Google Readerに任意のフィードを自動的に購読させるCSRF脆弱性が発見されるも、即修正される
2007/07/22 20:41:42
スポンサード リンク
「Google Security Flaw Allows Sites to Auto-Subscribe New RSS Readers」より。
あるHTMLコードが埋め込まれたページを訪れると、自動的にその人のGoogle Readerにフィードが登録されてしまうというCSRF脆弱性がGoogle Readerに存在していたようです。
具体的には、iframeのsrcの値として「フィードをGoogle Readerに追加する際のURL」を仕込んでおくというもの。参照元のページにはそのコードと実証ページのリンクが掲載されていますが、先ほど試してみても何も起きませんでした。(どうやら参照元のコメント欄を見るとすでにGoogle内部に伝わって修正されている。)
ちなみに、以前もGoogle Readerには「強制的にログアウトさせる」というCSRF脆弱性がありました。
【あわせて読みたい】
- Firefox3.5の位置情報通知機能の仕組みとサンプル [2009-07-04]
- このブログの2009年上半期のトラフィックを振り返る [2009-07-03]
- Google Maps APIで地図画像が読み込まれていないブロックの色を指定する [2009-07-01]
- 特定のキーワードでしかもwww.google.co.jpのみで検索結果に表示されないというペナルティ [2009-06-21]
- GoogleはFlashで使われる外部リソースもインデックスする、防ぎたければrobots.txtを使うべし [2009-06-20]
前のエントリー: « Official Google Blogの購読者数が判明
次のエントリー: ようやく画像検索機能が追加されたGoogle AJAX Search API »
トラックバック
このエントリーのトラックバックURL:
このブログをRSSリーダーで簡単購読
タイトル:
URL:
リンク用HTMLタグ:
powered by Google Chart API
