エンジニアtype 技術者のキャリアを考えるWebマガジン - 転職@typeエンジニアtypeは、各種エンジニアをはじめ「創る人たち」のキャリア形成に役立つ情報を発信する『@type』のコンテンツです。
mixi脆弱性報告制度:評価対象外になったもの
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 mixi脆弱性報告制度で報告した脆弱性のうち、報告したけど評価対象外になったものをまとめます。 報告したけど評価対象外だった脆弱性 1.ショッパーズアイ コードインジェクション 報告日:2014年3月31日 評価結果連絡:2014年4月8日 弊社において既知の脆弱性であると判断、よって脆弱性報告制度の対象外 ※追記:この脆弱性は現在は対応済みです。mixiさんに問い合わせて脆弱性対応済みであることを確認してから記事を公開しました。 ※2014.4.16 23:00 本記事の反響がやたら大きくなってしまったのでコメントを
mixiに報告した脆弱性2 - kusano-k’s blog
mixiの脆弱性報告制度(すでに終了している)で報告して、修正された脆弱性。 youbrideの有料機能を無料で使える問題 2014/03/12 報告 2014/03/18 修正完了 2014/03/24 75,000円のAmazonギフトが届いた youbrideはmixiの子会社の株式会社Diverseが運営する婚活サイト。一時、制度の対象だった。 youbrideでは無料ユーザーはプロフィールの公開条件は「全体に公開」しか選べない。 ChromeのDeveloper Toolで他の選択肢を有効にしたら、「全体に公開」以外の公開条件も選べてしまった。 mixiワードのXSS 2014/03/31 報告 2014/03/31 修正完了 2014/04/09 125,000円のAmazonギフトが届いた mixiワードにXSS可能な脆弱性があった。 「猫」には、キャットタワー、キャットフー
OpenStackとLXCを導入した話 - mixi engineer blog
こんにちは、運用部 アプリ運用グループの清水です。Golang鋭意勉強中です。 今回は、SNS「mixi」に限った話ではなく、ミクシィ社全体として利用している仮想環境について紹介したいと思います。パブリッククラウドも一部のサービスで利用していますが、今回は、自社で運用している仮想環境にフォーカスして書いてみようと思います。 今まで利用してきた仮想環境 今まで利用してきた仮想環境というと、手作業で構築したKVM(Kernel-based Virtual Machine)環境が中心でした。手作業といってもある程度手軽に構築できるように、シェルスクリプトとCobblerでVMを構築できるようになっています。構築の流れは以下のとおりです。 CobblerにVMのIPやホスト名などをスクリプトで登録する。 KVMのホスト上でスクリプトを実行(koanコマンドでCobblerと連携してVMをセットアッ
systemdを本番運用してわかったこと - mixi engineer blog
こんにちは、運用部 アプリ運用グループの清水です。モンスト仲間募集中です。 以前、Fedora 8からFedora 17への移行のお話を書きました。Fedora 17ではsystemdがデフォルトで使われています。そのsystemdを本番環境で運用して1年以上が経ち、様々な経験をしてきました。systemdの環境で知っておくと役に立つと思われることについていくつか紹介したいと思います。 まずは、systemdの概要について簡単に紹介します。 systemdの概要と歴史 systemdは、従来のSysVinit/Upstartに代わるもので、Linuxサーバの起動時に初期設定やサービス起動をおこなうことにとどまらず、プロセスやリソースなど様々な管理をおこなうデーモンです。 Fedora 14の頃(2010年11月リリース)にTechnology Previewとして提供され、Fedora 1
ミクシィ、今期26億円の最終赤字に 役員報酬を最大100%減額 - 日本経済新聞
ミクシィは1日、2014年3月期の連結最終損益が26億円の赤字(前期は16億円の黒字)になりそうだと発表した。従来は5億円~11億円の黒字と予想していたが、一転赤字見通しとなる。スマートフォン用ゲームの課金売上高が計画を下回っているため、下方修正した。繰り延べ税金資産を6億6900万円取り崩すことも損益悪化につながる。期末配当について12円との
脆弱性報告制度 << mixi Developer Center (ミクシィ デベロッパーセンター)
株式会社ミクシィは、お客様に安心してご利用いただけるサービスを提供するため、脆弱性に関する報告の重要性を認識しております。より安全なサービスの実現を目指し、脆弱性報告に対して、正当な対価をお支払いすることを目標に、脆弱性報告制度を開始しましたので、ご案内いたします。 概要 弊社のサービスにおいて、脆弱性を発見した場合に、窓口にご報告いただき、その重要度によって、報酬をお支払いする制度です。 対象 本制度は、株式会社ミクシィとその子会社がリリースした、ウェブアプリケーションおよびクライアントアプリケーションの脆弱性を対象とします。 ただし、次に該当するものは含まれません。 既に公表されている脆弱性 弊社にとって既知の脆弱性 報告されてから修正が完了する前に公表された脆弱性 攻撃が成立する可能性が著しく低いと考えられる脆弱性 原理的に修正が不可能な脆弱性 本制度の期間外に報告された脆弱性 窓口
はたして #coo_yakiniku は開催されるのか!?
