【悲報】2chにXSSの脆弱性が見つかる　とりあえずこのスレをブラウザで開け [転載禁止]©2ch.net [878269365]

取り急ぎソース
http://anago.2ch.net/test/read.cgi/software/1424453423/146-

ごめんミス　見なかったことにして

PC我物故割れた

怖

まじで終わってるわここ

やR民糞

そんな事より昨日から勃起がおさまらない
誰か穴貸して

書き込みテスト好きやな

普通のブラウザで見るのもアウトってこと？

昔の専ブラでSCを経由して閲覧するのが一番マシそうってのが終わってるわ

どういう原理だ

どうしたらいいの？

>>9
yes

なにこの自演スレ

>>13
どうアウトなの？
また情報抜かれる的な？

【緊急速報】 2ch、WEBブラウザで開くと個人情報が抜かれる仕様に　まもなく大規模流出
http://fox.2ch.net/test/read.cgi/poverty/1425175227/

>>14
どこがだよ　3回しか書き込んでないんだが

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　,:'/,:　'　//　/　,:'/　/
　　　　　　　　　　　　　　　　　　　　　　　　　彡⌒ミ　　　　　　　 　　　'　/　/　,:'/,　　:'/　　/'　/
　　　　　　　　　　　　　　　　　　　　　 　　／ 　 ／　　　　　　　　　　 '/ ,:　' ,-======-、　　/　,/,:
　 ┌─┴┴─┐　　　　　　　ﾉ　　　　彡＼.／　　　　　　　　　　 　/ , : '/ |n_ｊ_iｊ__ｊ__ji_j|　/　,:'
　　|　← 2ch 　 |　　　　　　　 ('ん`)　 　　　　／⌒ヽ　　　　　　 　/　/　/ 　 （'ん`；）　'　/　/
　.└─┬┬─┘　.　.::::::... 　　(　(7　　::::::　　(´ん`#）　　. .... ..::::::::::::::::....:::::　,ノﾞﾞﾞ,ﾊヽ、::::... ....::::::
　　　　.││"　　""''""' 　　　 <　ヽ　　"''' 　c/　　 ,つ　　　,-======-、　' `〜じ-Ｊｰ' '　　''''"
　　　　"''""";;;;;;;;;;;;　　;;;;;;;;　　　　　　　;;;;;;;;;　 ｛ ,、 ｛　 　;;;　|n_ｊ_iｊ__ｊ__ji_j|;;　　;;;;;;;;;;　　　;;;　;;;;;;;;;;
　　:::　　;;;;;:　　　　　　　　　;;;　　;;;;;　　　　:::;;　lﾉ ヽ,) 　　;;;;;;;　　　;;;;;　　　　　 ;;;;

　　　　　　　　　　　　　　　　　『またﾞ　たひﾞは　はしﾞまらない』

>>15
XSSのwikipediaより↓
クッキーの値を取得あるいは設定することにより、セッションハイジャックする。
強制的なページ遷移を起こさせ、クロスサイトリクエストフォージェリ対策を回避する。取得したクッキーを攻撃者側でそのまま利用できない場合に用いられる手法。
CSSのインポート機能を利用して不正なファイルをロードさせる。
ページ全体を置き換えることにより、偽のページを作り出す。典型的にはフィッシングに用いられる。
フォームの送信先を置換することにより、入力を第三者サイトに送信するよう仕向ける。

これらの攻撃が成立することにより、秘密情報の窃取や、回復不可能な権利侵害につながるおそれがある。

>>17
4回じゃねえか
嘘つくな

>>17
newsokurの嫌儲排除やめてくれね？アフィカスさん

俺みたいなよくわからん層向けにテンプレにしてくれよ
山下の話もそうだけど

（こわい）

>>1
おもふく
【緊急速報】 2ch、WEBブラウザで開くと個人情報が抜かれる仕様に　まもなく大規模流出 [転載禁止]2ch.net [203081384]
http://fox.2ch.net/test/read.cgi/poverty/1425175227/

抜かれるというとわかりにくいが
どうやら何らかの方法を使うと好きなコードを実行させられるみたいだな
そのスレみたいに無理矢理画像を表示させたりできるし
ブラウザに保存されてる情報を引っこ抜いてどっかに転送させることも出来るみたい
今までどうしてバレなかったんだろ、俺も知らなかったわ

>>19
なにこれ
悪意ある奴に2ちゃんが狙われたら俺も危険が無くもないってこと？

専ブラなら開いてもいいんだろ

>>26
そういうことだな
2chはもともとwebブラウザで見るようなサイトじゃないってこった

こうか

Noscript入れてたら効かないぞこれ

>>16,24
重複は悪かったがこんなスレタイじゃ誰も見ねえわ

キーロガーみたいなのも仕込めるってこと？

>>28
専ブラなら山下だし詰んでるのかよ
専門板一般ブラウザでROMるつもりだったんだが

なんかもうちょくちょくおかしなことやってる奴いるみたいだから
>>30のNoscript推奨だな
何動かされるかわかったもんじゃないぞ

>>33
だから、転載されたスレをscで昔の専ブラで見るのが一番マシかもな

>>35
なるほどそういう理屈ね
まあsc見るくらいならおとなしく諦めるわ

>>30>>34
そのアドオン入れてそのまんまでいいの？

こういう情報は全板拡散しろ

>>36
まぁどーしても見たくなったら最後の手段かな
俺はjimにも見切りつけたからscがどうっていうこだわりはあまりなくなったけど

>>37
JavaScript実行できないようにすりゃOKなはず
なんか全然話題になってないけど最悪これ祐ちゃん事件も引き起こせる最強の脆弱性だぞ
ちょいやばいわはよ直してくりー

