自称情報セキュリティ会社 ライセンス違反と脆弱性が判明
Hiromitsu TakagiさんはTwitterを使っています:
"そして先日見つけて吊るそうと思っていたのがこちら。 http://t.co/IWLLMFhMI3" |
高木先生に晒されている Sky株式会社ですが
ホームページを見ると
「<script type="text/javascript" src="/share/js/share.js"></script>」の記述があります。
実はこれ 中村享介さんの個人サイトにあるスクリプトなのですが
(function($) { $(function() { //$.yuga.selflink(); $.yuga.rollover(); //$.yuga.externalLink(); //$.yuga.thickbox(); //$.yuga.scroll(); //$.yuga.tab(); //$.yuga.stripe(); //$.yuga.css3class(); }); //--------------------------------------------------------------------- $.yuga = { // URIを解析したオブジェクトを返すfunction Uri: function(path){ var self = this; this.originalPath = path; //絶対パスを取得 this.absolutePath = (function(){ var e = document.createElement('span'); e.innerHTML = '<a href="' + path + '" />'; return e.firstChild.href; })(); |
オリジナルの yuga.js(v0.7.2)
/* * yuga.js 0.7.2 - 優雅なWeb制作のためのJS * * Copyright (c) 2009 Kyosuke Nakamura (kyosuke.jp) * Licensed under the MIT License: * http://www.opensource.org/licenses/mit-license.php * * Since: 2006-10-30 * Modified: 2012-02-04 * * jQuery 1.3.1 * ThickBox 3.1 */ /* */ (function($) { $(function() { //--------------------------------------------------------------------- $.yuga = { |
比較してみると…
1.コピーライトを削除
2.3年以上前に修正されたXSSの脆弱性がある
事が分かりますね
メールを暗号化して、自己解凍形式のEXEにしたあと拡張子をEX_にして送信するだけのシステムってのもなんかアレですが…。
自前で暗号化したなら、署名して発行元つけるとかなんとかならなかったのか?
(そこまでの技術がないので、鍵が漏えいして大騒ぎになりそうですが)
復号パスワードを10回間違えた場合は、添付ファイルは自動的に消去されてしまいます |
このファイルをコピーして、試行させたら意味無いと思うんじゃがのう…。
何やりたいんだ?
後、Pageの説明文が
【<meta name="description" content="復号化された添付ファイルの復号手順についてのご案内。">】
となっていて突っ込みどころがありすぎ(笑)
電子メール管理ソフトを扱ってるんですが、セキュリティも著作権にかんしても杜撰な、こんな会社に取り扱ってほしくないですね・ω・ はい
EXE をリネームして EX_にして送るメールシステムが悪い理由
|。・ω・) 。o (2015/6/08の時点で修正されてる模様 )
90日過ぎると自動的に消えるそうですが、PCの日付を戻せば消えずに扱えそうですね。