 
|
はてなキーワード: XSSとは
バージョン2.1.8で実装された「reflected script inclusionに対する保護」機能で上記エラーが出る場合
about:config の
noscript.xss.checkInclusions を false に変えるか
noscript.xss.checkInclusions.exceptions に許可したいドメインを入力する
セキュリティ対策めんどくさい
発想がおもしろい。
意図しない行動をさせるトリガーが部屋に混入されていたのがXSSに該当するのね。
攻撃者に権限を悪用されて本人の意図しない処理を実行させられてたとしたら、XSRF攻撃もあったのだろうね。
人間に脆弱性があるのは確かで、悪意のある加害者によって自身の不利益になることをさせられてる人は世の中に多く居るよね。
現実に混入されてるのは、ブラウザにとってのスクリプトのように、人の行動に影響を与えうる情報なのだろうと思う。
本人に意識されない形でそれを行うのは高度な技術だと思うけど、なくはない。
本人の意思に反する行動をさせるのは、特殊な状況が必要だけど不可能ではないだろう。
「お前、なんでこんなことしたんだ。会社に恨みでもあったのか?」
……ええ、そりゃありましたよ。
派遣先の現場じゃあチームリーダーの社員は威張り放題、自分達の仕事まで構わず押し付けてさっさと帰りやがる。『高い金を払ってお前らをここに座らせてんだぞ』とか罵倒されますけど、俺達の給料なんてあいつらの給料に較べれば話にもなりませんでしたよ。アゴで使われたい放題だ。
「それであんなことしたのか」
オープンにTwitterで会話してるように見せてる会長に伝えてだってみたんですけどね。無視ですよ。都合の悪いことは。
だからやったんです。後悔? してませんよ。するわけないでしょう。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
恨み? いや別にありませんでしたけどね。待遇はまあ良かったし、給料だって悪くはなかったですよ。残業もないし仕事はラクだったしね。飽きたから辞めることにしたんですけど、あんまり無防備な会社だったんで何でもできそうで、ついね。面白そうだったんで。
「それであんなことしたのか」
ええ。当日の騒ぎはしっかり見てましたよ。超面白かったですね。
ただ誰にも自慢できなかったのが残念だけどさー。なんでバレたんすかね? バレるんだったらやんなきゃよかったな。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
元々体が弱くてね、休みがちだったんですよ。それでも有給休暇の日数のうちだったんですけど、派遣会社のマネージャーからひどく文句を言われましてね。遠回しに退職を要求されるようで。それで、せいぜい派遣元に迷惑かけてやろうと思ったんです。
「それであんなことしたのか」
ええ。後悔? してませんね。あの会社もこれで切られるでしょ。ざまあ見ろだ。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
恨み? いえ、恨みじゃないですね。待遇は良かったです。働きやすい職場でした。
なんでかって、ある日ですけどね、オペレータ、自分達が使ってる端末にひどいセキュリティホールを見付けちゃったんですよ。悪用されりゃ世界中のどこからだって侵入可能なようになってた。XSSってご存知ですか? ネットで悪質なリンクをオペレータに踏ませれば何でもできるな状態で……ああ、お分かりにならない? ええまあ、危険な状態だったんです。
それで上司に、派遣元のチームリーダーに言ったんですけどね、叱責されたんです。そんなことはお前の仕事じゃないと。握りつぶされました。
「それであんなことしたのか」
そうですね。一度どうにかして分からせないと、と思って。回線が繋がらないくらい、顧客情報がなんでも持っていかれることに較べれば大したことじゃないでしょ? これで分かってくれるならね。後悔? してませんね。技術者として正しいことをしたと思ってます。
「お前、なんであんなことしたんだ。会社に恨みでもあったのか?」
……………。
「何とか言え! なにか思うことがあってやったんだろう!」
……。
……………。
「おい、答えろ! おい!」
(大規模な障害は携帯キャリアそのものに対するイメージを悪くする。あの会社も裏では酷いことしてやがるよな。
捕まっても動機を何も言わなければ、マスコミでもネット上の素人でもが好き放題に推測して書き立ててくれる。恨みを持たれるような会社、愉快犯に簡単に破壊活動を受ける脇の甘い会社、質の悪い派遣社員を使っている会社、なんでもありだ。否定しなきゃ勝手に全部の可能性を考える分、余計にイメージが悪くなって、依頼元が利益を受ける。