chromeで普通に開いたけどやばい？
変な背景画像でgmail飛ばされた

>>40
俺FF&NoScript入れてても件のスレは変な画面になるわ
悪さできる範囲は減らせるとは思うけど完全じゃなさそうだ

普段MacのSafariで２ch見てるんだけどヤバイのか俺？
何とかしろ！！

>>40
まじ？
つーかそんな注意深くないと見れないサイトとかヤバすぎだろ

noscriptさんはヤフコメもxssなんちゃらの疑いでたまに弾く

xssってmixiのアレでもう少し知名度あると思ってた

専ブラは大丈夫なん？

恒心教徒にこの話教えに言っても良いですかね？

>>42
cssの上書きはjavascriptじゃないから実行されちゃうね
でもcss程度じゃ悪さはできないので大丈夫

マジかよ山下最低だな

安全度
2ch卒業＞＞＞SCを昔の専ブラで見る＞＞API専ブラ＞＞＞＞＞＞＞＞webブラウザ（笑）

はやく広めろ

詳しい奴はわかりやすくまとめてくれ
つーかまとめてからスレ立てろ勢い出ねえだろカス

>>49
あ、よかった　でももうwebブラウザで見る気は起きんな

見てもアウトか

避難所ないの？

よくわからんけど山下死ねよ

>>1が無能すぎて広まらないなこれ

NoScript入れてても↓
https://i.imgur.com/b1KWagF.jpg
がバックグランドに見えてた

mail欄がダメっぽいね
修正する気持ちがあればすぐに直るレベル

メール欄はエスケープされていなかったってことか？
何で今までばれなかったの

抜かれる仕様も何も山下のやりたいことのそれだろ？

ずっとヤバかったんです？
こわいわー

>>1
お前NGな

とりあえず、µBlock入れときゃいいんだろ？

掲示板のXSSとか対策していて当たり前のレベルなんだよなあ
今まで西村やJimも含めて何やってたの

あ

cssの荒らしってそれこそひろゆきがあめぞうを潰した手法と同じだな

うほー超こえー
お前らJavascriptマジ切っておけよ
殺人予告とか勝手に書き込まれるかもしれんぞ

あめぞうが潰された時に似てきたな

テンプレ化してもっとわかりやすくスレ立て直せ
他板にも伝えてくるから

>>61
apiの件で今とっといた脆弱性公開すれば効果的だから

今更になってこんなの見つかるとかｗ
専ブラにいかに依存してたかわかるな
で、今回はいままでお世話になった専ブラを海賊呼ばわりして排除と

a

ソ

>>71
祐ちゃん事件の悲劇再来？！みたいな表現でおｋ
あれもXSS

例のごとくOperaなら大丈夫とかある？

>>74
ちょっときみ

>>75
こういう風に目欄にcssとかjavascript入れると好きなの実行できる

>>76
だからそれの内容理解してる奴がお前らが思ってるより少ないんだよ
俺も知らんし

だからutf8化しろってさんざん言ってたじゃないですか！（すっとぼけ）

お前ら喜べ

webクロールしてるscはこれでクロール出来なくなるぞw

>>79
なるほど〜(感心)

恒心サイバー部がなんかしたのか？

test

>>80
ブラウザを裏で勝手に操作できますよでOK
書き込みも出来るし送信も出来るしガバなショップがあれば注文も出来るかもしれんし

>>82
関係ないと思う

>>86
だからそれだけだと仕組みわからん奴はうさんくせーと思って終わりだろ
お前はわかってるからそれだけで理解できるのかもしれんが

これは専ブラを使わせようとする罠

テスト

てす

テスト

>>88
ページ開いた時にhtml・css・javascriptなどの設計図を基に
ブラウザ（建築家）がページを構築するわけよ
その設計図を第三者が勝手に改竄して建築家に間違った家を建てさせることが出来る

>>82
Webクロールをインターネットエクスプローラーでアルバイトが必死に保存するお仕事だと思ってたの？

ようはurl踏むだけで任意の文章を掲示板に投稿させるってこった
ゆうちゃんの遠隔操作もこれ使って予告させてた

専ブラでもダメなの？

>>93
俺はなんとなくイメージは出来てきたが
このスレも伸びてないしみんな関心ないのか理解できないのか

専ブラ使ってない小学生の為にまとめ

メ欄に「ソ」を入れると以降のタグがぶっ飛ぶ
原因は5C関連だと思う
詳細は http://ja.wikipedia.org/wiki/Shift_JIS

ぶっ飛んだタグの次のレスのメ欄に入れた
jsが実行される

>>96
従来の専ブラならJavascriptもcssも関係ないので問題ないはず
俺はもう2ch見限ってるから新しい専ブラは知らないけど
広告を表示させるんだから多分javascript使ってると思うのでまずいだろうな

>>98

>>90と>>91
が実行結果

普通のブラウザから見ると実行されてるハズ

>>76
ゆうちゃんが使った手法はCSRFだよ
XSSのやばいところは安全なURL（例えばGoogleやTwitter）などと思わせておいて実際は別のページに飛ばすって事が可能

連携技頼むぞ

>>101
どっかに飛ばさせられる訳だから
結果的には同じことが出来るわな、手順が違うだけで
これjimとか気付いてないんかね、すぐ直せる問題だろー

また殺害予告祭りになるのか…

test

まずカラケー民あたりに教えてやれよ

こんなメジャーな脆弱性誰も試してなかったのか

test

miss

a

あークソガキが張り出したか

JavaScriptを切れない奴はしばらく2chから離れた方がいい
今はいたずら程度だけど、マジキチガキが危ないの張り出すだろ

どうでもいいけど2chがクラウドなんたらに変えてから上手くページが表示されずに謎のコードが出て来たな
F5押したら直った

test

test

>>77
自己レス
普通にダメっぽい

これ

何が漏れるのか言ってみろよ
どうせＳＣに誘導したいだけなんだろ？

ういチャイカ民は大丈夫なんです？

test

何だかよく分からんがSafariの設定でJavaScriptを有効にするのチェックを外しといたけど
これで大丈夫？

切った状態でこのスレ見たら
http://www.dotup.org/uploda/www.dotup.org192074.png
みたいな変な画像が出てるんだけどなんぞこれ

おわり

>>117
SCも同じ問題発生するからこれ
漏れるって言い方が確実に悪いな、好き勝手裏でブラウザ操れますよってことなんだけど

>>120
auto

懐かしい、XSSか
仕様変更する時にはたまに出てくるな
それだけつぎはぎだらけでグチャってるソースだからなんだが
狐が忍法帖とかやってた時に第一弾、でコドモンがかなりいらんところ切り飛ばした筈だが
これからもWEB部分をなにかいじるたびいろいろ出てくるとは思う

最期の派手なXSS脆弱性はモペがエロゲのメーカーサイトのキャラ絵にスレッドリンク掛けたくらいかな

>>117
漏れるどころか逮捕されるんだろ？

あーこれCFでメル欄が自動変換されるやつか？結局タグ漏れしてたのか…
これほんとやばいぞ。Webページのjavascriptで出来ることはなんでも閲覧者のPCで実行できる。

テストで貼るにしてももっと可愛い絵にしろよ
専門板まじきめぇ

2ちゃんねるの名前欄とメール欄は伊達じゃないんだよ
コマンド入力欄なんだから

>>122
要するにログ速の時と同じだろ？

>>120
それはcss埋め込まれてるから無効にはできない
だけど殺害予告とかはjsないとできないからそれでおｋ

ああ、CFにホスティングしたときの弊害か
なーんだ、すぐ塞げるな
コドモンスレにはもう伝わってるんだろ？

>>120
2chが誇る凄腕ハッカー、フィーネ萌えかな？

たいしたことないじゃん

>>131
みんなそう思って誰も伝えてない可能性が微レ存

なによりこれが放置されてたという無能っぷりが恐ろしい

NoscriptにRequestPolicy使ってる俺は背景画像すら変わらないわw

こういうとき、未承諾が首ツッコんでくると思うけれどもスルーしとけよ

今までスルーされてたのも怖いけど逆に言えば今まで誰も悪用していなかったっていうのもまた事実だしなあ

>>129
ログ速何かあったんか？俺は知らんわ
とにかく穴塞がないとコードが実行できてしまう
コードをコードとして認識させないようにすればいいだけなので修正は容易なのは確か

