エンジニアtypeは、各種エンジニアをはじめ「創る人たち」のキャリア形成に役立つ情報を発信する『@type』のコンテンツです。
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 mixi脆弱性報告制度で報告した脆弱性のうち、報告したけど評価対象外になったものをまとめます。 報告したけど評価対象外だった脆弱性 1.ショッパーズアイ コードインジェクション 報告日:2014年3月31日 評価結果連絡:2014年4月8日 弊社において既知の脆弱性であると判断、よって脆弱性報告制度の対象外 ※追記:この脆弱性は現在は対応済みです。mixiさんに問い合わせて脆弱性対応済みであることを確認してから記事を公開しました。 ※2014.4.16 23:00 本記事の反響がやたら大きくなってしまったのでコメントを
mixiの脆弱性報告制度(すでに終了している)で報告して、修正された脆弱性。 youbrideの有料機能を無料で使える問題 2014/03/12 報告 2014/03/18 修正完了 2014/03/24 75,000円のAmazonギフトが届いた youbrideはmixiの子会社の株式会社Diverseが運営する婚活サイト。一時、制度の対象だった。 youbrideでは無料ユーザーはプロフィールの公開条件は「全体に公開」しか選べない。 ChromeのDeveloper Toolで他の選択肢を有効にしたら、「全体に公開」以外の公開条件も選べてしまった。 mixiワードのXSS 2014/03/31 報告 2014/03/31 修正完了 2014/04/09 125,000円のAmazonギフトが届いた mixiワードにXSS可能な脆弱性があった。 「猫」には、キャットタワー、キャットフー
こんにちは、運用部 アプリ運用グループの清水です。Golang鋭意勉強中です。 今回は、SNS「mixi」に限った話ではなく、ミクシィ社全体として利用している仮想環境について紹介したいと思います。パブリッククラウドも一部のサービスで利用していますが、今回は、自社で運用している仮想環境にフォーカスして書いてみようと思います。 今まで利用してきた仮想環境 今まで利用してきた仮想環境というと、手作業で構築したKVM(Kernel-based Virtual Machine)環境が中心でした。手作業といってもある程度手軽に構築できるように、シェルスクリプトとCobblerでVMを構築できるようになっています。構築の流れは以下のとおりです。 CobblerにVMのIPやホスト名などをスクリプトで登録する。 KVMのホスト上でスクリプトを実行(koanコマンドでCobblerと連携してVMをセットアッ
こんにちは、運用部 アプリ運用グループの清水です。モンスト仲間募集中です。 以前、Fedora 8からFedora 17への移行のお話を書きました。Fedora 17ではsystemdがデフォルトで使われています。そのsystemdを本番環境で運用して1年以上が経ち、様々な経験をしてきました。systemdの環境で知っておくと役に立つと思われることについていくつか紹介したいと思います。 まずは、systemdの概要について簡単に紹介します。 systemdの概要と歴史 systemdは、従来のSysVinit/Upstartに代わるもので、Linuxサーバの起動時に初期設定やサービス起動をおこなうことにとどまらず、プロセスやリソースなど様々な管理をおこなうデーモンです。 Fedora 14の頃(2010年11月リリース)にTechnology Previewとして提供され、Fedora 1
ミクシィは1日、2014年3月期の連結最終損益が26億円の赤字(前期は16億円の黒字)になりそうだと発表した。従来は5億円~11億円の黒字と予想していたが、一転赤字見通しとなる。スマートフォン用ゲームの課金売上高が計画を下回っているため、下方修正した。繰り延べ税金資産を6億6900万円取り崩すことも損益悪化につながる。期末配当について12円との
株式会社ミクシィは、お客様に安心してご利用いただけるサービスを提供するため、脆弱性に関する報告の重要性を認識しております。より安全なサービスの実現を目指し、脆弱性報告に対して、正当な対価をお支払いすることを目標に、脆弱性報告制度を開始しましたので、ご案内いたします。 概要 弊社のサービスにおいて、脆弱性を発見した場合に、窓口にご報告いただき、その重要度によって、報酬をお支払いする制度です。 対象 本制度は、株式会社ミクシィとその子会社がリリースした、ウェブアプリケーションおよびクライアントアプリケーションの脆弱性を対象とします。 ただし、次に該当するものは含まれません。 既に公表されている脆弱性 弊社にとって既知の脆弱性 報告されてから修正が完了する前に公表された脆弱性 攻撃が成立する可能性が著しく低いと考えられる脆弱性 原理的に修正が不可能な脆弱性 本制度の期間外に報告された脆弱性 窓口