あとは日が経ってマスコミが忘れた頃、裁判の上で業務上過失にしちまえるように動機と手順を並べれば、俺もさっさと解放されるだろ。やれやれ、ま、悪くない商売だな。)
「PVを稼いで注目されることが全てで他のことが何も見えなくなる」という病理が発見されたとしたら、まず代表症例として扱われるべき人がえがちゃんだと思います。
その病状は末期ガンどころか、体中の細胞がガン細胞にとってかわられて、新しい生命の誕生をNASAが報告するレベルです。
http://web.archive.org/web/20010815160540/www2.mwnet.or.jp/~toshi86/cgi-bin/bbs/light.cgi
ネットラジオ運営者の喪に服している掲示板で堂々とネットラジオ応援サービスの宣伝をするえがちゃん。
さながら葬式会場に乱入するDJのごとし。おそらく周りの人間がどう感じるか、ということは考えていません。
プロフ.in 可愛いブロガーを探そう という「ネットに公開されている女性の画像と連絡先を検索して一覧できるサービス」を立ち上げます。
「公開されているとはいえ、男性からのアタックに辟易している女性が多い中で、あえてそれを助長するサービスを立ち上げる。のはどうなの?」
というはてな界隈の批判なんてなんのその。XSSの脆弱性を指摘されても、反省することはありません。
注目されることが全てであるアテンションエコノミーのウェブでは、この騒動が彼をさらに有名人にしていきます。
はてな上で批判していた人間にもskypeで本名を聞き出した上で、執拗に粘着します。被害者がたまりかねてネットにログをあげると、えがちゃんはグループチャット上で被害者の本名を名指しして「消して!なぜなら俺が消して欲しいから」と騒ぐ始末。
http://itkz.blogspot.com/2008/10/egachan.html
「他人のつくったウェブサービスをあたかも自分がつくったように宣伝するな!」と批判した人は→http://itkz.blogspot.com/2008/10/egachan.html
ハムスター速報の管理人と飲みました!と写真を公開するも、ハムスター速報管理人本人が捏造を指摘。
リンクのRTという体裁をとって「ハム速はカスまとめブログ とっとと死ね」。
http://favotter.net/status.php?id=15738522510032896
海老蔵でもビビるくらいの傲慢不遜さ、彼の脳みそには「悪いことをしたら反省する」という社会的なAPIがないんでしょう。
他人のおもしろツイートを発信者非表記でパクり、あたかも自分をおもしろツイートできる人物に演出します。
追求されると「RTをメモがわりに使っていた。」と苦しい言い訳をしますが、
・発信者元を表記しなかったこと
・パクリ元では「2万のフォロワー」になっていた部分を自分のフォロワー数にあわせて「1万のフォロワー」に書き換えている
という矛盾が生じます。要するに、程度の低い言い訳です。押尾学がつくったワースト言い訳アワードを一瞬にして塗り替えるとはさすがとしかいえません。
ひとりごとツイートでfrancesco3氏の発言を捏造する。ウェブで飯を食っている人の発言を捏造するって、今、京大で流行の偽計業務妨害罪に余裕でヒットするとおもうのですが、自らのネット評判を死守するためにはそんなことお構いなしです。彼の脳みその知恵袋には何も入っていないのかと疑いたくなる行動です。
Fri Mar 04 06:52:12 +0000 2011
@francesco3 はい!すぐに行きます!あの人よりもいい記事書きます! @egachanありがとうございます!では、今日とかMTGできますでしょうか? @francesco3 興味あります! @egachan すみません、ちなみに編集長とかって興味とかって興味ありますかね?
http://anond.hatelabo.jp/20110304170215
http://anond.hatelabo.jp/20110304162935
剽窃、捏造、罵倒、粘着、名誉毀損、無反省というクズ行動のロイヤルストレートフラッシュのえがちゃんですが、
今日も偏向ウェブサービスで元気にPVを稼いでいます。多分、今回の非モテタイムズのめがね王氏の事件もめがね王を切って、なかったことにしようと画策しているように見えます。
公式ブログのめがね王氏解雇の文章にもfrancesco3さんへの謝罪の言葉は一切ありません。
たしかに、えがちゃんのウェブサービスへの熱意や行動力は尊敬に値するものがありますし、若い起業家を執拗にこき下ろすのはどうか?という意見は一理あると思います。けれども、正しい目的の為の行為でも他人に迷惑をかけたら糾弾されるべきでしょう。いくら自分の犬を愛していて自由奔放に散歩させたいと言っても、公園で寝ている人の顔面に糞をひり出したら公園から追放されても文句がいえないのと同じです。