>>91
http://imgur.com/O4yeTgQ.png
ほげええええええええええ

>>135
心配しなくてももっととんでもないのも4-5年放置されてたりしてるからｗ
２ちゃんなんて西村のときもサザンの時も狐&rootの時もコドモンの時もそんなもん
ああ、一番最悪だったと思うのはいつの時代もトオルが触ってた時だな

>>138
知られてたら悪用せずとも話題になったりしてるはずだから
単に知られてなかっただけなんじゃ？

>>138
いやこれはクラウドフレアーでメールフィルタを使う場合のみ起こるらしい
だから最近出た脆弱だな

>>142
俺の中では知られる=悪用されるの等式が成り立ってたわ

穴あきで串使ってやればとんでもないことになりそう

どれどれ

テスト

なるほどクラウドフレアー導入時にメルアド系はなんか変な挙動してたもんなー
本文にまで及んだり書き込んだのに無効化されたり
今思えば前兆はたくさんあったな

>>139
スレタイにコード書いてログ速に転載させたら向こうで色々動かせたって奴かな

>>143
そこら辺の知識ないからよく分からんけど最近出た脆弱性ってのは分かった
そりゃ今まで騒がれませんわな…

ところで俺3/3からも普通にstyleで読み書き続けようと思ってるんだが
アホすぎるかな

よく考えたらROM専ならscでも問題ないな

>>149
ヤバイな
俺、このスレをログ速でOperaで見たわ

どんくらいフリーダムに実行できるんかね

これメール欄工夫すればどの程度までできるの？
例えば汚染されたスレをブラウザ開いた奴のクッキー情報をあるメールアドレスに自動転送されるとか
やろうと思えばできるの？

尊師に占領されててワロタ

ちなみにこうい脆弱性や穴をふさげるか否かは、積極的に２ちゃんを攻撃しようとしてるお前らが有能かどうかの踏絵だったりする
お前らが気付かないとそのままなんて普通にいくらでもある
スレッドURLの/test/は伊達じゃない

どういうこっちゃ

なお、転載先のscには影響ない模様

>>155
一番ひどそうなケースだと、
知らないうちに犯行予告しちゃって警察のお世話になれる

これが新しい2ちゃんねるだ!!

<script>
window.onload=function(){
var obj=document.getElementById('link');
var tag=document.createElement('a');
tag.setAttribute('href','http://aaa.aa/');
tag.appendChild(document.createTextNode('aaaa'));
obj.appendChild(tag);
}
</script>

test
<div id="link"></div>
test

>>155
知らないうちに通販してるかもな

TwitterとかGoogleみたいにWebの閲覧履歴を収集して
広告表示に使うんだろうが、
上場もしてない会社にこんな事されると何に使われるか分からないな

>>160
つまりほぼなんでも可能つううことか
これクラウドフレアー導入後、知らない間に仕組まれてて公になってない可能性もあるな

test

いまさらＸＳＳ脆弱性とか、本当に2ch無能すぎる
かといって専用ブラウザ使うの面倒くせえし

>>136
その2つの違いを俺に教えてくれ
Noscriptは許可したサイト以外jsを許可しないアドオンだろ？
RequestPolicyとの違いを教えてくれ

おなじ効果のアドオンな気がするんだけど
効果重複してない？

chaikaで見てるけど大丈夫みたい
chaikaの作者にスキルアップしろとよく言えたものだなｗ

>>155
background:url(//dummy.jp/画像に偽装したプログラム.png);

↑こうやってアクセスさせた時点で
お前のipからどっかに殺人予告が投稿されるってのも余裕でできる
尊師の画像でよかったな

i.imgur.com/8OEhiYb.png

>>169
自分で調べろ。重複していない。

いやゆる、5C問題っつうことですか

ｗｑ

>>160
乗っとりが可能ってこと？
もしのっとられて犯罪されて、それを証明することはできるもんなの？

怖くてこのスレ普通のブラウザで開けない

ﾎﾟｯﾎﾟｰ　(´ ＼ 　|　＿＿＿＿＿＿＿＿＿＿／ヽ　　　　　　 /
　　 　 　 　 .l l ＼| |　！ノートン先生　！　／/U　ヽ＿＿＿/
パソコン蛾人　　＼　！！大激怒！！　／／　　　U　　　　:::U:
ぶっ壊れ（＿_） 　　＼　！！！！！　／　/／ ＿__　　　＼　　:::
たお！　（＿＿） 　　　＼∧∧∧∧／　　 |　　|　　 |　　　　U ::::
　　　　 （`Д´＃）　　　＜　ぶ パ　＞　　　|U　|　　　|　　　　　::U:
　　 ＿|￣￣||＿）＿　＜　　っ　ソ ＞　　　 |　├―-┤　U.....::::
　／旦|――||/／ ／|　＜　壊 コ　＞　　　　ヽ　　　　　.....:::::::::
─────────＜　れ ン　＞──────────
<　　 ＿,ノ , 、ヽ､＿　ノ＜　た　蛾＞　　ﾌﾟｽﾌﾟｽﾌﾟｽ･･・・・∬∬
　（y○'）｀ヽ) ( ´（y○'）＜　 !!! 　　＞踏んじゃったよぉ＿＿＿
　　⌒　/　　　　ヽ⌒　／∨∨∨∨＼　　　∧＿∧　　|｜＼
うわあ |~￣￣~.|ぁぁ／パソコン蛾ぶ ＼　（ ；´Д｀）　 |｜　｜
ぁぁ|　|||! i: |||! !|ぁ／っ壊れた！ディス　＼（　　つ／￣|｜／
ぁぁ| |||| !! !!||| :|／プレイが砕け散った！ ＼ヽ　|二二二」

余裕だろ開くぐらい

>>175
証明は乗っ取り犯が自供しないと日本では無理じゃないかね
すさまじい程の長文を数秒で打ち込むとか不可能なのに警察はやれば出来る！とか言って
一時的にとはいえ容疑者にしてしまっていたわけだし

>>179
サンクス
マジか

乗っ取りと言ってもJavaScriptくらいじゃできるのは殺害予告トラップくらいじゃないかなあ
PCのファイルいじったり画面覗いたりは不可能だと思う

あ、でもcookie覗けるか

>>181
おう、それくらいそれくらい
ブラウザを操るくらいの認識でOKよ
それ以外はJavascript程度じゃ無理だろ、ウイルス踏ませない限りは

a style=padding:9in;background:url(//http://www.koushin-lawfirm.jp/img/mainvisual.jpg); 👀

