テクノロジー
noteの独自ドメインセッションの脆弱性について報告した件

気に入った記事をブックマーク

気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
記事を読んだ感想やメモを書き残せます
非公開でブックマークすることもできます

noteの独自ドメインセッションの脆弱性について報告した件

テクノロジーカテゴリーの変更を依頼記事元:

gist.github.com/mala

適切な情報に変更

エントリーの編集

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます

コメントを非表示にできますコメント表示の設定

ブックマークしました

ここにツイート内容が記載されますhttps://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

次回からTwitterへ自動リダイレクト

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

331usersがブックマークコメント

コメントするにはログインが必要ですブックマークを追加

ブックマークを追加

よく使うタグ

noteの独自ドメインセッションの脆弱性について報告した件

331 users

gist.github.com/mala

よく使うタグ

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページへ

記事へのコメント40件

注目コメント
新着コメント

kuzumimizuku『 "すべてのサービスは適正かつセキュリティ上、問題ない" と書かれたこれを見て、noteをバカにするためだけに脆弱性を探すことを決意』こういうモチベーションの人でセキュリティが守られてる部分、あるよなと思う。

2022/12/23リンク

その他

s155531企業側、大助かりでしょう。こういう人、会社にいて欲しい

2022/12/23リンク

その他

shag"バカにする" はちょっとアレだけど、問題ない。と言い切られちゃうと試してみたくなるよな。

2022/12/23リンク

その他

raimon49livedoor BlogやはてなブログはCMSとしてちゃんとした設計になっているという話。

2022/12/23リンク

その他

hayashikousun「俺は無敵だ！」とか言われたらちょっとぶん殴ってみたくなるよね。

2022/12/23リンク

その他

nakakzs以前のソースコードでIP表示されてしまうヤツといい、どうもnoteのセキュリティ面には不安が。見つけて教えてくれたのがホワイト側の人だったからよかったものの。

セキュリティ

2022/12/23リンク

その他

cinemaphile“すべてのサービスは適正かつセキュリティ上、問題ない ” なんかnoteってこういう上から目線なところあるよな。先日の「引き続きクリエイターエコノミーを牽引していきます」とかも。

2022/12/23リンク

その他

imaginaration当時、noteのツイートを見かけたけどアレをみて脆弱性を見つけようってなるの、強すぎでしょ…！

note

2022/12/23リンク

その他

uunfo基本ができてない会社という印象

2022/12/23リンク

その他

yamaidaremalaさん、一貫としていてすごいよね。強い。

2022/12/23リンク

その他

hasiduki勉強になるー！！！！！

2022/12/24リンク

その他

strawberryhunter「noteをバカにするためだけに」あんまりそういう要素は見当たらない。

未分類

2022/12/24リンク

その他

odakaho“noteをバカにするためだけに脆弱性を探すことを決意”

2022/12/24リンク

その他

GiveMeChocolateバカにするためだけに脆弱性を探すことを決意、良い

2022/12/24リンク

その他

natu3kan経験則で自分の弱い所を分かっていないからか全部完璧だって言い切る相手なら、典型的な脆弱性が何か見つかるだろって感じだったのかな。想定してなくて、そこを悪用されるのは良くあるよなあ。

security

2022/12/24リンク

その他

cafe_petit"報告時点(2020-09-30)では、少なくとも銀行口座番号を返すAPIを呼び出すことが出来た" やはり… よかった〜noteの銀行口座番号ダミーにしといて…

2022/12/24リンク

その他

rrringress感謝状

2022/12/24リンク

その他

kitamati素晴らしい取り組みだけど危険でもある。企業側担当者がバカでかつmala氏の態度がとか気にするタイプだったらlibrahackの二の舞になりかねない。IPAを通じて勧告してもらうのがベスト

2022/12/24リンク

その他

maruware独自ドメイン大変だ

2022/12/23リンク

その他

mayumayu_nimoloveみんなnoteが大嫌いということはわかった。やっぱインフルエンサー的な人が作ってるって日本じゃ嫌われるんだな。いや、はてなじゃ嫌われるんだな。

