Movatterモバイル変換

[0]ホーム

サクサク読めて、
アプリ限定の機能も多数！

アプリで開く

はてなブックマーク

閉じる

テクノロジー
Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

テクノロジーカテゴリーの変更を依頼記事元:

gist.github.com/mala

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

140usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

140 users

gist.github.com/mala

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント18件

注目コメント
新着コメント

tofu-kunカスタムドメイン提供かつ共通ログイン機構がある場合こうなるのか。

2023/07/14リンク

その他

efclMediumのカスタムドメインからMediumのGraphQLを認証付きで叩けるため、サイトに訪問したユーザーのMediumアカウントを特定できる脆弱性

security

2023/07/15リンク

その他

hamacoなるほどなぁ。これってメアド返さない以外にどういう対応できるんだろ？

2023/07/14リンク

その他

daaaaaaiCustomDomain難しい。7/14 14時時点ではTwitterで検索しても日本語ユーザしか反応していないな・・・

2023/07/14リンク

その他

napsuckscustom domainに対して重要な情報を送信する仕組みになってるとMITMが成立してしまうのか

2023/07/14リンク

その他

tofu-kunカスタムドメイン提供かつ共通ログイン機構がある場合こうなるのか。

2023/07/14リンク

その他

progratiMedium側はgraphqlエンドポイントの応答からメールアドレスを取り除くくらいしか対応出来なさそうだけど他に方法あるのかな？

2023/07/14リンク

その他

ya--madamalaからの手紙。なんでAレコードにしたんだろ？

2023/07/14リンク

その他

Andrion何度言ってもMediumが対策しなかったので開示したみたいだな。ほんまMediumクソ

2023/07/14リンク

その他

YassLab“Proxyサーバーは訪問者が受け取る応答内容を窃取することができる / 訪問者が medium.example.com にログイン状態になると、graphqlエンドポイントの応答には訪問者のメールアドレス等も含まれている”

2023/07/14リンク

その他

Falkyあらあら

2023/07/14リンク

その他

dollarssこのやり方で窃取したとしてもアドレスが取得されるだけで大きな被害にはならないようには思うが、普通の人は気持ち悪いだろうな

2023/07/14リンク

その他

knjnameなるほど　カスタムドメインはMITMに発展できるか　たしかに

2023/07/13リンク

その他

versatilelogout しとけばいいのか。よし、もう二度とログインしないぞ

2023/07/13リンク

その他

exsoulメールアドレスか〜

2023/07/13リンク

その他

t_f_m"これはゼロデイではなく調整に失敗した結果です" / "2023-05-12 malaからMedium: 一ヶ月以内に実効性のある修正、緩和策、またはユーザーへの説明がない場合は開示予定であると伝える。 2023-06-12 期日になるが返事がない"

2023/07/13リンク

その他

razokuloverなるほ…

2023/07/13リンク

その他

mattnなるほどなぁ。

2023/07/13リンク

その他

teppeisカスタムドメインむずい

2023/07/13リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「Disclosure of a v...」が注目されています。

気持ちをシェアしよう

ツイートする

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors'em ail addres...0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors'em ail addresses using Medium's customdomain feature Author: mala Introduction This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using customdomain plan of Medium. This is done as my personal activity and is not related to my organization.