本文の方は大丈夫なんだな

スレ開いただけで尊師裸踊り強制発動とか出来るってこと？

>>172
そこをなんとか

初出のスレの背景画像がフィーネにされてたからフィーネ萌えが帰ってきた可能性がredditで指摘されてるな

これってプライベートブラウジングとか関係なくアウトなのか？
やばいな

問題が出ているなら今はread.cgiのほうはメール欄の表示止めてあるんだよね？
まさかそのままじゃないよな？

>>186
こんなかんじか

サンクス
例えば名前欄をnot abeにした人達は何か情報取られてるor仕込まれてる
そんな可能性はあるの？

test

とりあえずjavascript切っとけば良いのか？

kkkkkkk

専ブラ使えなくなる前でよかった
はよ直しといて

やはり専ブラは必要だな

あ？

？

あ

ｘ

boon2chってなに？
アフィブログが出てくるんだが

ソ

遠隔も出来るようだな
最悪だ

書式がわからん普通にやるだけかね？
安全なことしかやらないのでご心配なく

出来てワロタ

マジでみんなどうするの？
俺スマホでしかネットしないからmate更新するしかなさそうなんだけど余所への移住者が多いなら一緒に行きたい
みんな2ちゃん継続？

ウイルスを仕込んだサイトに飛ばされたらかなりやばい

>>89
だな
このタイミングはそれ以外考えられない
spyleへ移行した奴が思った以上に少なくて焦ってるんだろうな

>>205
まず目欄に「ソ」と入れたレスでタグを破壊してから
その後のレスでコードを目欄に入れる

継続するかしないかはこの先の運営の態度次第だよなぁ
redditもいいかなーと思ってたけどあそこ人が違うよ、確実に違う
なんか良い子すぎるからなー

>>205
メ欄ソの書き込みの下の書き込みのメ欄が実行されるとか何とか

あ

2chドメインでXSSされても大して実害が無いんだが…
と思ったけど、リンク書き換えてそこから色々できるな

>>210
書き込みはコンボでやらなあかんわけか
それにしてもこれだけで壊れるんか、やばいな

ブラウザで開くの不安だけど今どんな感じなのかは興味あるから
>>120や>>140みたいな感じの画像をどんどん貼ってくれ

ああ、ほんとだわ
これはあかんわ

う〜んこの

>>211
でも明後日からだろ？もう時間はないぞ
怖いわ

TwitterやGoogleにログインしたままスレを開くと
アカウント名がばれるタグ仕込めるなこれは

とりあえずブラウザで見るときはjs切らんとダメだな

>>211
それはお前が洗脳されてたんやで
redditにしても一般人からしたら引くレベルで普通に下品や

XSSは主にjavascript経由で情報を抜いたりする手口が多いから一番安全なのはjavascript自体を無効にするしかないな

てすや

　

a style=padding:9in onmouseover=alert(document.cookie)//

　

きっとノートンが危険サイトに指定してくれるよ（適当）

方法を教えたら被害増加するだろうなあ(わくわく

やれる事といえばdocument.cookie抜いてBEアカウントlocationで飛ばす位しかできないナリ

chromeにAdBlockを入れているんだが、件の画像が見えない
これなら防げるのか？

なんか見るとセキュリティソフトが反応するコピペとかあったよな

アドブロックはいれてねーからしらん
とにかくJavascript実行させんな、それでいい
多分Javascript消しゃ広告も消えるだろ

ソでタグ破壊ってどういうことだ

このスレにもきてるじゃねーか

あ

2ch.netってX-Frame-optionついてんのかな？
無かったら書き込みしたらヤバくね？

>>216
ちゃんとグロ耐性あって言ってる？

189 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2015/03/01(日) 11:50:38.15 ID:r5uCmUII0 [10/14]
なぜ起きるかというと、7F以降は普通はASCII文字ではない
なので、CFのemail-protectionは後ろ側の52だけASCII（この場合 R ）とみなしてemailの一部としてとらえ
前側の82はASCIIじゃないので処理から外す
結果、82だけがぽつんと残る、ここで残った82が、その後CFにより挿入される " や < と結びついて良くわからんSjis2バイト文字として認識される
かくして " や < が消えたりする

てｓつ

あ

a style=padding:9in;onmouseover=alert(document.cookie);

a style=padding:9in;onmouseover=alert(document.cookie);

>>238
えっそんな状況なのかよ

書き込んでみよう

Janeで開いたら、V2Cになったわ
怖くてアンインストした

あ

テスト

　　　　　 ／｀､＿__／｀､
　　　　 /　　　　　　 　 ｀､
　　　 Y　　　　　　　　 　 Y
　　　 |　　 　 ( |｀)　　( |｀)
　γy ヽ　　　　 ( _ﾉ､_ ) ノ
　 | |　／　　　　　　　　ヽ､　ｶﾘｯ ｶﾘｯ
　 ｀､´　　　　彡 　1 彡 .,_ｒ)
　　 ｀､､,､,､,､,,,,λ.,,_） 　 ( (c ● ]ミ ＜ 当職ｶﾗ見ﾀﾗ 横ｦ向ｲﾃﾙﾉﾊ ｵ前
　　　　　　　　　　　　　　　　　　　　　　当職ｶﾞ ｺﾉ手ﾃﾞ 真ｯ直ｸﾞﾆｼﾃﾔﾙﾅﾘ
　　　　　　　　　　　　　　　　　　　　　　厚史ﾉﾄｷﾐﾀｲﾆ…

さっきブラウザでアクセスしたけどなんとも無かったよ
お前ら騒ぎすぎ

ソ

>>233
でもjsないと色々不便じゃん

document.cookie <onmouseover=alert>

あ

　　　　　 ／｀､＿__／｀､
　　　　 /　　　　　　 　 ｀､
　　　 Y　　　　　　　　 　 Y
　　　 |　　 　 ( |｀)　　( |｀)
　γy ヽ　　　　 ( _ﾉ､_ ) ノ
　 | |　／　　　　　　　　ヽ､　ｶﾘｯ ｶﾘｯ
　 ｀､´　　　　彡 　1 彡 .,_ｒ)
　　 ｀､､,､,､,､,,,,λ.,,_） 　 ( (c ● ]ミ ＜ 当職ｶﾗ見ﾀﾗ 横ｦ向ｲﾃﾙﾉﾊ ｵ前
　　　　　　　　　　　　　　　　　　　　　　当職ｶﾞ ｺﾉ手ﾃﾞ 真ｯ直ｸﾞﾆｼﾃﾔﾙﾅﾘ
　　　　　　　　　　　　　　　　　　　　　　厚史ﾉﾄｷﾐﾀｲﾆ…

