自称情報セキュリティ会社 ライセンス違反と脆弱性が判明
Hiromitsu TakagiさんはTwitterを使っています:
| “そして先日見つけて吊るそうと思っていたのがこちら。 http://t.co/IWLLMFhMI3“ |
高木先生に晒されている Sky株式会社ですが
ホームページを見ると
「<script type=”text/javascript” src=”/share/js/share.js”></script>」の記述があります。
実はこれ 中村享介さんの個人サイトにあるスクリプトなのですが
(function($) {
$(function() {
//$.yuga.selflink();
$.yuga.rollover();
//$.yuga.externalLink();
//$.yuga.thickbox();
//$.yuga.scroll();
//$.yuga.tab();
//$.yuga.stripe();
//$.yuga.css3class();
});
//---------------------------------------------------------------------
$.yuga = {
// URIを解析したオブジェクトを返すfunction
Uri: function(path){
var self = this;
this.originalPath = path;
//絶対パスを取得
this.absolutePath = (function(){
var e = document.createElement('span');
e.innerHTML = '<a href="' + path + '" />';
return e.firstChild.href;
})();
|
オリジナルの yuga.js(v0.7.2)
| /* * yuga.js 0.7.2 – 優雅なWeb制作のためのJS * * Copyright (c) 2009 Kyosuke Nakamura (kyosuke.jp) * Licensed under the MIT License: * http://www.opensource.org/licenses/mit-license.php * * Since: 2006-10-30 * Modified: 2012-02-04 * * jQuery 1.3.1 * ThickBox 3.1 */ /* <link rel=”stylesheet” href=”css/thickbox.css” type=”text/css” media=”screen” /> <script type=”text/javascript” src=”js/jquery.js”></script> <script type=”text/javascript” src=”js/thickbox.js”></script> <script type=”text/javascript” src=”js/yuga.js” charset=”utf-8″></script> */ (function($) { $(function() { //——————————————————————— $.yuga = { |
比較してみると…
1.コピーライトを削除
2.3年以上前に修正されたXSSの脆弱性がある
事が分かりますね
メールを暗号化して、自己解凍形式のEXEにしたあと拡張子をEX_にして送信するだけのシステムってのもなんかアレですが…。
自前で暗号化したなら、署名して発行元つけるとかなんとかならなかったのか?
(そこまでの技術がないので、鍵が漏えいして大騒ぎになりそうですが)
| 復号パスワードを10回間違えた場合は、添付ファイルは自動的に消去されてしまいます |
このファイルをコピーして、試行させたら意味無いと思うんじゃがのう…。
何やりたいんだ?
後、Pageの説明文が
【<meta name=”description” content=”復号化された添付ファイルの復号手順についてのご案内。”>】
となっていて突っ込みどころがありすぎ(笑)
電子メール管理ソフトを扱ってるんですが、セキュリティも著作権にかんしても杜撰な、こんな会社に取り扱ってほしくないですね・ω・ はい
EXE をリネームして EX_にして送るメールシステムが悪い理由
|。・ω・) 。o (2015/6/08の時点で修正されてる模様 )
Translate
90日過ぎると自動的に消えるそうですが、PCの日付を戻せば消えずに扱えそうですね。