はじめまして、運用部アプリ運用グループの清水 勲です。 2011年8月に入社して以来、はじめてエンジニアブログを書きます。 運用部では、日々、mixiを支えるサーバやネットワークを管理、運用しています。 今回は、サーバで使用しているOSの移行について、何回かにわたって紹介したいと思います。 はじめに 突然ですが、mixiで採用しているサーバのOSはなにかご存知でしょうか? 過去のブログ記事でもあまり紹介していなかったと思います。 はるか前のことなので詳しくは知りませんが、2006年の社外イベントで、弊社からの発表者と質問者との間で、以下のようなやりとりがあったようです。 参加者からの質問 Fedoraを利用している理由は? 弊社発表者Bさんの回答 他のOSだとNICを認識してくれなかった。Fedoraなら一発でいけたから。 ということで、mixiでは何年も前からFedoraを採用してき
Quickly share apps with teamsQuickly distribute/share Android/iOS apps with the Distribution feature. Regularly share apps under development with your team to increase awareness, align goals, and accelerate projects. View details Easily submit debug reportsAutomatically collect error and device information and easily submit reports containing screenshots and videos. By reducing information gaps an
ちょっと考えてみたけど、このままじゃmixiページはダメだろうなあ。mixiページ自体の機能がべつにどうこうということではなく、情報を受け取る側のインターフェイスが魔窟すぎる。建て増しに建て増しを重ねた田舎の温泉旅館のようだ。 ためしに、mixiの画面を見に行かないで、mixiのPC用インターフェイスを頭のなかに思い浮かべてみてほしい。3カラム構成になっているおなじみのオレンジ色の画面だ。そのmixiのインターフェイスのうち、mixiページに関するアクティビティ・更新情報・新着コメント・最新書き込み、そういったものはいったいどのあたりに表示されるんだっけ? っていうのを思いだしてみてほしい。すぐに「ここ!」ってわかるだろうか? 数えてみたんだけど、ユーザーによるコンテンツとアクティビティ(ニュースとか広告は除く)が通知あるいはフィードされるボックスは、mixiのPCインターフェイス上にデフ
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
ヤマピカリャー!! どうも、くしいです。 株式会社ミクシィ に行ってきた!ってのを丁度1年前(2010年4月)に書いたのだけど 最近出来たばっかりのビルに引っ越したらしいのでお邪魔しに行ってみた! なんと今回は執務エリアまで撮影させてくれちゃいました。うひょー。すげー。 ミクシィさんはもう説明の必要がない有名SNSと思われるので説明は省略。 わからん!て人は前回のエントリを参照してくだちい。 ほいきた受付。 ==== どどん、mixiロゴ。 なんだかシックな雰囲気。大人になったっていうか。 ※公開から3ヶ月以上経過した特定の記事は有料となっている場合があります この続きはcodocで購入
Nitendo 3DSで遊ぶのは戦国無双クロニクル、PS3で遊ぶのは真・三国無双6と、なにかを断ち切るかのように敵を切りまくっているmilanoです。 お気に入りは甄姫です。 もうずいぶんと前のことな気がしてしまいますが、3/3の雛祭りの日に行われたmixi Engineers' Seminar #1にお越しいただきましたみなさま、どうもありがとうございました。 当日使われた資料と動画を公開します。 ちなみに、今回のテーマはスマートフォン周りのお話しあれこれでした。 Objective-C一巡り Objective-Cひとめぐり View more presentations from Kenji Kinukawa ミクシィの衣川憲治より、WebエンジニアがObjective-Cを学習するメリット、Objective-Cの特徴などについて話しました。 GREEのHTML5とiOS+Andr
はじめまして。コミュニケーションサービス開発部の澤と申します。コーヒーとカレーをこよなく愛する新卒2年目の新米エンジニアで、弊社Webのフロントエンドを主に担当しています。最近はmixiスマートフォン版(mixi Touch)の開発にも精力的に取り組んでいます。 さて、本日はPC版のmixiで1つの機能をリリースいたしました。ファイルをWebブラウザにドラッグ&ドロップするだけで写真をmixiフォトにアップロードできるもので、HTML5 File API※1を採用しています。本記事ではこの機能について色々とお話をしたいと思います。 なにこれ? 以下では、ドラッグ&ドロップによるアップロード機能を「本機能」と呼びます。 百聞は一見にしかずです。本機能のプロモーションムービーがありますので、まずはこちらをご覧ください。 動画では下記を説明しています。 従来のアップロード方法からドラッグ&ドロッ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く