ハハハ

>>149
>>153
いくら取得したデータだからって出力時にエスケープするだろさすがに

ネトゲの垢とパスも抜かれたりすんの？

あああ

>>244
246まで見たかぎりまだその状況じゃない
でもいつ来てもおかしくない

俺はグロ苦手だからそろそろ撤収する潮時だわ
セキュリティの脆弱性とかは犯罪予告やらは怖くないんだけどな

<img src="http://tsets.gif">

>>238
俺はグロ耐性あるからドンドン貼って行ってくれ

去年ぐらいにtweetdeckで一瞬あったあれか

濶ｲ縺・§繧後ｋ縺舌ｉ縺・□繧�
縺輔☆縺後・jim繧ゅ◎縺薙∪縺ｧ辟｡閭ｽ縺倥ｃ縺ｪ縺・・縺

<img src="http://tsets.gif">ソ"<ソ>""<<img src="ソ""$&>!||/**/mySQL>
.?/**\home-a/*/*/*/*user*/?admin**E:data/?chmod0777/w.d|delete,quit
ソ

>>258
やろうと思えばできるだろうなぁ
ブラウザ情報には好きにアクセスできると思ったらええ
Javascript切っておけば大丈夫

文字コード問題でタグ破壊とかありがちすぎる

>>266
Javascript蛻・ｋ縺ｨ繧√ｓ縺ｩ縺上＆縺・ｓ縺�繧医↑

あああ

昔はこういうのでしょっちゅうモタ男とか見せられてたよね

,>w

てす

ソ

Noscript先生でブロックすればいいんじゃね

>>268
そんなに不便かね？
めんどうなことはないと思うがなぁ
見るページの違いかね

XSS対策してないとか最高にギャグ
如何に専ブラの仕組みに依存してるかわかるな

こうかな

連携が大事

とりあえずVIPはそんなに長い文字入らないからやばそうなのはなんJですわ

あ<><><><><><><>

ソ

Chaikaは大丈夫ってことでええのん？

1かいめ

ソ

だからreddit来いっつってんだろカスども

2かいめ

あ<><><><><><><>ソ

>>286
邪魔されてて草生える

fff

てか今時shiftjisなんだ

>>288
間に通常レス挟んでも発動するよ

Proxomitronとか使ってクッキー書き換えちゃえばいいんじゃないの？

テスト

Javascriptなんて普段から切ってるわ
昔えらい目に合ったことがある

�

  €
 ‚

壊すのはいいけど書くのはよくわからんな

tset

あ

難しい〜

あははー

tset

直ってね？

お、修正来たな

て

て

　Mail Protectionが解除されて対策された模様

あら治っちゃったか

あ

01

メールプロテクションが解除されて業者からメール飛んでくるはめに

sageしか書かんのにメールプロテクトもくそもねーわな
余計な機能付けるからこうなる

あ

尊師が消えた悲しい

／(^o^)＼

SC見てる方が安全て

初歩的質問でお恥ずかしい
Java切るのってインターネットオプションで見つからないんだがどこにある？？

以前からあった脆弱性なの？
それとも品質管理の概念も知らなさそうな独学自称プログラマの無能猿が新たに作った脆弱性なの？

2chmateに文字列のバグがあるナリ

メールプロテクションを解除したことで更におもちゃになるのか…

なんだこのスレ
感染してる奴でもいるのか

対策されたってことでええのか？

%#0010;%#0010;%#0010;%#0010;%#0010;%#0010;%#0010;

これはいけない

a
b

c
d

e
f

g
h

i
j

自動でchaikaで開いちゃうし普通に開いてもNoscriptがブロックしてくれる
やっぱFx最強だな

ファーry

>>51
謝謝

. .
. .
. .
. .
. .
. .
. .
. . 👀

祭りは終わりですか

インターネッツはNoscript先生がたまに反応するから怖い

scはまだ直ってないなｗ

常時offにするべきもの
java, javascript, flash,
ｲﾒｰｼﾞ, ｱﾆﾒｰｼｮﾝ, ｸｯｷｰ, ﾘﾌｧﾗｰ
これで安心安全快適に閲覧できる

専ブラ使ったり
javascript切らずに徘徊しまくったりとか
おまえら意識高い系すぎるぞ

NoScript入れてるし安心だわ
ヤフーニュースが良くXSS判定されてるけど

ん、良く分からんが直ったのか？

メールプロテクション外されてscやアフィブログにコピペされるようになっただけ

ところで、メール欄って何であるの？
昔はメールしてたの？

>>46
ぼくはまちちゃん！こんにちはこんにちは！

アプリはクッキー食わないしScriptも動かないから関係ないな

http://www.dotup.org/uploda/www.dotup.org192074.png
さっき見たらこうなったけどこのスレのメル蘭に書かれてる文章でこうなったて事？
やろうと思えばこのスレのメル蘭に悪意ある事書いてもっと酷い事できますて事？

実際のところJavaScriptで殺人予告とか無理でしょ？
すくなくとも２ちゃんに書き込むことは出来ないでしょ

よくわからんがJaneStyleに乗り換えればいいの？

なんで今頃こんなのが見つかるんだよ
アホか

>>340
document.forms[0].elements[4].value='test';document.forms[0].submit();

いわゆるダメ文字か

>>344
sjisの問題ではない。

>>345
バックスラッシュを注入しようとしてるように見えるんだが？
utf-8 なら不可能じゃね？

>>346
バックスラッシュ単体だけでも良い。

クロすサイトスプリクティングって実際どういう感じなの？
馬鹿にでも分かるようにパソコンの先生のみなさん教えて
クッキーをとっちゃうの？

専ブラは大丈夫なのか？

テス

>>347
なんだそりゃすげーな

>>348
乗っ取られて、勝手に殺人予告しちゃったりする。

>>349
専ブラは一部のプロプライエタリのものを除いて安全。
read.cgiは過去にも色々あったし危ない。

>>348
まずJavascriptって何だか分かる？

>>328
初めて目玉みたｗ

ヤバスwww

>>352
どうも。
read.cgiは理解できたが、プロプライエタリがちんぷんかんぷんだな。

>>343
そのスクリプトが実行されたとしても実際は書き込み内容確認画面が出て書き込みはされないんじゃないの

>>344
なんこれ？

>>356
JaneStyleとか2chMateとかBB2Cとかの営利企業が作ってる奴は危険が危ないって事やで

とりあえずアクティブスクリプトとかいうのを無効にしておけばいいのね

まじかよ

>>359
そうですか、ありがろうございました。Xenoつかってます。

要するに広告に偽装して入り込むのか。

こっちは無効になったけどあっちにクロールされても有効だよね

てす

>>353
わからん
スマホでjs止めたらchromeがおかしくなったぞ

したらばみたいな2ch系のとこはどうなん

>>367
関係ないはず
同じもの使ってないから

DDOS攻撃対策に入れたソフトのバグだよね？
ｓｃやしたらばは、それ入ってるのかな？

BBSPINKはやばいだろうな

>>369
SCはまだ有効になってる
まちBやOpenは以前から無効

>>371
そうなんですか。ｓｃは対策してないと。

>>316
Java切る　で検索するとよいです

http://maguro.2ch.sc/test/read.cgi/poverty/1425175295/
出来た

496 名前：動け動けウゴウゴ２ちゃんねる[sage] 投稿日：2015/02/28(土) 14:52:29.04 ID:pPhpWEUX
CloudFlareのEmail Protectionを無効にしてちょうだい
駄目文字でHTMl壊れちゃう