ルールをまもる気がない人間をゲームにいれていたら、ゲームがなりたたなくなるので、さっさと追放したほうがいいと思います。
えがちゃんのやっている行為はサッカーでボール抱えてゴールに雪崩込んで「ゴール!」と言っているのと変わりません。
とはいっても、はてなーでは何も出来ないので、えがちゃんを間接的にフィードしているヤフー、エキサイト、ライブドアに
非モテタイムズを配信元から削除するようお願いするしかないのかなと思います。
エキサイト https://sec.excite.co.jp/help/support
ヤフー http://netallica.yahoo.co.jp/guide/
僕らができるミクロレベルでは非モテ界隈のエントリーやサービスは意地もブクマしないことです。
このエントリーの本質はネット炎上マーケティングと変わりませんが、ホットココアは現状、ただの吐瀉物をまきちらかすゲロ袋なので、ちゃんと対処しないとはてブがゲロまみれになって、金曜深夜の新宿駅の柱付近みたいになるので、今のうちに対処するのは悪いことじゃないと僕は思います。
おわり。
893 名前: 動け動けウゴウゴ2ちゃんねる [sage] 投稿日: 11/01/06 23:16 ID:1JmUtdSc
・東日本が削除人の作業時のログを見つける。http://be.2ch.net/test/sss/hoop.dat
・これは誰がいつ削除したかがわかる程度だが、/test/sss/以下の全ファイルリストがApache設定ミスで閲覧できた。
・しかもbe鯖のsss/以下にはなぜかcgiが拡張子なしで置かれてた。つまりソースが見れる。ファイル名からして2005年から放置。
・それを見つけたモペキチは元の現在動いてるcgiスクリプトを探し出し、それに対してソースを元にコマンド実行。
・そのcgiも糞で、パスワードなしで2chの全キャップが入手でき、他にもパスなしで板移転やファイル一覧取得も可能だった。
・いろんな人がそれを実行した。板移転もやりたい放題、キャップも全部ばれたのでお止めも自由。
・しかもファイル一覧取得にもバグがあり、そこからOSのコマンドを叩くことも可能。全部のcgiソースを入手可能。
・つまりcgiの権限であればウイルス設置からファイル削除も可能。最悪この前のbeみたいに鯖が真っ白になりかけた。
・もちろんこのバグは全鯖共通で持ってるので過去の鯖でも実行可能。どこまでやられたかは不明。
151 名前:動け動けウゴウゴ2ちゃんねる :2011/01/06(木) 23:18:51 ID:XUdh8QWJ0 2BP(1029)
2ちゃんが終われば ●は使えなくなるぜw
152 名前:動け動けウゴウゴ2ちゃんねる :2011/01/06(木) 23:20:38 ID:i/2sgrer0
897 名前: 動け動けウゴウゴ2ちゃんねる [sage] 投稿日: 11/01/06 23:17 ID:1JmUtdSc
まとめ2/2
・FOX ★「わしゃ何も困っていないけど?」ってことで訴える気ゼロで帰った。つまり逮捕はおそらくなし。
・復旧するにはbbs.cgiから全部書き換えることが決定。とりあえず明日以降作り直すことを決めて運営陣解散
結果的にやられたことは
・勝手に板移転。板移転のメッセージを変え放題だったのでそこにグルーポンへ飛ばすコードやらXSSやらウイルスとか突っ込まれた。
・キャップが漏れまくりなので書き込みし放題。現在はキャップは全部停止。
・cgiリストが見れた上キャップパスも出たので削除や芋ほり(ログ開示)もし放題。これも現在読み書き以外のcgi全部停止。
・全鯖に削除や何かするプログラムを置かれた可能性もありうる。導入する時間は十分あったが、入ってないことを祈るだけ。
・今回の犯人はいつものモペキチと東日本、他ROMの人多数。ただ訴える気ゼロなのでほぼ間違いなく逮捕なし。
見てきました
http://anond.hatelabo.jp/20110106232404
http://anond.hatelabo.jp/20110106231708
どっかの動画投稿サイトの動画ソースをそのまま利用して、コメントつけられるようにしたニコニコの3番煎じぐらいのひまわり動画って知ってる人いる?
なんだかIDつくってログインできるらしいんだけど、そのなんだ…
IDとパスワードが平文でCookieに保存されているの気づいてたか?
でも、パスワード忘れたときのためにってパスワードリマインドの機能があるんだが…
http://himado.in/?mode=forgetname
こえー、マジこえー。
まぁ、いいんだけど。
え?他のサイトと同じにしてる?
いやいや、そんなに信用しちゃっていいの?
XSSやCSRFで漏えいとか以前に、自分のIDとパスワードを他のサイトで入力されてるかもしれないぞ!
