読者です 読者をやめる 読者になる 読者になる

てきとうなメモ

本の感想とか技術メモとか

Facebookの脆弱性

Security Web

友達以外のウォールにも書き込みできるという脆弱性だった模様。報告者の動画見た感じだと、HTMLを書き換えてpostするだけでできていたっぽい。既に修正済みとのこと。

以下の部分を読むと報告者がかわいそうな気がしたが、

ところがShreateh氏はアカウントを一時凍結され、脆弱性発見に対する報奨金は支払わないとの連絡をFacebookから受け取った。Facebookは、Shreateh氏が最初にホワイトハットプログラムを通じて送った報告は情報が不十分であったこと、その後の脆弱性報告のやり方がサービス利用規約に違反していることなどを指摘しているという。

ブログを見てみると、セキュリティチームもちゃんと調べていないけど、報告者も説明が不十分すぎる。

1回目のメールはこんな感じ

報告者「他のユーザにリンクをシェアできるバグを見つけたよ。このリンク先に試してみた」
セキュリティチーム「リンク先見えないよ」

2回目のメールでは

報告者「見れないかもしれないので、jpgにしたよ」
セキュリティチーム「これはバグじゃないです」

もうちょっと手順とか詳しく書けよ。いやセキュリティチームも淡白すぎるけど。