Evernote の XSS 脆弱性に関して mala 氏のつぶやき
-
- いいね!77
mala
@bulkneets
調べたところIEで警告が出るのでXSSフィルタを無効にしろとアナウンスしてる http://bit.ly/fFhQuh アホか、実際にXSSがあるんだよ http://bit.ly/hVGieW
2011-04-18 16:10:24
mala
@bulkneets
XSSフィルタの挙動はサーバー側でX-XSS-Protectionヘッダを送ることでコントロールできるので、ユーザーにXSSフィルタを無効にせよと案内しているサービスは「確実に」おかしい。
2011-04-18 16:50:37
mala
@bulkneets
RT @prowreslove610: ずっとやろうと思ってたんだけどさ、自分が使ってるいろんなWebサービスやツールのIDやらパスワードをEVERNOTEで一つのメモにまとめてサーバーに保存しておいたよ。これで無くなることも不明になることもない。ふぅ、安心。クラウド最高。
2011-04-18 19:37:50
mala
@bulkneets
RT @yduke: @atsushichan 普段あまり使わないパスワードは、テキストとしてEvernoteに保存して完全クラウド化!自宅内外で触れるPCの違いは、キーボードとマウスの使用感くらいなものです。
2011-04-18 19:37:57
mala
@bulkneets
RT @Evernote_fans: 「クラウド化」欠点: めだまカフェ日記: クラウド化の便利な面を知って、Evernoteを個人用のID、パスワード保存場所として使う話もききます。つまりパスワードマネージャとしてEvernoteを使うやりかたで... http://bit.ly/bCncTp #evernote
2011-04-18 19:38:10
mala
@bulkneets
RT @shuheil0ve: Evernoteはパスワード保存に使ってるな。出先からサイトのパスワードとか確認できるし、サイトの登録完了画面のスクショ撮って保存すれば簡単だし。 その代わりEvernoteのパスワードばれたら終わりだけど。
2011-04-18 19:38:25
mala
@bulkneets
RT @suiten: Evernoteでのパスワード保存は、暗号の強度(と通信路秘匿とサーバ側での暗号化状態)がクリアならまあこれで良いんだけども…。なんか中の人には丸見えだったりしたら嫌だなぁ。
2011-04-18 19:38:30
mala
@bulkneets
RT @moyomoto321: 無線LANの接続、パスワードなんやったっけーとしばらく悩んだ後、evernoteに保存してたのを思い出した!クラウド万歳!
2011-04-18 19:38:36
mala
@bulkneets
いざという時にEvernoteにいれておくと便利な情報 | nanapi [ナナピ] http://t.co/WSXiVYP via @nanapi
2011-04-18 19:41:04
mala
@bulkneets
"evernoteにデータを入れるのと、個人情報を財布にいれて持ち歩くリスクは大差ない気がするんですよねえ" http://bit.ly/i8Kd5b
2011-04-18 19:42:30
mala
@bulkneets
手元のIE9で試したところ画像表示するのはXSSフィルタ反応しなかった。script混入しようとするのは(迂回策あるかもしれないが)ブロックされる。
2011-04-18 21:16:48
mala
@bulkneets
evernoteのパスワードevernoteに入れておいたらevernoteのXSSでevernoteのパスワードが流出するリスクが増加しますよ
2011-04-18 23:17:23
mala
@bulkneets
外部サイトのscriptを実行するexploitをつくって自分で踏んでみたけど、こういうの悪用された形跡がありますとか連絡絶対来ないよね。厳格にやるならPOSTパラメータも全部ログとっておかないと無理。
2011-04-18 23:21:24