こえー、マジこえー。
なにが言いたいかというと
twitterのXSS脆弱性が露呈してちょいとした騒ぎになっているので表の世界ではあまり知られていないXSS四天王について軽くメモしておく。
日本人。今回のXSS脆弱性騒動を引き起こした男。表の顔はライブドア所属のサラリーマンだが夜になると7色の言語を操り電脳社会を駆け回る。推定27歳。一件のXSS脆弱性報告で15000円を稼ぎ白金台にXSS御殿を建てる。四天王序列は最下位でありお馴染みのテンプレ「●●がやられたか…」「ククク…やつはしょせん我ら四天王の中では捨て駒よ…」の●●に当てはまる男。得意技は『デスマーチ』。
日本人。表の顔はサラリーマンプログラマ。推定10代。数年に一度XSS脆弱性を用いたあいさつブームを日本中に引き起こす四天王序列No.3。伝説のXSS愛好家はまちーの息子。必殺技は『HelloAgain』。
アメリカ人。故人。表の顔はポップスター。子供のころ「ABC~♪」と連呼していて無機質なアルファベットと記号を組み合わせることでXSSが発生する事に存在に世界で初めて気付いた開拓者。
XSS界最大の壁Google社の脆弱性発見直後に謎の死をとげる。満50歳没。晩年の四天王序列は2番目であった。必殺技は「FaceEdit」
故人。日本をXSS先進国に引き上げた功労者。愛用機はシグマリオン3。ライブドア時代に髭男爵DanKogaiとの社内権力闘争に敗れ下野、裏社会でXSSを駆使して頭角を現し四天王トップに10年君臨する。後継者Hamachiya2の台頭を見届けるように2009年ひっそりとこの世を去る。必殺技は盟友TakagiHiromitsuとの連携技「Don't say sanitizing!」
こちらははてなサポート窓口です。 このたび、ご利用いただいているはてなダイアリーにつきまして はてな利用規約に抵触する内容が掲載されていることが確認されましたため 勝手ながら当該ダイアリーを非公開状態にする措置を行わせて頂きました。 これは、ダイアリー内に下記のいずれかの内容が掲載されていたことによります。 ・はてなの承認していない広告リンク ・副業の勧誘や情報商材の販売などを目的としたリンク ・倫理的に問題のある内容、成人向け情報、ポルノ、風俗情報など ・多数のキーワードリンクを意図的に掲載し別サイトへの誘導を行う、 あるいは隠しリンクなどで検索順位の操作を行うなど、スパム行為と みなされる内容 ・犯罪に関わる内容、法令に違反する内容 ・複数のメインアカウントを取得しての利用 ・そのほか、はてなが不適切であると判断する内容 はてなでは、利用規約(6)禁止事項にて以下のように定めております。 「1-7.その他犯罪に関わる行為あるいは法令に違反する行為」 「2-3.倫理的に問題がある低俗、有害、下品な行為、他人に嫌悪感を 与える内容の情報を開示する行為。ポルノ、売春、風俗営業、これらに 関連する内容の情報を開示する行為。」 「3-1.宣伝や商用を目的とした広告・勧誘その他の行為。ただし、当社が 各サービスのヘルプに別途定める場合はその限りではありません。」 「3-2.ユーザー名を共有する行為、当社の許諾無く1人でメインアカウントを 複数保有する行為、当社が許諾する数を超えるサブアカウントを保有する行為」 「8.ユーザーは、以上の各項の他、当社が不適切であると判断する行為を 行ってはなりません。」 http://www.hatena.ne.jp/rule/rule#kiyaku06 もし、今後、はてなを個人的に非営利でご利用いただきたいという場合は、 ご利用のアカウントを削除していただき、再度、ご入会いただきますよう、 どうぞよろしくお願い申し上げます。 ========== はてなサポート窓口 support@hatena.ne.jp ==========
学内Webメールシステムが、もろにCSRF&XSSのよわよわのシステムでした。NEC系のメーカーのASPだったようだけど。
WebメールにXSS&CSRFがあるというのは本当に最悪で、「開いただけでメールボックスやアドレス帳が全部どこかに送信されてしまう」ような攻撃メールが作れてしまうことを意味します。
で、担当部門がどこだかわからないのでメディアネットワークセンターというそれっぽい部署に教えてあげたんだけど、とにかく反応が遅い。対策の第一段階は即日システム停止することですよ、とまで書いてあげたのに。
2ヶ月たって何も修正がされないので、研究室内のゼミで発表してみました。情報系でも、知らない人はCSRFとか全然知らないからね、うちアルゴリズム系なのでみんな「Webってこんな攻撃ができるのか」って感心。教授はあわててどこかに電話。
そしたらすぐに、「どこがそんなにまずいのか」と相談の電話が折り返されてきて、(即時停止レベルだって教えたじゃん)と思いつつも、「このメールを開いた後、自分の送信箱を見てご覧なさい。見覚えのないメールが送信されていませんか?」と攻撃例を教えてあげました。寸止めかんちょー。
これで即時停止だろうと思ったら、結局それから4ヶ月間修正が入らないまま運営が継続、そして「これで直りましたよね」と連絡が来たのでテスト環境版を試してみると、この「修正版」は script タグを無効にするだけで onload とかまったく手を付けないザル修正でした。
