読者です 読者をやめる 読者になる 読者になる

素人がプログラミングを勉強していたブログ

プログラミング、セキュリティ、英語、Webなどのブログ since 2008

連絡先: すかいぷ:javascripter_  か javascripter あっと tsukkun.net skypeのほうがいいです

はてなにログインしてると人のブログを見ただけでユーザー名がバレる

11 August 2014: はてなのサポートから連絡がきた。

いつもはてなをご利用いただきありがとうございます。

ご指摘いただきました件につきまして、ただいま対応を検討しております。
第三者に悪用される可能性もございますので、
もし、脆弱性を確認された場合には、先に弊社にご連絡いただき、
脆弱性が修正されるまで、ブログなどで詳細を公開されないようご協力いただけますと幸いです。

もしなにかご不明な点などございましたらご連絡ください。
どうぞよろしくお願いいたします。

しかしサポートにはこの記事のURLしか送っていないし、既に(一部ユーザによるDDoSも含めて)89656のスターがつくほど閲覧されているので、この記事を消してもしょうがない。よって、このまま放置する。読者は修正されるまで、決して悪用しないでほしい。

テスト RSSで見てる人は直接開いてください

はてブで指摘があったが、このページで使用している脆弱性CSRF+タイミングアタックなので、たまたまローディングが遅かったなどの諸事情で違う人のIDが出ることがある。修正することも可能だが、面倒臭いのでそのまま放置する。失敗したらリロードしてほしい。id:tpro id:kazoo_oo id:aoi-sora

これがCSRFに分類されるかどうかは微妙なところだが、本人以外にスターを押させたくない場合はスターボタンをiframe内に配置する必要がある。(当然だが、iframe内にはCSRF tokenを入れるべきである)

ユーザー名に大文字や数字が含まれていた場合に動かなかったのを修正

10 August 2014: はてなに報告した。急いでいたので日本語が少しおかしいがまあ言いたいことは伝わると思う。

f:id:javascripter:20140810200216p:plain

はてな☆ログ で既出だった模様