| # 1. メールアドレスが分かると本名も分かる。Amazonのアカウント情報に本名を使用し、かつAmazonで使用しているメールアドレスを自サイトやSNSなどで晒していた場合、Amazon公式のウィッシュリスト(ほしい物リスト)フォームからメールアドレスで検索をかける事で、何の工夫もなくあっさりと本名を抜ける。さらに送り先住所が設定してあった場合、住所の前半部分までを知る事ができる。 2. 「友達にほしい物リストについて知らせる」機能をCSRFで叩き、Amazonにログインしたままサイトにアクセスして来た人間のウィッシュリストを、特定のメールアドレスに送信させる事ができる。このメールには送信者がAmazonに登録した名前とメールアドレスの情報が含まれているので、詰まるところhtmlを踏ませるだけでこれらの情報を抜く事ができる。 - CSRFについては、一般的な人々が「自動的にログインする」系の機能を「便利だ」という理由で無警戒に使っている事や、ログアウトが何のために存在するのか理解していないのが根本的な問題とも言えるので、本人が悪いと言わざるを得ない部分がある。ただ、普通それがどう危険なのかを教育してくれるような人がいないわけで、危険さを学習するには一回自爆して痛い目を見るしかない、というのが業の深いところ。 あとAmazonはログアウトの仕方が病的に分かりにくい。「ログアウト」ボタンぐらい置けよ。 - ref "http://www6.atpages.jp/~skkwiki/amazon/" "http://s02.megalodon.jp/2008-0312-0956-48/www6.atpages.jp/~skkwiki/amazon/in... (魚拓) "http://d.hatena.ne.jp/Hamachiya2/20080312/amazon" (CSRF) // Time Stamp 2008-03-12 14:31:35 (Last Modify) 2008-03-12 14:30:54 (First Edition) // Bookmarks  | |||
| // 関連した記事 - 自動車保険見積もり # 2008-01-10 13:54:56 - 容赦? | |||
| // アクセスの多い記事 # 2007-07-30 11:29:32 - レイクドリャフカ - しろくま屋 # 2006-10-26 06:09:21 - MMORPG用語の基礎知識 # 2006-10-11 01:16:45 - 似非SFでよく誤用される近代~近未来兵器についての知識 # 2006-12-11 02:59:04 - 彼にはカルドセプトサーガの前に数当てゲームを作らせるべきだった # 2010-02-18 23:26:20 - カミナギ - 人工無能 # 2006-12-25 04:53:42 - febgm Build100 # 2007-06-05 17:34:54 - フィーチャーから見る格闘ゲームの歴史 # 2007-04-30 15:04:20 - 格ゲー衰退の根本的な問題点と解決策とは? # 2007-06-14 20:00:20 - カプコンとSNKの必殺技コマンド入力判定の厳しさの差を検証 # 2006-12-13 02:44:53 - 真の低脳は意外なところに潜む # 2006-10-28 11:38:39 - 文系はコミュニケーション能力という名の処刑斧を振るった # 2006-10-24 03:08:51 - 「MMORPG」の画期的特性とは何だったのか | |||
| // Refs. (for this Entry, order by Date) | |||
| Sitemap: インデックス > blog ConnectingDB: 0.00ms. Logging: 0.09ms. QueryingPrimary: 0.00ms. OutputtingRelationEntries: 0.00ms. OutputtingPopularEntries: 0.00ms. OutputtingReferer: 0.00ms. Powered by PHP / MySQL, 15535th Visitor | |||