それを指摘したらしぶしぶイベントトリガ系も消してくれたけど、CSSXSSとか不完全Shift-JIS文字とかexpressionとか知りもしないんだろうなー。セキュリティのこと知らないなら、HTMLメール扱う機能ごとばっさり削除が唯一の正解です。
本気でかんちょーしようと思えば簡単でした。自己増殖メールを誰かにぽんと送るだけでたぶん3日以内にメールシステムは麻痺して、実質停止に追い込めたはず。あ、それじゃかんちょーどころか直腸裂傷か。でも、それで全員のクオータがあふれてしまえば真に悪意のある攻撃メールを受信する余地なくなるし、セキュリティを保護できたことにならないかな。
で、本当にそれをしなかった理由はひとつだけ、攻撃テストメールを自分に送りまくっていたことがメールログに絶対残っているし、それで犯人とばれて退学とかいやだったから。うちの大学は中退じゃなきゃハクがつかないんです。
タダゲ厨は激怒した。必ず、かの邪智暴虐(じゃちぼうぎゃく)の運営を除かなければならぬと決意した。タダゲ厨にはネットがわからぬ。タダゲ厨は、モバゲー村の牧人である。笛を吹き、羊と遊んで暮して来た。けれども課金に対しては、人一倍に敏感であった。
きょう未明タダゲ厨は村を出発し、野を越え山越え、十里はなれた此(こ)のミクシィのサンシャイン牧場にやって来た。タダゲ厨には金も、学も無い。彼女も無い。十六の、内気な妹と二人ギルドだ。
この妹は、村の或る律気な一牧人を、近々、花婿(はなむこ)として迎える事になっていた。結婚式も間近かなのである。タダゲ厨は、それゆえ、花嫁の衣裳やら祝宴の御馳走やらを買いに、はるばる市にやって来たのだ。
先ず、その品々を買い集め、それから都の大路をぶらぶら歩いた。タダゲ厨には竹馬のマイミクがあった。セリヌンティウスである。今は此のミクシィのコミュニティで、管理者をしている。そのマイミクを、これから訪ねてみるつもりなのだ。久しく逢わなかったのだから、訪ねて行くのが楽しみである。
歩いているうちにタダゲ厨は、まちの様子を怪しく思った。ひっそりしている。もう既に日も落ちて、まちの暗いのは当りまえだが、けれども、なんだか、夜のせいばかりでは無く、市全体が、やけに寂しい。のんきなタダゲ厨も、だんだん不安になって来た。
路で逢った若い衆をつかまえて、何かあったのか、二年まえに此のミクシィに来たときは、夜でも皆が歌をうたって、まちは賑やかであった筈(はず)だが、と質問した。若い衆は、首を振って答えなかった。
しばらく歩いて老爺(ろうや)に逢い、こんどはもっと、語勢を強くして質問した。老爺は答えなかった。タダゲ厨は両手で老爺のからだをゆすぶって質問を重ねた。老爺は、あたりをはばかる低声で、わずか答えた。
「なぜ課金するのだ。」
「サービスの質を高める、というのですが、誰もそんな、質を求めては居りませぬ。」
「はい、はじめはセルフィちゃんねるを。それから、サンシャイン牧場を。それから、RockYou! スピードレーシングを。」
「おどろいた。運営は乱心か。」
「いいえ、乱心ではございませぬ。サーバーを、維持する事が出来ぬ、というのです。このごろは、ユーザーの心をも、お疑いになり、少しく派手な書き込みをしている者には、書き込みを削除するよう命じて居ります。御命令を拒めば審査にかけられて、アカウントロックされます。きょうは、六人ロックされました。」
聞いて、タダゲ厨は激怒した。「呆(あき)れた運営だ。生かして置けぬ。」
タダゲ厨は、単純な男であった。IPを、さらしたままで、のそのそ田代砲をしかけていった。たちまち彼は、巡邏(じゅんら)の警吏に捕縛された。調べられて、タダゲ厨の懐中からはXSSが出て来たので、騒ぎが大きくなってしまった。タダゲ厨は、運営の前に引き出された。
「このXSSで何をするつもりであったか。言え!」運営は静かに、けれども威厳を以(もっ)て問いつめた。その運営の顔は蒼白(そうはく)で、眉間(みけん)の皺(しわ)は、刻み込まれたように深かった。
「ミクシィを暴君の手から救うのだ。」とタダゲ厨は悪びれずに答えた。
「おまえがか?」運営は、憫笑(びんしょう)した。「仕方の無いやつじゃ。おまえには、わしの苦労がわからぬ。」
「言うな!」とタダゲ厨は、いきり立って反駁(はんばく)した。「人の心を疑うのは、最も恥ずべき悪徳だ。運営は、ユーザーの忠誠をさえ疑って居られる。」
「疑うのが、正当の心構えなのだと、わしに教えてくれたのは、おまえたちだ。ユーザーの心は、あてにならない。人間は、もともと私慾のかたまりさ。信じては、ならぬ。」暴君は落着いて呟(つぶや)き、ほっと溜息(ためいき)をついた。「わしだって、平和を望んでいるのだが。」
「なんの為の平和だ。自分の収入を守る為か。」こんどはタダゲ厨が嘲笑した。「罪の無いユーザーをバンして、何が平和だ。」
「だまれ、下賤(げせん)の者。」王は、さっと顔を挙げて報いた。「口では、どんな清らかな事でも言える。わしには、人の腹綿の奥底が見え透いてならぬ。おまえだって、いまに、アカウントロックになってから、泣いて詫(わ)びたって聞かぬぞ。」
「ああ、運営は悧巧(りこう)だ。自惚(うぬぼ)れているがよい。私は、ちゃんとバンされる覚悟で居るのに。命乞いなど決してしない。ただ、――」と言いかけて、タダゲ厨は足もとに視線を落し瞬時ためらい、「ただ、私に情をかけたいつもりなら、バンまでに三日間の日限を与えて下さい。たった一人の妹に、亭主を持たせてやりたいのです。三日のうちに、私はギルドで結婚式を挙げさせ、必ず、ここへ帰って来ます。」
