  |
はてなキーワード: CSRFとは
一部の部外者(kyoumoeとか、kyoumoeとか、あとはkyoumoeとか)と多くの当事者にとって、はまちちゃんのやり方は迷惑極まりない。
でも、はまちちゃんが脆弱性をいたずら目的で公開することで、その脆弱性が修正され、関連する問題について認知が広まっていることもまた事実。
(恥ずかしながら、私、CSRFを知ったのは「こんにちはこんにちは!」しちゃったのがきっかけですの……)
正しいといわれている手順を踏んだからといって、それが最善のパフォーマンスを出すとは限らないのですよね。
ひろみちゅが超必死になって「サニタイズいうな」とか言って回るより、はまちちゃんが「こんにちはこんにちは!」したほうが効果的だったりするんだから。(あくまでそういうケースがあり得るというだけの話)
ところで、はまちちゃんは人を怒らせることをなんとも思っていないことじゃないかと思う。
こういう人に向かって怒りを顕にしても、スルー力を忌憚なく発揮されてしまいます。それぐらい察しろといいたいところ(怒るのではなく、もっと冷静に対処しようって意味ね)だけど、当人は怒っているんだから無理な相談でした、残念。
というかいっそJavaSript許して欲しくない?
ガチガチに固める理由がわからない。
お金絡むからなのかな?
だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。
JavaScriptを侮っていないか?AJAXが何をやっているか知っているか?
ぼくはまちちゃん!(Hatena) - 【クリスマス特別企画】mixiの「足あと」をはてなで体験してみようね!!がなにをやった?
別ににコメントを残す先、ブックマークする先はどこでもよいんだぞ。〜.jsがCGIで、動的生成されてても構わないんだぞ。
たとえば www.hatema.jp とかとって、そこにログイン画面作ってフィッシングサイトを作る。
捨てアカとって、JavaScriptつかってリンクがそこへ飛ぶ様にしておくエントリを書く。
別アカ幾つかとって、はまちやの手法でフィッシングサイトへ飛ぶそのエントリをホットエントリ入りさせる。
ホットエントリ入りしている人のエントリにフィッシングサイトへの誘導エントリをSPAMする。
そりゃ、多くは引っかからないかも知れない。でも、数%が引っかかってもそこそこの人が被害に合うだろう。
SSL?気にしない人は気にしない。
そんな人は見捨てればいい?そんなはてなが良いのか、きみは?
というか、今回のようなケースは別にCSRFでなくてもいいような気がする。
というか、はてなってGetとPOSTをあんま区別してないよね。
img src="うんちゃらかんちゃら"とかじゃなくても、別に検索エンジンの検索結果とかのリンクを踏ませるだけで悪いことしようと思ったらいっぱいできちゃいそうだね。
でも、はまちちゃんいいやつ。
釣りバカ日誌だと思ってた。
メバチちゃんとかそのうちできるのかな?
・・・あれ?
なんでマグロなんだろう?
こんばんはこんばんは!軒先だけでも結構です。一晩泊めていただけないでしょうか!
盗賊には注意
というかいっそJavaSript許して欲しくない?
ガチガチに固める理由がわからない。
お金絡むからなのかな?
だとしたらSSLまわりをもちっと強化したらいいんじゃないだろうか。
