2011年4月18日

Evernote の XSS 脆弱性に関して mala 氏のつぶやき

要するに、解決されるまではログアウトしとけということだそうデス。 【2011/04/20 12:20 追記】ひゃっはー的なおまけを追加しました。 【2011/04/20 00:30 追記】多分これで最後。以降は Evernote の正式発表を待った上で、それを信用して利用するかどうかは各個人の判断にお任せします。 【2011/04/19 17:05 追記】午後の部追記。なお、エントリを起こされている方がおりましたのでご紹介。>『bulkneets氏によって報告されたEvernoteのXSS脆弱性とは 危険と対策』( http://d.hatena.ne.jp/pichikupachiku/20110419/1303158373 ) 続きを読む
132
mala @bulkneets

胡散臭い連中が推してるサービス、大抵深刻な脆弱性があるわー

2011-04-18 15:47:32
mala @bulkneets

本当にクソが・・・・

2011-04-18 16:03:17
mala @bulkneets

圧倒的にクソすぎる・・・

2011-04-18 16:03:53
mala @bulkneets

EvernoteにはXSS脆弱性があるので全員ログアウトした方がいい

2011-04-18 16:08:48
mala @bulkneets

調べたところIEで警告が出るのでXSSフィルタを無効にしろとアナウンスしてる http://bit.ly/fFhQuh アホか、実際にXSSがあるんだよ http://bit.ly/hVGieW

2011-04-18 16:10:24
mala @bulkneets

少なくともメールアドレスが取れるし多分保存したノート全部取れる。

2011-04-18 16:29:04
mala @bulkneets

XSSフィルタの挙動はサーバー側でX-XSS-Protectionヘッダを送ることでコントロールできるので、ユーザーにXSSフィルタを無効にせよと案内しているサービスは「確実に」おかしい。

2011-04-18 16:50:37
mala @bulkneets

RT @prowreslove610: ずっとやろうと思ってたんだけどさ、自分が使ってるいろんなWebサービスやツールのIDやらパスワードをEVERNOTEで一つのメモにまとめてサーバーに保存しておいたよ。これで無くなることも不明になることもない。ふぅ、安心。クラウド最高。

2011-04-18 19:37:50
mala @bulkneets

RT @yduke: @atsushichan 普段あまり使わないパスワードは、テキストとしてEvernoteに保存して完全クラウド化!自宅内外で触れるPCの違いは、キーボードとマウスの使用感くらいなものです。

2011-04-18 19:37:57
mala @bulkneets

RT @mobileiroiro: evernoteにパスワード保存なう。

2011-04-18 19:38:01
mala @bulkneets

RT @Evernote_fans: 「クラウド化」欠点: めだまカフェ日記: クラウド化の便利な面を知って、Evernoteを個人用のID、パスワード保存場所として使う話もききます。つまりパスワードマネージャとしてEvernoteを使うやりかたで... http://bit.ly/bCncTp #evernote

2011-04-18 19:38:10
mala @bulkneets

RT @shuheil0ve: Evernoteはパスワード保存に使ってるな。出先からサイトのパスワードとか確認できるし、サイトの登録完了画面のスクショ撮って保存すれば簡単だし。 その代わりEvernoteのパスワードばれたら終わりだけど。

2011-04-18 19:38:25
mala @bulkneets

RT @suiten: Evernoteでのパスワード保存は、暗号の強度(と通信路秘匿とサーバ側での暗号化状態)がクリアならまあこれで良いんだけども…。なんか中の人には丸見えだったりしたら嫌だなぁ。

2011-04-18 19:38:30
mala @bulkneets

RT @moyomoto321: 無線LANの接続、パスワードなんやったっけーとしばらく悩んだ後、evernoteに保存してたのを思い出した!クラウド万歳!

2011-04-18 19:38:36
mala @bulkneets

いざという時にEvernoteにいれておくと便利な情報 | nanapi [ナナピ] http://t.co/WSXiVYP via @nanapi

2011-04-18 19:41:04
mala @bulkneets

"evernoteにデータを入れるのと、個人情報を財布にいれて持ち歩くリスクは大差ない気がするんですよねえ" http://bit.ly/i8Kd5b

2011-04-18 19:42:30
mala @bulkneets

手元のIE9で試したところ画像表示するのはXSSフィルタ反応しなかった。script混入しようとするのは(迂回策あるかもしれないが)ブロックされる。

2011-04-18 21:16:48
mala @bulkneets

evernoteのパスワードevernoteに入れておいたらevernoteのXSSでevernoteのパスワードが流出するリスクが増加しますよ

2011-04-18 23:17:23
mala @bulkneets

外部サイトのscriptを実行するexploitをつくって自分で踏んでみたけど、こういうの悪用された形跡がありますとか連絡絶対来ないよね。厳格にやるならPOSTパラメータも全部ログとっておかないと無理。