「ばかな。」と暴君は、嗄(しわが)れた声で低く笑った。「とんでもない嘘(うそ)を言うわい。逃がした小鳥が帰って来るというのか。」
「そうです。帰って来るのです。」タダゲ厨は必死で言い張った。「私は約束を守ります。私を、三日間だけ許して下さい。妹が、私の帰りを待っているのだ。そんなに私を信じられないならば、よろしい、この市にセリヌンティウスというユーザーがいます。私の無二のマイミクだ。あれを、人質としてここに置いて行こう。私が逃げてしまって、三日目の日暮まで、ここに帰って来なかったら、あのマイミクをバンして下さい。たのむ、そうして下さい。」
それを聞いて王は、残虐な気持で、そっと北叟笑(ほくそえ)んだ。生意気なことを言うわい。どうせ帰って来ないにきまっている。この嘘つきに騙(だま)された振りして、放してやるのも面白い。そうして身代りの男を、三日目にバンしてやるのも気味がいい。人は、これだから信じられぬと、わしは悲しい顔して、その身代りの男をアカウントロックに処してやるのだ。世の中の、正直者とかいう奴輩(やつばら)にうんと見せつけてやりたいものさ。
「願いを、聞いた。その身代りを呼ぶがよい。三日目には日没までに帰って来い。おくれたら、その身代りを、きっとバンするぞ。ちょっとおくれて来るがいい。おまえの罪は、永遠にゆるしてやろうぞ。」
「なに、何をおっしゃる。」
「はは。いのちが大事だったら、おくれて来い。おまえの心は、わかっているぞ。」
タダゲ厨は口惜しく、地団駄(じだんだ)踏んだ。ものも言いたくなくなった。
竹馬のマイミク、セリヌンティウスは、深夜、運営に召された。運営の面前で、佳(よ)きマイミクと佳きマイミクは、二年ぶりで相逢うた。タダゲ厨は、友に一切の事情を語った。セリヌンティウスは無言で首肯(うなず)き、タダゲ厨をひしと抱きしめた。マイミクとマイミクの間は、それでよかった。セリヌンティウスは、縄打たれた。タダゲ厨は、すぐに出発した。初夏、満天の星である。
あ き た
twitter のタイムラインから流れる都議会選の開票速報を横目に見ながら、時代錯誤な厚みと正方形に近い形状のブラウン管に映る政治家の無表情を装う苦しい顔を見つめると耳に入ってくる電車の音、ほのかな潮の香り、まとわり付くような湿った生暖かい空気を感じるとき、はてな民は自分のたるんだ白い腕が震えていることに気づき、その震えがクーラーもないような部屋や隣の住民が迷惑を省みない音量でサンボマスターがカヴァーした「あの鐘を鳴らすのはあなた」をヘビーローテーションしていることによるものではまったくないことを知る……。
はてな民はなにができるだろうか? 注目エントリー一覧から2chまとめブログの記事を探してきて読みふけること? アイマス動画をマイリストに叩き込んでいくこと? 自分のpostがさまざまなめりっとで取り上げられていないか定期的にチェックすること? ドラえもんに釘宮理恵がゲスト声優で出演したときに「くぎゅううううう」って叫ぶこと? はてなブックマークが付くことを期待して、アルファブロガーの記事を思いっきりDisる記事を書くこと? サブアカウントをプライベートモードで作ってエロサイトをブックマークしていくこと? はてサヲチスレに張り付いて特定個人を攻撃し続けること? 匿名ダイアリで「id:y_arim です。この前、美容室にいったんだけです。美容室。そしたらなんかもうヱヴァの話でいっぱいなんです。」と騙ること? 「リンクは許諾制です」という個人のファンサイトをブックマークして晒し者にすること? ブックマークにブックマークを重ねて、さらにブックマークを重ねて「馬鹿と煙は高いところに登る」とか書かれているコメントを一瞥だにせず、さらにブックマークを重ねること? ライフハック記事をブックマークして、「あとで読む」タグをつけて、あとで読まないこと? 上から目線の非現実的なブコメにはてなスターを連打すること? テレビを見ながら今までにやったことのないやり方でタダごとではない旨さのトマトソースを作ってしまうこと? ヨーロッパ旅行に行く日に空港まで行ってから、パスポートを忘れてしまっていたことに気付くこと? はてなキーワードの「子育て」を含む日記を追いかけて、主婦層の生活を夢想すること? あるいは twitter's fotolife に張り付いてかわいい女の子の写真を探すこと? 将棋オタクの取締役崩れにガツンと一言かますこと? 児童ポルノ単純所持違法問題に口は出すが、金と労力は出さないこと? 自分が炎上したら、プライベートモードに変更してアカウントを削除して何食わぬ顔で3日後にはてなに戻ってくること? 自分の書いた記事をプリントアウトして精神科に持って行くこと? 新サービスの開始と同時に XSS 脆弱性をついて遊ぶこと? あるいは CSRF のトラップを仕掛けること? 一旦ログアウトして、コメント欄で通りすがりざまに袈裟切りすること? 「原作の「櫻の園」は、簡単に言うと女子高生の同性愛を最大のテーマとしています」と書くこと? あるいは、ライトノベルに詳しくないのに「ゼロの使い魔」を「正統的なライトノベル」「非常にオーセンティックな、ライトノベルの鑑のような作品」と書くこと? iPhone を持って便座に座り、一本糞をひねり出すときの息みの勢いで 1get すること? その糞を流す前にプライベートアカウントに乗り換えて 2get して注目エントリー入りする素地を作ること? 流したらお尻を拭かずにパソコンで違うアカウントから 3get して注目エントリー入りさせること? id:finalvent の記事に100文字以内でクドクドとネガコメを書くこと? ネガコメを書きながら Air のトゥルーエンドを鑑賞すること? 病床の子供にネガコメを約束すること? あるいはたんにネガコメをすること……。
