Hatena::ブログ(Diary)

やねうらお−ノーゲーム・ノーライフ このページをアンテナに追加 RSSフィード

GT-Rの買取ならここですわ。どこよりも高く買取ってもらえるはず。お勧め!GT-R 買取
電王戦出場記念! 書籍化されたで! 監修したで!(`ω´) 絶版なってしもた Kindle版で復活!! 記事書いたで!
解析魔法少女美咲ちゃん マジカル・オープン!

YaneuLabs / やねうら王公式 / やねうらおにメール / twitter / プロフィール

 | 

2006-02-02 mixi hacks

[][] mixi hacks  mixi hacksを含むブックマーク  mixi hacksのブックマークコメント

自分のホームページ

<img src="http://mixi.jp/show_friend.pl?id=XXXXXX" width=0 height=0> 

と書いたり、CSS

body { 
background: url(http://mixi.jp/show_friend.pl?id=XXXXXX); 
} 

と書いたりするのが流行っている。


こうすると、そのページにアクセスした人のmixiIDがわかるのである。mixiでは本名を入れていたりすることが多いので、どこの誰のアクセスだかバレてしまう。


このように「ユーザーの意図しないところで勝手ユーザー情報が送信されてしまって本当にいいのか?」と思うのだが、この問題は案外根が深そうだ。

え!え! 2006/02/02 17:53 これってXSRFとか言うやつでは。賢いというかなんというか。

ちなみにちなみに 2006/02/02 18:20 つ「http://e-words.jp/w/CSRF.html」

yaneuraoyaneurao 2006/02/02 18:25 はい、CSRFの一種ですネ。実はmixi以外にもこれと同じことの出来る、もっと深刻な問題があるサイトがいっぱいあるんです(´ω`) ここに書くと悪用されるといかんのでこれ以上書けないですけど…。

poponapopona 2006/02/02 18:48 きっと、わるいこのおともだちはずっとむかしからやっているのだけど、こんなにかんたんにできてしまうと、よいこのおともだちもまねできてしまうでわないか。

yaneuraoyaneurao 2006/02/02 18:51 ははは。そうですね。よいこのおともだちもね。

saksak 2006/02/02 19:37 これってクッキーを特定の(mixi.jpとか)ページ以外では無効に
ブラウザを設定していても足跡が残るんでしょうか?
(もしそうならブラウザorHTTP仕様の脆弱性のようなきがするんですが。)

hogehoge 2006/02/02 21:29 まず、前提条件として、mixiにログインしてsessionを発行していて、尚且つ、現在有効なsessionが存在する場合のみ、有効なのでは?

saksak 2006/02/02 21:35 >hoge
言葉足りませんでしたが
その前提あり(mixiログイン中)の場合で、、、

krackmaniakrackmania 2006/02/02 22:15 http://www.privoxy.org/
とか使って上フィルターして置けば良いんじゃないかなあ。

夏樹夏樹 2006/02/02 22:25 早速、書かれてますね(笑

ひさひさ 2006/02/02 22:38 やねさんは何でもhackるのが好きなんですね。
今回のネタは俺も知ってました。自サイトに張れば一種のアクセス解析に使えるのかな?と思いましたが、なんか汚いのでやりませんでした。

fkmfkm 2006/02/03 01:11 <img>タグがたくさんあるともはや「攻撃サイト」になりそうな気が…

yaksayaksa 2006/02/03 05:21 こちらで紹介されてましたね。
http://www.fladdict.net/blog-jp/archives/2005/12/mixi.php

aspxaspx 2006/02/03 09:15 面白いことやってますねえ。他人のHTML/CSSのソース見るのが楽しみです。

ultraultra 2006/02/03 19:10 これはmixi側が修正するべきだと思いますが。http-refererチェックして、mixi.jp経由以外を弾いたりできないんでしょうか。

yaneuraoyaneurao 2006/02/03 19:19 そうやってしまうと、直接ページが開けなくなって不便なんでしょうね…。

hogehoge 2006/02/03 20:46 おそらく、mixi側も認知しているはず。
しかし、それが脆弱性と判断しないのであれば、修正する必要ないですよね。

ultraultra 2006/02/03 23:43 個人的には開発側が想定していない使われ方(しかも悪い)をされる時点で問題ありと思ったので、↑書いたのですが、各自が好きで書いているプロフィールをmixi.jpが守る義務がないのなら、ほっといてもいいのでしょうね・・。ない予感がする・・。

YuYu 2006/02/04 00:07 脆弱性は言い過ぎでしょ

e3475e3475 2006/02/04 02:28 脆弱性かどうかは別として・・・結局、今も昔も莫迦正直にネット上で個人情報晒す方がマヌケってことなのかなぁ・・・んーでも、コレって別にネット上だけじゃねぇな、むぅ・・・

ultraultra 2006/02/04 02:51 mixiのアクセス解析自体が見た人の情報までたどれる機能をつけているので、ふつーの動きなんですよね・・。

wirelesswireless 2006/02/04 16:15 えらい今更感が。

株式会社Nixi株式会社Nixi 2006/02/05 04:58 まぁMixiはこの辺の認識が弱いからな・・・
会員数も多くなって今やゲイとDQNの巣窟でしかないし

 | 

1900 | 01 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2006 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2007 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2008 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2009 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2010 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2011 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2012 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2013 | 01 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2014 | 01 | 02 | 03 | 04 | 06 | 08 | 10 | 11 | 12 |
2015 | 01 | 02 |


Microsoft MVP
Microsoft MVP Visual C# 2006.07-2011.06