2011-04-18 23:21:24
mala @bulkneets

事実が全く公表されないか、ユーザーからのクレームが無いことを持って「悪用された形跡はありません」と言う。

2011-04-18 23:22:57
残りを読む(40)

コメント

でゅらはん(忘れたころ夢に出る猫) @Dullahan 2011年4月19日
@bulkneets まとめ後の呟きを追加したです。なんか申し訳なくなってきた。
0
Smoky @shuitic 2011年4月19日
再現できませんでした。すでに修正済みのようですね。 http://blog.evernote.com/jp/2011/04/19/2742
0
ゆーごく @uu59 2011年4月19日
直ってないです。http://bit.ly/eoAH0M urlパラメータしかふさがれてません。
0
ゆーごく @uu59 2011年4月19日
suggestBookとproviderNameも対応されたみたいです
0
ケント(多感な時期) @KxNxT 2011年4月19日
IEでアクセスするときに限るんですかね? その辺詳しくないのでわかんないですが。。。 セキュリティ的に保障されていてもパスワードとか全部を預けちゃうのはこわいっすな。Dropboxもしかり
0
AoVA @AoVA 2011年4月19日
当面の脆弱性は対策されたようだが、Evernoteが実装上の問題をセキュリティレベルを下げることで対応しようとする企業であるという認識は払拭されていない。明確化した方針と何らかの声明が必要。#EvernoteJP
0
AoVA @AoVA 2011年4月19日
まあ当面はログアウト状態で使うことにするのがよさげ。
0
でゅらはん(忘れたころ夢に出る猫) @Dullahan 2011年4月19日
Evernotes セキュリティアップデートに関する報告後 ( http://blog.evernote.com/jp/2011/04/19/2742 ) からの呟きを追加。
0
zigen(HN:次元大介) @zigen 2011年4月19日
クラウドにパスワードや個人情報を保存していいのは小学生までだよね〜(笑
0
氷雨 @hisame 2011年4月19日
Evernoteに限らずクラウドなサービスに個人情報を置くことに不安があったんだけど、不安が的中した形か。
0
うめっち @umetch 2011年4月19日
セキュリティレベル下げろとか、高セキュリティが前提なサービスとしての対応とは思えない。。。
0
でゅらはん(忘れたころ夢に出る猫) @Dullahan 2011年4月19日
Evernotes と XSS の件に関して午後の部を追記しました。
0
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2011年4月19日
#EvernoteJP の中の人が「脆弱性有るんなら報告してくれたらそこは治すのに」とか言ってるけど、本来は「徹底的に全体のセキュリティを見直してFAQも書き換えました」と先にやるのが筋だよなぁ。
0
ミッキー @t_micky 2011年4月19日
中の人がどう認識してるんだろな。とりあえずクラウドでパスワード保管はまだ早い気がする。というか俺はやらない。
0
Guwashi @Guwashi 2011年4月19日
EvernoteのXSS脆弱性、会社としての対応がひどすぎて吹いた。これは2011年の出来事ですか?こういうクラウドサービスって信用が大事なのに、この対応で大丈夫か?
0
TKBTK @virtualion 2011年4月19日
げえ。chromeの拡張とかどうすっぺ。あわわ
0
ǝunsʇo ıɯnɟɐsɐɯ @otsune 2011年4月19日
Webサービスってのはオープンソースじゃないから、間接的な情報とか挙動で「この開発者たちはセキュリティの基本が出来てそうだな」と推測して盲目的に信頼するしかないわけで。OSSの「気がついたならバグ報告すりゃいいじゃん」の文化を持ち込むのは虫が良すぎると。おまけにこれは「脆弱性のあるものをウチのサービスに貼らせるなよ」「ユーザーに使わせたいんなら最低限のことぐらいやれよ」という話だしなぁ。
0
PACIOUS @PACIOUS_Atlasia 2011年4月19日
Evernote・・・うーん、どんなアプリだっけ 使わないからわからん
0
でゅらはん(忘れたころ夢に出る猫) @Dullahan 2011年4月20日
Evernote と XSS の件に関してのまとめはこれで一旦終了します。
0
@Sizuken 2011年4月20日
FAQは追記で対応している。このタイプのbookmarkletを常に動作させるにはXSSフィルタを無効にしなければならないという書き方だけど、本当にそういうもんなのかしら。
0
Ken Sugar🌏 @ken_sugar 2011年4月22日
(ぶっちゃけるとEvernoteは去年の鯖トラブル以来使ってなかったりwスクラップブックというヤツでローカル保存してます^^)
0