to all users' MovableType
-
#
2005/05/14 00:00
ishinao
「旅行びと日記」日記: いっぱい叩かれてしまった訳ですが-
URL
[ bROOM.LOG ! ]: いっぱい叩かれてしまった訳ですが
→1 links
http://tdiary.seesaa.net/article/3630283.html#comment
『ただそれが最後まで「脆弱性」として扱われるのは、私の感覚とはずいぶん違っているので、そのあたりのずれを修正(あるいは私の方の感覚が間違っているならそれを修正)するために、あのような記事を書いています。』
-
URL
[ bROOM.LOG ! ]: いっぱい叩かれてしまった訳ですが
→1 links
-
#
2005/05/14 00:00
ishinao
Movable Type の脆弱性の件 : NDO::Weblog-
URL
Movable Type の脆弱性の件 : NDO::Weblog
→2 links
http://naoya.dyndns.org/~naoya/mt/archives/001688.html#comments
『改善するべき問題ですけど、これを脆弱性というと、secure Cookieを使った認証維持以外の方法すべてが脆弱性になってしまいそう。』
-
URL
Movable Type の脆弱性の件 : NDO::Weblog
→2 links
-
#
2005/05/14 00:00
ishinao
[Blog全般] Movable Type 3.151以前のセッションハイジャック脆弱性問題-
URL
[ bROOM.LOG ! ]: Movable Type 3.151以前のセッションハイジャック脆弱性問題
→1 links
http://tdiary.seesaa.net/article/3600409.html
この人が報告者らしい。けど、これはやっぱり脆弱性じゃーないだろう。より安全性が高い設計が望ましい仕様ではあるけれども、これを脆弱性といったのでは、セッションCookieすべてが脆弱性にならないか? 度合いの問題ってだけだし。
-
URL
[ bROOM.LOG ! ]: Movable Type 3.151以前のセッションハイジャック脆弱性問題
→1 links
-
#
2005/05/13 00:00
ishinao
Tociyuki::Diary - MovableTypeの不正アクセス対策前のクッキー-
URL
Tociyuki::Diary
→1 links
http://d.hatena.ne.jp/tociyuki/20050513/1115961428
なるほど、Cookieに記録している内容自体がやばいって話がメインなのね。平文パスワードじゃない分ちょっとはましだけど、無期限にあちこち(Web/Atom API等)で使える認証キーをそのまんまCookieに載せていたと。
-
URL
Tociyuki::Diary
→1 links
-
#
2005/05/13 00:00
ishinao
Movable Type の脆弱性の件 : NDO::Weblog-
URL
Movable Type の脆弱性の件 : NDO::Weblog
→2 links
http://naoya.dyndns.org/~naoya/mt/archives/001688.html#comments
『「漏れてはまずいから漏れないようにしている情報が、もしも万が一漏れたら危険なことになりますよ」ってのはふつう脆弱性情報じゃないと思いますし、それを脆弱性と言うのだから他にも何かあるのかなー、と。』
-
URL
Movable Type の脆弱性の件 : NDO::Weblog
→2 links
-
#
2005/05/12 00:00
ishinao
Movable Typeで第三者の不正アクセスを許可してしまう脆弱性-
URL
Movable Typeで第三者の不正アクセスを許可してしまう脆弱性
→2 links
http://bb.watch.impress.co.jp/cda/news/9554.html
いまいちわからん。Atom APIの認証でも使っているにしても、基本的にWeb管理ツールの認証Cookie漏れた時点で十分やばい(Web管理ツールで詐称ログインされる)んじゃないの? そっちは対策してあるってことかな?
-
URL
Movable Typeで第三者の不正アクセスを許可してしまう脆弱性
→2 links
