった。じゃなきゃ「開発者が仕様だと答えたから」を理由にしちゃまずいだろう。

• # 2005/05/14 00:00 ishinao
  コ セキュリティ movabletype 脆弱性
  「旅行びと日記」日記: いっぱい叩かれてしまった訳ですが edit res
  • URL 「旅行びと日記」日記: いっぱい叩かれてしまった訳ですが →1 links
    http://tdiary.seesaa.net/article/3630283.html#comment

  『ただそれが最後まで「脆弱性」として扱われるのは、私の感覚とはずいぶん違っているので、そのあたりのずれを修正（あるいは私の方の感覚が間違っているならそれを修正）するために、あのような記事を書いています。』

• # 2005/05/14 00:00 ishinao
  コ MovableType セキュリティ 脆弱性
  Movable Type の脆弱性の件 : NDO::Weblog edit res
  • URL Movable Type の脆弱性の件 : NDO::Weblog →2 links
    http://naoya.dyndns.org/~naoya/mt/archives/001688.html#comments

  『改善するべき問題ですけど、これを脆弱性というと、secure Cookieを使った認証維持以外の方法すべてが脆弱性になってしまいそう。』

• # 2005/05/14 00:00 ishinao
  セキュリティ MovableType 脆弱性
  [Blog全般] Movable Type 3.151以前のセッションハイジャック脆弱性問題 edit res
  • URL 「旅行びと日記」日記: Movable Type 3.151以前のセッションハイジャック脆弱性問題 →1 links
    http://tdiary.seesaa.net/article/3600409.html

  この人が報告者らしい。けど、これはやっぱり脆弱性じゃーないだろう。より安全性が高い設計が望ましい仕様ではあるけれども、これを脆弱性といったのでは、セッションCookieすべてが脆弱性にならないか？　度合いの問題ってだけだし。

• # 2005/05/13 00:00 ishinao
  セキュリティ movabletype 脆弱性
  Tociyuki::Diary - MovableTypeの不正アクセス対策前のクッキー edit res
  • URL Tociyuki::Diary →1 links
    http://d.hatena.ne.jp/tociyuki/20050513/1115961428

  なるほど、Cookieに記録している内容自体がやばいって話がメインなのね。平文パスワードじゃない分ちょっとはましだけど、無期限にあちこち（Web/Atom API等）で使える認証キーをそのまんまCookieに載せていたと。

• # 2005/05/13 00:00 ishinao
  コ セキュリティ movabletype 脆弱性
  Movable Type の脆弱性の件 : NDO::Weblog edit res
  • URL Movable Type の脆弱性の件 : NDO::Weblog →2 links
    http://naoya.dyndns.org/~naoya/mt/archives/001688.html#comments

  『「漏れてはまずいから漏れないようにしている情報が、もしも万が一漏れたら危険なことになりますよ」ってのはふつう脆弱性情報じゃないと思いますし、それを脆弱性と言うのだから他にも何かあるのかなー、と。』