2022/12/23リンク

その他

vndn二度抜きおじさんの余波か…

2022/12/23リンク

その他

meonal独自ドメインって難しいんだな、知らんことばっかだった

2022/12/23リンク

その他

akghuaiooajtていうかホワイトハッカーで良かったなブラック・ハッカーに「ムカついたからハック」されたやったら大変やぞ

2022/12/23リンク

その他

futonchanセキュリティの勉強に

あとで読む

2022/12/23リンク

その他

uunfo基本ができてない会社という印象

2022/12/23リンク

その他

dltlt「noteのサービス上で任意のJavaScriptの記述が許可されていなくとも、独自ドメインでホスティングされるコンテンツは、本質的にはドメイン所有者の管理するもの……だから……DNSレコードを切り替えてしまえば」

2022/12/23リンク

その他

shidho面倒くさい話なのに、わかりやすい。

2022/12/23リンク

その他

Helfardこれをnoteで公開していたら完璧だった。

2022/12/23リンク

その他

セキュリティ

2022/12/23リンク

その他

typographicalerrormalaさん、公開にあたって「経緯」の項目も照会したのかな（してそう）

2022/12/23リンク

その他

imaginaration当時、noteのツイートを見かけたけどアレをみて脆弱性を見つけようってなるの、強すぎでしょ…！

note

2022/12/23リンク

その他

Surgoちゃんとそれは仕様ですで押し切ってほしかったな

2022/12/23リンク

その他

2022/12/23リンク

その他

hatestノーと(note)言える日本人

ネタ

2022/12/23リンク

その他

Sixeightセキュリティに絶対はないなと改めて

2022/12/23リンク

その他

napsucks他者ドメインでログインを提供すると本質的には危険なのだな。

2022/12/23リンク

その他

retore“これを見て、noteをバカにするためだけに脆弱性を探すことを決意。” 草

2022/12/23リンク

その他

yo_waka"ブログサービスの中には、独自ドメインでの公開をサポートしているものも多くあるが、独自ドメイン上で認証cookieを作成しているのは、自分の知る限りだとかなり独特のもので、noteに固有のもの"

2022/12/23リンク

その他

anoworlこういう折り合いをつける知恵すき > 実用上、どの銀行使ってるのか程度が自身で確認できれば十分だと思う

2022/12/23リンク

その他

yamaidaremalaさん、一貫としていてすごいよね。強い。

2022/12/23リンク

その他

コメントするにはログインが必要ですログインしてコメント

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー

はてなブックマークボタンを作成して埋め込むこともできます

規約違反を報告

いまの話題をアプリでチェック！

バナー広告なし
ミュート機能あり
ダークモード搭載

アプリをダウンロード

usersに達しました！

さんが1番目にブックマークした記事「noteの独自ドメイ...」が注目されています。

気持ちをシェアしよう

ツイートする

noteの独自ドメインセッションの脆弱性について報告した件

note_vuln.mdnoteの独自ドメインセッションの脆弱性について報告した件文責: mala 前置きnote.com (...note_vuln.mdnoteの独自ドメインセッションの脆弱性について報告した件文責: mala 前置きnote.com (以下note) に2020年に報告した脆弱性(現在は修正済み)を解説する個人の活動として行っており所属組織とは関係がない自分がnote社に対して、問題があると指摘していたのは主に広報対応についてですが、この記事は技術的な知見を共有することを目的とするため、技術的な解説を中心にします。公開にあたってはnote社に対して確認の上で行っています。note社による修正対応は2021年までに実施されていますが、その修正内容が適切であるかどうかについて保証するものではありません。(網羅的な確認や追加の検証をしていません)note社のサービスに他の脆弱性が無いことを保証するものではありません。経緯 2020年9月30日に公開されたnote社の記事で https:/