UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について

UNIQLOじゃないところにtwitterのユーザー名とパスワードを送信するUNIQLO LUCKY LINEについて、セキュリティに詳しい人たちが調査しています。そして、高木先生が電突したりしました。
71
はまちや2 @Hamachiya2

ユニクロのやつ "http://uniqlo-happy-line.s2factory.co.jp/" でぐぐると行列の一覧が見れますよ。あとpostするときパスワード平文で流してるから気になるひとはやめといたほうがいいかも?

2010-05-26 12:07:27
はまちや2 @Hamachiya2

いやべつにflashで見れる行列がテキストで見られるだけだから、それほどたいしたことじゃないと思うけど…

2010-05-26 12:18:06
水無月ばけら @bakera

[メモ] まあFlashだとこういうのを読んでいることは想像に難くないですよね。 http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt

2010-05-26 13:48:29
水無月ばけら @bakera

Twitterのニックネームにタブとか混入できるのかしら……。いや、試しませんけど。

2010-05-26 13:51:08
水無月ばけら @bakera

ユニクロのアレは POST 先を見れば http://www.s2factory.co.jp/ が関わっていることはほぼ自明だと思うのですけどね。

2010-05-26 13:59:16
はまちや2 @Hamachiya2

「ユニクロで個人情報とパスワードが流出だー」みたいなさわぎになってる

2010-05-26 14:04:52
水無月ばけら @bakera

@keita マジレスすると、ブラウザアクセスであっても故意にF5連打したりするケースはありえる (実際あった) ので、ブラウザだからというのはあんまり関係ない気がしておりますよ。

2010-05-26 14:12:33
Keita Kitamura @keita

OAuthを使わなかった理由は十分に分かる。急にtwitterの変なページが表示させられるだけで敷居は少し高くなりリーチが減るのは目に見えてる。普通のユーザのリテラシー的になんだこれってなるでしょ。あのページはどうにかした方が良いね。広義の意味での”デザイン”がされてない。

2010-05-26 14:22:55
Keita Kitamura @keita

今のところやるとしたら、OAuthに飛ばす前に、利用者側で、十分な説明をした上で承認画面に飛ばすしか無いね。

2010-05-26 14:25:52
Keita Kitamura @keita

件のキャンペーンサイトは、本当にパスワードを取得してAPIを利用する必要があったのか?そこが疑問。無理矢理twitさせる為にログインする必要があった、っていうのだったら論外。

2010-05-26 14:31:59
Keita Kitamura @keita

OAuthが嫌な理由のもう一つは、キャンペーンサイトは”手軽さ”ってのが重要だと思ってる。説明無しで、サクッと見れて、パッと体験できる、というような。ユーザが閲覧してる最中にちょっとでも他の事を考えさせては駄目なんじゃ無かろうか。間に訳の分からんページが入ってるだけで残念。

2010-05-26 14:40:20
Keita Kitamura @keita

そう当選通知かな、とも思ったんだけどパスワード取らなくても十分他の手段があるよね。もし本人確認したいなら、その時に初めてOAuthを使ってログインを求めたら良いんじゃないかって思った RT @KojiroFutamura: @keita プレゼント当選通知にDM使いたかったとか。

2010-05-26 14:43:57
Hiromitsu Takagi @HiromitsuTakagi

よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line

2010-05-26 14:52:34
connect24h @connect24h

高木先生、楽しそうですね。RT @HiromitsuTakagi: よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line

2010-05-26 14:56:26
ozero dien @ozero

高木先生、とうとう「後で吊るす」から「今吊るす」に進化。 RT @HiromitsuTakagi:14744974063 よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line

2010-05-26 14:58:32
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000) @BlackWingCat

【警告】ユニクロの件について解析して、緊急記事書いたよ 『【臨時ブログ記事】危険?!UNIQLO のTwitter 連動イベント』 #uniqlo_line http://blog.livedoor.jp/blackwingcat/archives/1161581.html

2010-05-26 15:02:18
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000) @BlackWingCat

他のサービスはBASIC認証だったけど、ユニクロは自サーバーに生でIDとパスワード送ってから一旦処理してるから違うかも・・・ QT @cheebow: 今までだって、ユーザ名とパスワード入力するサービス(TwitPicとか)使ってきてるんだし、いまさら大騒ぎするのも #Tw

2010-05-26 15:06:25
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000) @BlackWingCat

うちのブログに書いたけど、流出じゃなくて、非常にまずいFormの実装 QT @aya414: 困ったねぇ(;´Д`)RT @eno63: RT @aya414: データ流出らしいねー。RT @yoichiro51: なに?ユニクロ、やらかしたの??

2010-05-26 15:15:19
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000) @BlackWingCat

そう、ブログに通信ログの内容を載せたから確認してみてね。平文でTwitter.comに送るんじゃなくて、uniqloに一旦送ってるのが問題。 QT @meganet00: これパスワードって完全に平文で送られちゃってるんですか?

2010-05-26 15:21:47
水無月ばけら @bakera

「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。

2010-05-26 15:10:15
Sato Atsushi @atsushis

ひとことで言えば「親切機能」ですね。@bakera 「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。

2010-05-26 15:15:24
IWAI, Masaharu @iwaim

一気に取るUIがあれなのかも。 QT @bakera: 「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。

2010-05-26 15:16:01
水無月ばけら @bakera

@fshin2000 ダミーのIDとPASSを入れてFirebugあたりで通信をトレースすれば分かりますが、HTTPでIDとパスワードをそのまんまサーバに送信しています。

2010-05-26 15:21:55
水無月ばけら @bakera

@fshin2000 password=testpass&(中略)&username=bakera みたいなのが http://uniqlo-happy-line.s2factory.co.jp/system/stand_in_line.php にPOSTされますね。

2010-05-26 15:23:12
1 ・・ 4 次へ