>>366
それだと簡単な説明は大変難しいが…

Webサイトからブラウザには、表示するデータそのものとブラウザ上で動かすプログラムの2つが送られる
プログラムは、送ってきたサイトと通信する時だけに使われることがセキュリティ上の鉄則

今回は、2chのレスにプログラムを仕込むことで、
2chとの通信とは全然関係ないプログラムをブラウザに送れるようになっていた

この「プログラム」がJavascript
ブラウザでNoScriptなんかを有効にしておくと送られてきたプログラムが実行されないのでセーフ

BB2C画像表示無し設定の俺には関係無い

>>376
＞ 今回は、2chのレスにプログラムを仕込むことで、
2chとの通信とは全然関係ないプログラムをブラウザに送れるようになっていた

これって「（第三者が）レスにプログラムを仕込むことで〜」ってこと？
例えばお前がレスにjsの文字列？を仕込んでレスして、俺のブラウザに侵入して悪戯できたりってことでいいのかな？

とくになにも起こらんが
a style=padding:9in;background:url(//i.imgur.com/b1KWagF.jpg);
これか?

>>379
ここはもう無効になった
>>374をWebブラウザで見てみ

>>378
>例えばお前がレスにjsの文字列？を仕込んでレスして、俺のブラウザに侵入して悪戯できたりってことでいいのかな？

そう
このスレでメール欄にいろいろ書いているのはほとんどそれ
2ch.netではすでに対策済みだという
つまりタダの文字列に見えるだけでプログラムとしては動かない

>>1は今は見ても大丈夫なの？

そもそもクロスサイトスプリクティングってのは何がしたいんだ？

フィッシング詐欺
ワンクリック詐欺
なりすまし

この辺は分かるけど
クロスサイトスプリクティングってのはどういう犯罪に繋がるのだ？

>>381
うっわわかりやすかったわありがとう
でも2chnetでは対策済みなのか
じゃあ3月4日以降でも俺たちには関係ないね
scとかが危ないの？
行く機会ないけど

>>382
よそを経由して観察してたけど、もう問題は解決されたみたいだよ
SCも同じ脆弱性抱えていながら対策してないから、
SCでこのスレのコピーを見てるなら試すのは辞めておけよ

しかし今更CloudFlareのバグが見付かるとか何なのマジで

>>211
良い子が悪ふざけする程度でいいんだよ
10年ぐらい前のログ引っ張ってみろよ今の2chはみんなピリピリしてる

>>352
何を乗っ取るの？


TCP/IPとか関係ある？
アプリケーション層プレゼンテーション層セッション層トランスポート層ネットワーク層データリンク層物理層
てのがあって、TCP/IPってのはアプリケーション層トランスポート層インターネット層ネットワークインターフェース層
ってのを使ってる？とかよく分からんけど資格試験のために覚えたのは覚えたが
そんでなんかＭＡＣアドレスはNICごとに既に割り振られていて、IPってのはグローバルＩＰとプライベートＩＰってのがあって
ネットワークにつなぐには、グローバルＩＰっていうユニークなＩＰじゃないとダメで、それに変換するにはＮＡＴとＩＰマスカレードってのがあって
ＤＨＣＰってのが用意してあれば自動でＩＰは割り振られて
javaはjavaアプレットっていうなんかＤＬして使うやつとサーブレットっていうサーバーで動く奴があってよくわからんけど
それに似た感じだけど互換性とかない？奴がjavascriptってのはなんとなく覚えてる
あとSOAPとXMLとかがよくわからん
もう２ちゃん終わるし最後にパソコンの先生色々教えてくれ
間違ってるところあったら指摘してくれ

>>388
物理層

>>332
クソつまんなさそう
てか不便だろそれ、マゾかよ

scのほう行ってみ
scのほうに画像反映されてる

>>389
嘘が下手だな

ID:GHhzHBny0
こいついつもわいてる糖質だろ

恐くて開けない

パソコンの先生いないじゃん

ぐぐる先生にコンピュータに損害を与える可能性がありますって言われちゃうの？

人大杉強制発動させる手間が省けたじゃん

ググったら一か月以上前からわかってて放置されてたみたいだね

今北けど
レスに仕込んだ任意のコードが実行されちゃう状態だったってこと？

>>399
しょうゆうこと

今はもうなおったの？

一応治ったことになってる
が、全て把握はできていない
他にもある可能性が

メールプロテクションっていうクロールを妨害する？スクリプトを停止させた一時的措置をしただけみたいだから、
メールプロテクションが起動されればまた発症するんじゃないの

人にコードスキル磨けとか言う前にエスケープ処理くらいきっちりしろよ

これcloudflareつこうた他のウェブサイトは大丈夫なんか？

専ブラを使えなくしたうえでブラウザを乗っ取る計画だったんだろうな

ケンモー重くなってきた

XSSってIDとパスを盗むだけかと思ったけど考えたら任意コード実行だから何でもありなのか
aguseで>>1みても背景はなかったけど背景に画像を表示されるコードを張ってってことか
専ブラもPCもスマホも駄目じゃ割と詰んでませんかねここ
クッキー奪うコードが>>1にあったら●流出より悲惨だからな

情弱に分かりやすく教えてくれ

>>328
この目玉はなんなの？

>>409
1. 情強がshift-jisの特定の文字をメール欄に仕込む
2. その次のレスでメール欄に実行させたいスクリプトを仕込む
3. >>409がそのレスをInternetExplorerなどのウェブブラウザで読む
9. >>409は知らぬ間に殺害予告犯に、あるいはSNSアカウントを乗っ取られる

>>411
よくわかんないけどwebブラウザから2ch見なきゃいいの？

>>412
YES

ただ3月3日でJaneStyleを除くほぼすべての2ch専用ブラウザは2chの仕様変更にあわせて使用できなくなる
スマートフォンでも閲覧できなくなる
そして、JaneStyleはユーザーに通知せずにユーザー情報をどこかに送信していたという前科がある
つまり、2chは詰んだ