川崎 裕一 / マネタイズおじさん @yukawasa さきほどミクシィの株主総会と取締役会を無事に終え、取締役 最高事業責任者に正式に就任しました。ミクシィ、更に、やったります。 2013-06-25 14:25:26 川崎さんの元同僚である伊藤直也さん @naoya_ito が「mixi 最高ですと叫ぶと焼き肉をおごってもらえる #coo_yakiniku 開催はまだですか」とつぶやく
mixiのサーバOS移行のお話 - mixi Engineers' Blog
はじめまして、運用部アプリ運用グループの清水 勲です。 2011年8月に入社して以来、はじめてエンジニアブログを書きます。 運用部では、日々、mixiを支えるサーバやネットワークを管理、運用しています。 今回は、サーバで使用しているOSの移行について、何回かにわたって紹介したいと思います。 はじめに 突然ですが、mixiで採用しているサーバのOSはなにかご存知でしょうか? 過去のブログ記事でもあまり紹介していなかったと思います。 はるか前のことなので詳しくは知りませんが、2006年の社外イベントで、弊社からの発表者と質問者との間で、以下のようなやりとりがあったようです。 参加者からの質問 Fedoraを利用している理由は? 弊社発表者Bさんの回答 他のOSだとNICを認識してくれなかった。Fedoraなら一発でいけたから。 ということで、mixiでは何年も前からFedoraを採用してき
DeployGate - Distribute your beta apps instantly
Super casual beta testing from day one Start developing amazing new apps with user input from the start! With just a drag-and-drop, you can share apps with your team members instantly. Optimized for app developers No need to increment versions with each update! With real-time crash reporting and UDID auto management for Provisioning Profiles, all the time-consuming development tasks are eliminated
このままじゃmixiページはダメかもしれない - in between days
ちょっと考えてみたけど、このままじゃmixiページはダメだろうなあ。mixiページ自体の機能がべつにどうこうということではなく、情報を受け取る側のインターフェイスが魔窟すぎる。建て増しに建て増しを重ねた田舎の温泉旅館のようだ。 ためしに、mixiの画面を見に行かないで、mixiのPC用インターフェイスを頭のなかに思い浮かべてみてほしい。3カラム構成になっているおなじみのオレンジ色の画面だ。そのmixiのインターフェイスのうち、mixiページに関するアクティビティ・更新情報・新着コメント・最新書き込み、そういったものはいったいどのあたりに表示されるんだっけ? っていうのを思いだしてみてほしい。すぐに「ここ!」ってわかるだろうか? 数えてみたんだけど、ユーザーによるコンテンツとアクティビティ(ニュースとか広告は除く)が通知あるいはフィードされるボックスは、mixiのPCインターフェイス上にデフ
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
株式会社ミクシィ が引っ越したらしいので行ってきた! - 941::blog
ヤマピカリャー!! どうも、くしいです。 株式会社ミクシィ に行ってきた!ってのを丁度1年前(2010年4月)に書いたのだけど 最近出来たばっかりのビルに引っ越したらしいのでお邪魔しに行ってみた! なんと今回は執務エリアまで撮影させてくれちゃいました。うひょー。すげー。 ミクシィさんはもう説明の必要がない有名SNSと思われるので説明は省略。 わからん!て人は前回のエントリを参照してくだちい。 ほいきた受付。 ==== どどん、mixiロゴ。 なんだかシックな雰囲気。大人になったっていうか。 ※公開から3ヶ月以上経過した特定の記事は有料となっている場合があります この続きはcodocで購入
mixi Engineers' Seminar #1の報告 - mixi engineer blog
Nitendo 3DSで遊ぶのは戦国無双クロニクル、PS3で遊ぶのは真・三国無双6と、なにかを断ち切るかのように敵を切りまくっているmilanoです。 お気に入りは甄姫です。 もうずいぶんと前のことな気がしてしまいますが、3/3の雛祭りの日に行われたmixi Engineers' Seminar #1にお越しいただきましたみなさま、どうもありがとうございました。 当日使われた資料と動画を公開します。 ちなみに、今回のテーマはスマートフォン周りのお話しあれこれでした。 Objective-C一巡り Objective-Cひとめぐり View more presentations from Kenji Kinukawa ミクシィの衣川憲治より、WebエンジニアがObjective-Cを学習するメリット、Objective-Cの特徴などについて話しました。 GREEのHTML5とiOS+Andr
Flash?いいえ、HTML5です: ファイルのドラッグ&ドロップによるフォトアップロード機能について - mixi engineer blog
はじめまして。コミュニケーションサービス開発部の澤と申します。コーヒーとカレーをこよなく愛する新卒2年目の新米エンジニアで、弊社Webのフロントエンドを主に担当しています。最近はmixiスマートフォン版(mixi Touch)の開発にも精力的に取り組んでいます。 さて、本日はPC版のmixiで1つの機能をリリースいたしました。ファイルをWebブラウザにドラッグ&ドロップするだけで写真をmixiフォトにアップロードできるもので、HTML5 File API※1を採用しています。本記事ではこの機能について色々とお話をしたいと思います。 なにこれ? 以下では、ドラッグ&ドロップによるアップロード機能を「本機能」と呼びます。 百聞は一見にしかずです。本機能のプロモーションムービーがありますので、まずはこちらをご覧ください。 動画では下記を説明しています。 従来のアップロード方法からドラッグ&ドロッ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
株式会社ミクシィ
株式会社ミクシィ
株式会社ミクシィ
mixiマイ取引で、川崎がカマドを売ります! - ミクシィグループ公式ブログ