F12押してトークンとか情報を閲覧できるのってpeingに限った話じゃないからなぁ… 結構色んなサービスでみれるやつが多いんだよなぁ なんかもう今更感
2019-01-29 01:22:18Peingの件、Access Tokenが流出したっぽいけど、Consumer Secretはさすがに流出してないだろうし、Access Tokenを入手しても何もできないのでは。
2019-01-29 01:48:55トークン丸見えだったからipアドレスも筒抜けだったし、なんならIPv4とIPv6の区別もできてた。Twitter連携してなくても質問箱ユーザーならid乗ってたから辿れてた。 #peing
2019-01-29 01:19:15あれ?peingってもともと個人の開発者が作ったのをどっかの会社が買収したんじゃなかったっけ。買収のタイミングでちゃんとセキュリティ監査しなかった会社も悪いけど、まあ運が悪いやね。個人開発のサービスなんかセキュリティゆるゆるなのが常なので…
2019-01-29 00:39:39Peing の件、公開可能な User テーブルを SELECT(*) して JSON にしてたがアクセスが増えて負荷を下げたいが為に複雑な SQL文を発行しないように access_token やメールアドレス等が入っている Social テーブルを合わせてしまった。ということ😓?
2019-01-29 01:46:26PeingでTwitterが乗っ取られるかもしれない危険性はなくなった Pringのconsumerkeyが失効したのでaccesstokenが使えない(自分のトークンで確認済) accesstokenが変更されないとconsumerkeyが漏れると使えてしまうのでメンテ明けにconsumerkeyが漏れないと良いね pic.twitter.com/gJaTYvflBa
2019-01-28 23:55:43peing、どうやら虚弱性が指摘されたみたいで、前々から言われていたし流石に直ったかと思ったら何故か改良せずpeing公式が乗っ取られる事案にまで発展しているようなので流石に身の危険を感じ、質問箱をやめました……
2019-01-29 00:57:17peingの脆弱性、それもはや脆弱性やない欠陥やろっちゅーレベルで呆れてしまうね……むしろよく今まで見つからなかったな。
2019-01-29 01:44:44