山下がスパイウェア仕込んでると断言してる時点でヤバイ

>>405
scが未対策でXSS天国>>374

Chromeから見てしまったよ…どうしよ

>>373
ありがとう

Java切ったら動画や配信見れないじゃんか

>>418
２ｃｈとどちらを優先するほうがいいのって話になる・・・

noscript入れて任意で許可するようにしろよ

>>413
V2C使えなくなるのか
Janeはなんか使いたくないし2ch撤退しかないか

JavaScriptを無効にしてしょっちゅうcookieの削除しておけばwebブラウザから2chできるんでしょ？

>>387
そら下痢のせいでみんな生活苦しくなってきてるしなー

>>332
Javascript切ったらほとんどのサイトがまともに表示されないだろう

JavaScript切っても特に問題ないけど
無駄な広告は減った

Java切る時はツール→オプション→セキュリティの「レベルのカスタマイズ」まで行って変更してる？
ゾーンセキュリティを高にするだけで十分？

>>422
Cookieの削除じゃ不十分じゃないか
CSSも乗っ取るらしいし
未知のjpgの脆弱性がもしあった場合、
CSSのイメージロードでクラックされるかもしれないし

2ch運営がこのままCFのメールプロテクションを切り続けるか、
CFの開発元がエスケープ処理をきちんとするかしないとどうにもならん
バックスラッシュでもなるらしいから、sjisの日本だけの問題じゃないし

あ、CFの開発元は関係ないか
2ch側がメール欄のエスケープ処理すりゃいいんだ

とりあえずjavascriptは切った（アクティブスクリプトってのを無効にした）

確認だけど、とりあえずはこれまでのところ、画像が表示されるみたいなレベルのは別として
この弱点を本格的に悪用したようなレスは確認されてないってことでいいの？

>>427
ＣＳＳってカスケーディングスタイルシートとかいうやつ？
それはどういう動きをするの？

わかんね
未知の画像ファイルの脆弱性があるかもしれんから
>>171みたいなのとか

不安なら、ルートキットで隠蔽されてたら意味ないけど、
パケットフィルタでも入れて不審な送信がないか監視してみたら？

>>430
たしか15年ぐらい前までは、HTMLのなかに本文のほかに、
本文の強調や取り消し線など文字を修飾するその他のタグをすべて突っ込んでいることが多かった
でも、それだと複数のページにまたがる本文のレイアウト設定や変更が煩雑になる
そこで本文とはべつに修飾についての記述をおこなうスタイルシートが流行ってきたというわけ

複数のHTMLにそのCSSを読み込むように記述すれば、
CSSを編集するだけで複数のHTMLのレイアウト変更が一括してできる
当然、背景画像を読み込むためのタグも用意されているので、
未知の画像ファイルの脆弱性がある場合、危険なことになってしまう

つか画像ファイルに脆弱性があったら専ブラでも同じだからね

>>432
つまり画像ファイルと思わせて、実際はウィルスとかを仕込んでおく
↓
ＨＴＭＬを読むときＣＳＳも一緒にＰＣに読み込まれて侵入される
そういうこと？
こういうのを防ぐ方法ってないの？
ＳＳＬとかは関係ない？

>>434
ちょっと違う

>つまり画像ファイルと思わせて、実際はウィルスとかを仕込んでおく
偽装ウィルスもあるし、画像処理をオーバーフローさせてパソコンをフリーズさせてしまうなどがある

>ＨＴＭＬを読むときＣＳＳも一緒にＰＣに読み込まれて侵入される
メールアドレス欄に仕込まれたスクリプト断片が、
エスケープ処理がなされなかったために読み込んだパソコンのキャッシュにあるCookieやCSSを改ざん、
2chとは別のサイトにある不正なスクリプトを実行させてしまう恐れがあるみたいな感じ

>こういうのを防ぐ方法ってないの？
javascriptを使用しない、イメージファイルをwebブラウザで表示させない、phpやcgiのある掲示板・wikiなどを見ない

>ＳＳＬとかは関係ない？
通信傍受とは違って、使用しているパソコンの動作を狂わせるものなのでSSLは関係ない

ダイヤルアップの頃は重いサイト回避でスクリプトとかサウンドとか全部オフにしてたんだが
さすがにこのご時世できねえなぁ

今後はＷＥＢブラウザで２ちゃん見るときは毎回javaを無効にしないといけないの？いつか改善されるかな

>>437
２ちゃんだけoffにしておけばいい

２ちゃんっていっぱい板やスレッドがあるけどよく見るスレを一個一個設定するの？

XSSで情報抜かれたのは設定ミスっただけだから
今なおしたから何もしなくても問題ないらしい

まぁ2chだけの問題じゃないからね
どのサイトでも遭遇し得る問題
常日頃からOFFにする癖をつけとく分にはいいんじゃない

103 ：可愛い奥様＠転載は禁止：2015/03/01(日) 21:26:32.32 ID:OKqWh7Ey0
これなら大丈夫じゃないの、やり過ぎた感あるけど

・PCは専ブラ使わない→専門板など2chを閲覧するなら必ずコピーサイトsc等で
・携帯端末も専ブラ使わない→同様にコピーサイトで我慢
・SNSは利用していない
・Noscriptを入れてJavaScript禁止
・Javaもアンインストール済み
・ブラウザのアドオン一覧からもJava消去

これでFAじゃねーの？java消すのはやりすぎだけど

2chMateからsc見るのは問題なし？

>>440
マジで？

>>441
逆を言えば一々気にしてたら何もできないってことだよね

>>442
scから誘導ご苦労様ですね
scでもやらかしてた癖に

SCは今現在も未対策なんでマジ危険

>>444
そだね
「大手企業 XSS」でぐぐると難しさがわかると思う

scだめなんかー、せっかく2chMateからscだけにしたのに…。情弱は辛い

>>442
バカがNoScript使うと何も表示できなくなって全許可もしくは削除するので意味がない

>>440
本当に治ったの？Javaを有効に戻しても大丈夫？

このＰＣ、２ちゃん専用機だから大丈夫よね？

【2chブラウザ】Jane Styleだけが数ある2chブラウザでもスパイウェア仕込み前科あり|twitter [転載禁止]?2ch.net
http://hope.2ch.net/test/read.cgi/snsplus/1425212703/

>>448
scを古い専ブラで見る分には大丈夫

>>453
その｢古い｣というのはバージョンが古いということ？何もわかっていなくてすみません

記憶の片隅にあるけど、Jane系ってIEコンポーネント使ってないんだっけ？
それを宣伝したいのかな？このスレは

さすがに即対応されたか。

scが未対応なら、xssでscの同スレに飛ばすようにしてあげれば、面白いことになったかと思ったんだけど。

>>449
本当に本当にこれ
NoScript啓蒙のまずさは高木浩光せんせも昔から指摘してたな

でも俺も正直XSSってよくわからん
今見てるページのものじゃないスクリプトが実行されてるなんて当たり前にあることなのに
どうやってOKなものとダメなものが区別されてるんだろうって

>>457
一般人の書き込みによって好きなサイトにジャンプさせられる機能が夕方医

>>454
言い方変えると、今回のAPI騒動で2chが見れなくなる専ブラ
mateはバージョン上げてなければいいんじゃないかなぁ

scも対応されたっぽい

>>456
XSSは対策されたの？

Firefoxでヤフーのニュース記事見てるとたまに「クロスサイトスクリプティングの可能性のあるアクセスを遮断しました」
ってなってコメント欄が見えないことがあるけどあれか