だが、できることといえば「死ねばいいのに」タグを付ける、ないしはたんにネガコメする。ネガコメする。ネガコメするのはきもちいい。ネガコメするのはいい。ネガコメはいい。あまったるくネガコメする。ねこのあたまをなでるようにネガコメする。きぬのようになめらかにネガコメする。めをとじてネガコメする。うたいながらネガコメする。きもちよくネガコメする。ブックマーク、きもちいい、ネガコメ、いい。やさしくネガコメする。どきどきしながらネガコメする。もえるようにネガコメする。かわいくネガコメする。さそうようにネガコメする。ネガタグ、めをほそめる、ほほがあがる、ネガコメ、あまったるい。ネガコメする。ネガコメにスターをつける。ネガコメにスター。へんなネガコメにスター。かわいくスター、へんな、ネガコメ、スター。ネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスター、へんな、ネガコメにスター。ネガコメにスターをつける。ネガコメにスター。ネガコメにスターネガコメにスターネガコメにスター、きもちいい、ネガコメにスターネガコメにスターネガコネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスター、あまったるい、ネガコメにスターメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスターネガコメにスター。
はてな匿名ダイアリーの日記本文中のキーワードリンクをクリック
↓
○○○○を含む日記 ページへ。そのページにある、「はてなキーワード: ○○○○とは」をクリック
↓
はてなダイアリーページへ。NoScriptが反応。
[NoScript XSS] 疑わしいリクエストをサニタイズしました。元のURLはhttp://anond.hatelabo.jp/keyword/********]からリクエストされたhttp://d.hatena.ne.jp/keyword/********]。サニタイズしたURL: http://xss:xss@d.hatena.ne.jp/#********
*]
履歴書には、うちには勿体ないような経歴が書かれていたので採用しましたが、
ふたを開けてみたら、
お願いした書類を一ヶ月かかっても書き上げることができないし、
全く困ったもんなんです。
でもね、もうフリーダム過ぎる彼を首にしてしまったら、
次に雇ってくれるところはないんじゃないかと思って、我慢しています。
そんな彼ですが、仕事へのやる気はまるっきりだめでも、
実はセキュリティホール探しを任せたらピカイチってことに最近気付きました。
根気よく使っていれば、長所が見つかるもんです。
このように、うちはエリートの集まりではありません。
Lanタソから、「この子、ニートにしておくのはもったいないですよ」と
頼まれて仕方なく採用したり、公募で採用してもはまちや君のような人しかきません。
それでも、それぞれの長所をうまく活かしてやれば、
大手にだって負けないすごいもんが作れたりします。
日本漢字能力検定協会さんなどの案件が
持ち込まれるのは、その証拠です。
今回も、すごい人は望んでいません。
はまちや君よりも仕事ができれば、御の字です。
でも、期待はしています。
あなたに、うちの会社の将来がかかっているんですから。
仕事はからっきしだめで、職場では突然歌いだしたりするはまちや君も、業務外のセキュリティホール探しでは人一倍盛り上がる影の情報管理部長です。彼をはじめ、みんなXSSが大好きな陽気なメンバーばかりで、勉強会も盛んです。気が向いたときはご近所の他社の方も招待し、総勢10名ほどの大勉強会を催します。とは言え、普段の職場はそんな体育会系なノリでもなく、黙々と仕事に打ち込める環境ですので、オンオフのメリハリをつけて働きたい方にとってはぴったりです。
https://rikunabi-next.yahoo.co.jp/rnc/docs/cp_s01800.jsp?fr=cp_s00900&rqmt_id=0006504823
どう修正してもいいけど、いい機会だからSQLインジェクションとXSSを潰すことをお勧めする。
せっかくなので、ここ2年ほどのさくらインターネットiDC移転を中心に、わかる範囲ではてなサーバ変遷の歴史をまとめてみようと思う。
> 59.106.108.68: mobile.hatena.ne.jp.
> 59.106.108.69: f.hatena.ne.jp.
> 59.106.108.70: rimo.tv.
< 125.206.202.66: mgw.hatena.ne.jp. < 61.196.246.69: b.hatena.ne.jp. < 61.196.246.70: b.hatena.ne.jp.
> 59.106.108.71: mgw.hatena.ne.jp. > 59.106.108.72: b.hatena.ne.jp.
< 221.186.129.148: g.hatena.ne.jp.