２ちゃんねるの運営が吐き返されたcookieを何に利用するのかいな？とはなるんだわ
片山祐輔氏がやったことを再度やろうとしているのはわかるんだが
片山氏が初めてではなかったが、２ちゃんねるの運営は、「自分らの為になることを「ピコーーーン！！」と思いついたｗｗ」と思っているんだろうとは思うわ

片山祐輔氏は２ちゃんねるの運営だった可能性があると警察に通報しないと止まらないのかしら？とは思うわ
そういうこことを通報されることが、２ちゃんねるの運営にとって得策かとは思えないがな

クッキーの仕様変更があったのはこれのため？

>>465
別物
マンゴーがいじってる
詳しくはmango板へ

ててす

もう解決したの？
IE、火狐、クロームで2ch接続してもOKなのか

PCからV2Cなんですが、これは使い続けられますか

てすと

ガラケーも駄目なのか気になる所

2chMate使ってるんだけどFacebookやTwitterとひも付けされるってのがちょっとよく分からない

既にもう何年もJane使ってきた情弱な自分はこれからどうしたらいいんでしょう
今さら何も気にする事はないのか
明日からは使うのやめた方がいいのか
とりあえず普段から２chで暴言吐いたりはしてないけどね

>>472
広告IDやIDFAはAppleやGoogleやFacebookもスマホアプリなんかを使って収集してるもんだ
https://support.google.com/adxbuyer/answer/3221407?hl=ja
https://ja-jp.facebook.com/help/570474483033581
これを2chが広告を通して集め始めようとしてるから、騒ぎになってる
2chは売れるものなら何でも売るだろうから、AppleやGoogleやFacebookがおもらししたら
2chでの行動情報も全部紐付けされるよね、という単純な話だ

明後日から個人情報を專ブラ作者に掴まれたままアイドルを中傷したらどうなるか分かってるんだろうな? [転載禁止]
http://hello.2ch.net/test/read.cgi/morningcoffee/1425205111/l50

>>474
漏洩したらFacebookやTwitter上で２ちゃんの行動が一緒くたに漏れるって事って意味か？
無知ですまん
FacebookやTwitterをアプリじゃなくてWebから閲覧してても同じだろうか
まあ糞ゲーをフルプライスで買ったから葬式スレぐらいにしか愚痴こぼしてないけど
2chMateでも危ないとうか、結局はターゲットな訳ね
要するにAndroidの自分はもうしない方がいいのか…

>>476
FacebookやTwitterに登録してる、電話番号や氏名や住所なんかの個人情報に、
広告IDやIDFAが一緒になって流出すると、2chでの行動も紐付けされるよっていう話

これはAppleの例だけど、過去に1200万件おもらししてて
＞ http://itpro.nikkeibp.co.jp/article/NEWS/20120905/420501/
＞ ファイルには、1236万7232件におよぶiOSデバイスのUDID（端末固有番号）、
＞ ユーザー名、デバイスの名前とタイプ、郵便番号、住所、携帯電話番号などのデータが含まれていた。

こういうデータが流出すると、匿名のはずの2chがユーザー名や住所や電話番号まで
2chの書き込みに紐付けできてしまうようになる
このデータにアカウント名が付いてると、FacebookやTwitter上での行動も紐付けされる

>>403　それでメールプロテクションが出てたのかｗ。上げ下げ出来なくなったナァ？とか思ってたら。

みんな、テキストオンリーブラウザで2chを見ればいいじゃんｗ。

>>477
oh…想像以上のまずさだった
詳しくどうもありがとう
大体分かってきた
匿名提示版ではなくなっちゃうんだな完全に
名前しか登録してないししばらく使ってないからFacebookも停止しとこ…
解約したら情報もちゃんと消してくれるとこだといいんだけど
まあFacebookだとかソーシャルネットワークだっけ？
あれに個人情報載せてる行為自体がもうまずいんだからこういう事はあってもおかしくないか

Facebook、Twitterとも偽名登録だし、住所他一切登録してないわ
なら問題ないということだろうか

>>480
あとはAmazonみたいな通販サイトとか利用してるかどうかじゃない？
そこも偽名、偽住所、偽電話番号だとさすがにもう本人に紐付けしようがないと思うw

>>1>>120>>176
そのスレをクロームやIEで開いたが何もおきなかった
>>111
リンクを踏まなきゃ良いんでそ？

スマホで通販やっててPCで個人情報なんも入れてないからそれから見るしかないな

>>482
メールプロテクションって機能にバグがあってそうなってたんだが
やばいのに気付いて停止したから今は大丈夫はなず
貼られた時点では開くだけで変なことになってた
まあこのスレのやつは背景画像が表示される程度で実害はなかった気がするが
理論上はやばいコードも実行できた

え？mateはダメなん？

ロムに徹してれば大丈夫なんだよね？

>>486
明日からはdev版じゃないと使えないぞ

>>487
意味わかんないけど、そのdev版？ってのをDLしたら安全に使えるの？

今使ってるJaneStyle3.75でｓｃをロムるだけなら
閲覧履歴とかは抜かれないの？

>>488
明日からmateはしばらくdev版しか対応してない
googleplay版はAPI対応までしばらく時間かかるらしい
安全かどうかは明日になってみないと何の情報抜かれるのか確認できないしなんとも言えん

mateの開発状況詳細はここで確認したらいい

https://sites.google.com/site/nikenonomonooki/2chMate/changes

正直よく分からんが、とにかく明日からしばらく
ROMだけにしとこっと

>>490
ありがとう、読んでみるね
でももう今既にもう重かったり調子悪いし＞mate

>>491
読んだ限りwebから閲覧するだけで何かされるらしいぞ
cookieを弄って悪さされるらしいから、閲覧自体、控えた方が良いレベル
昔から運営がcookieの情報使ってユーザーの閲覧履歴を抜いてるんじゃないかとか
そういった悪用の噂が絶えなかったが、今回はそれを外部の奴がやるかも知れないって話みたいだし

専ブラ使用不可になるからIEなどPCwebブラウザで2ch
と思ってたけど
まだ悪用云々ヤバイままで直ってないのか？

>>493
普段見てなくても検索結果から飛んでくる人とかも被害あうってことだよね…

test

test

スマホでもべっかんこからならok？

XSS問題は解決したの？

どうなったのやらさっぱりわからん

別スレでXSS対策は解決したってあったけどマジ？
JavaScript有効にしても大丈夫？
動画サイト見るたびにクッキー排除して切り替えるのめんどくさい

別スレじゃなくてこのスレ

PS4をもっと安くしてください・・・

https://www.ssllabs.com/ssltest/analyze.html?d=payment.premium2ch.net&s=202.218.228.235&ignoreMismatch=on
ひでぇ
みんな間違っても浪人買うなよ
危険すぎる