> 59.106.108.73: g.hatena.ne.jp.
< 125.206.202.82: search.hatena.ne.jp. < 221.186.129.147: ring.hatena.ne.jp. < 221.186.146.28: a.hatena.ne.jp. < 61.196.246.68: r.hatena.ne.jp.
> 221.186.129.147: search.hatena.ne.jp. > 59.106.108.74: a.hatena.ne.jp. > 59.106.108.75: r.hatena.ne.jp. > 59.106.108.76: ring.hatena.ne.jp.
< 125.206.202.83: d.hatena.ne.jp. < 221.186.129.146: d.hatena.ne.jp. < 221.186.146.29: d.hatena.ne.jp. < 61.196.246.67: d.hatena.ne.jp.
> 59.106.108.77: d.hatena.ne.jp.
> 59.106.108.97: d.hatena.com. > 59.106.108.97: hatena.com. > 59.106.108.97: m.hatena.com. > 59.106.108.97: m.hatena.ne.jp. > 59.106.108.97: s.hatena.com. > 59.106.108.97: s.hatena.ne.jp.
> 59.106.108.80: d2.hatena.ne.jp.
d2.hatena.ne.jpで新しいコメント構造の実験を開始しました - はてなダイアリー日記
< 221.186.129.147: counter.hatena.ne.jp. < 221.186.129.147: search.hatena.ne.jp.
> 59.106.108.81: counter.hatena.ne.jp. > 59.106.108.82: search.hatena.ne.jp.
> 59.106.108.78: w.hatena.ne.jp. > 59.106.108.84: h.hatena.ne.jp. > 59.106.108.84: h.hatena.com. > 59.106.108.98: w.hatena.com.
< 221.186.146.27: www.hatena.ne.jp. < 61.196.246.68: screenshot.hatena.ne.jp. < 125.206.202.66: map.hatena.ne.jp. < 125.206.202.66: i.hatena.ne.jp. < 125.206.202.66: graph.hatena.ne.jp. < 125.206.202.66: q.hatena.ne.jp.
> 59.106.108.86: www.hatena.ne.jp. > 59.106.108.87: screenshot.hatena.ne.jp. > 59.106.108.88: map.hatena.ne.jp. > 59.106.108.89: i.hatena.ne.jp. > 59.106.108.92: graph.hatena.ne.jp. > 59.106.108.99: q.hatena.ne.jp.
< ???.???.???.???: auth.hatena.ne.jp.
> 59.106.108.90: auth.hatena.ne.jp.
長いので省略
> 59.106.108.93: rokuro.hatelabo.jp.
> 59.106.108.102: k.hatena.ne.jp.
> 59.106.108.103: favicon.hatena.ne.jp. > 59.106.108.105: img.b.hatena.ne.jp. > 59.106.108.106: bbeta.hatena.ne.jp.
> 59.106.108.93: bottle.hatelabo.jp. > 59.106.108.93: counting.hatelabo.jp. > 59.106.108.93: news.hatelabo.jp.
ご存じないのですか!?
私は単なる一増田でしかないのだが、なんとなく今日を増田的情報セキュリティの日とすることに決めた。
なぜって、今日は、年末年始という忙しく、そして狙われやすい時期をはさみ、2月2日からきっかり103日前だからである。
決して、はまちちゃんとエガミ君のやり取りがあったとか、増田はセキュリティ関連の話題に乏しいとか思ったからではない。
さて、一口にセキュリティといっても、その幅は広い。まずは定番から攻めるのが定石であろう。何が定番なのかについては、例えば「Webアプリ脆弱性オタがふつーのSEの彼女に脆弱性世界を軽く紹介(ry」などが参考になるだろう。
しかし、たとえば「初心者はPHPで脆弱なウェブアプリをどんどん量産すべし」といったような初心者には、まずは10というよりも1から脱初心者していただくのがよいであろう。
そんなわけで、今年のテーマはXSSとする。繰り返すが、はまちちゃんとエガミ君のやり取りがあったとか、XSS以外のネタが少ないとかではない。
さて、このように、今年のテーマはXSSとなった。それではXSSとは何か、どのように起き、どう対処すればよいのか、そのような実例ちょうど良いエントリが「エガミくんの脆弱性のやつ」である。
さらに、このエントリをよんで、実際に「XSSしたい><」と思った人に読んでいただきたいのは「今昔さっき物語」であろうか。
さて、非常に簡単にXSSについて書いたが、このXSS、実はその他のさまざまな脆弱性の基礎でもある。
出力がHTMLならXSSだが、SQLならSQLインジェクションだし、シェルならコマンドインジェクション、メールヘッダならメールヘッダインジェクション等々になりえる。とくに、初心者にとってシェルは予想外のところで使われているから、気をつけよう。
その他セキュリティに関心があればsecurityタグをお勧めしたい。セキュリティよりもsecurityの方が濃いのである。
悪い大人でも悪いことでもないよ。
やろうと思えばもっともっと悪いこともできるのに、alert出すだけでとどめといてくれてるんだから。
ものすごく優しい、良い人だよ。