[フレーム]
はてなブックマークアプリ

サクサク読めて、
アプリ限定の機能も多数!

アプリで開く
  • はてなブックマーク
  • テクノロジー
  • Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

気に入った記事をブックマーク

  • 気に入った記事を保存できます
    保存した記事の一覧は、はてなブックマークで確認・編集ができます
  • 記事を読んだ感想やメモを書き残せます
  • 非公開でブックマークすることもできます
適切な情報に変更

エントリーの編集

loading...

エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。

タイトルガイドライン

このページのオーナーなので以下のアクションを実行できます

タイトル、本文などの情報を
再取得することができます
コメントを非表示にできます コメント表示の設定

ブックマークしました

ここにツイート内容が記載されます https://b.hatena.ne.jp/URLはspanで囲んでください

Twitterで共有

ONにすると、次回以降このダイアログを飛ばしてTwitterに遷移します

139users がブックマーク コメント 18

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

ガイドラインをご確認の上、良識あるコメントにご協力ください

0 / 0
入力したタグを追加

現在プライベートモードです 設定を変更する

おすすめタグタグについて

よく使うタグ

はてなブックマーク

はてなブックマークで
関心をシェアしよう

みんなの興味と感想が集まることで
新しい発見や、深堀りがもっと楽しく

ユーザー登録

アカウントをお持ちの方はログインページ

記事へのコメント18

  • 注目コメント
  • 新着コメント
tofu-kun
カスタムドメイン提供かつ共通ログイン機構がある場合こうなるのか。

その他
efcl
MediumのカスタムドメインからMediumのGraphQLを認証付きで叩けるため、サイトに訪問したユーザーのMediumアカウントを特定できる脆弱性

その他
hamaco
なるほどなぁ。これってメアド返さない以外にどういう対応できるんだろ?

その他
daaaaaai
CustomDomain難しい。7/14 14時時点ではTwitterで検索しても日本語ユーザしか反応していないな・・・

その他
napsucks
custom domainに対して重要な情報を送信する仕組みになってるとMITMが成立してしまうのか

その他
tofu-kun
tofu-kun カスタムドメイン提供かつ共通ログイン機構がある場合こうなるのか。

2023年07月14日 リンク

その他
prograti
Medium側はgraphqlエンドポイントの応答からメールアドレスを取り除くくらいしか対応出来なさそうだけど他に方法あるのかな?

その他
ya--mada
malaからの手紙。なんでAレコードにしたんだろ?

その他
Andrion
何度言ってもMediumが対策しなかったので開示したみたいだな。ほんまMediumクソ

その他
YassLab
"Proxyサーバーは訪問者が受け取る応答内容を窃取することができる / 訪問者が medium.example.com にログイン状態になると、graphqlエンドポイントの応答には訪問者のメールアドレス等も含まれている"

その他
Falky
あらあら

その他
dollarss
このやり方で窃取したとしてもアドレスが取得されるだけで大きな被害にはならないようには思うが、普通の人は気持ち悪いだろうな

その他
knjname
なるほど カスタムドメインはMITMに発展できるか たしかに

その他
versatile
logout しとけばいいのか。よし、もう二度とログインしないぞ

その他
exsoul
メールアドレスか〜

その他
t_f_m
"これはゼロデイではなく調整に失敗した結果です" / "2023年05月12日 malaからMedium: 一ヶ月以内に実効性のある修正、緩和策、またはユーザーへの説明がない場合は開示予定であると伝える。 2023年06月12日 期日になるが返事がない"

その他
razokulover
なるほ...

その他
mattn
なるほどなぁ。

その他
teppeis
カスタムドメインむずい

その他

注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

リンクを埋め込む

以下のコードをコピーしてサイトに埋め込むことができます

プレビュー
アプリのスクリーンショット
いまの話題をアプリでチェック!
  • バナー広告なし
  • ミュート機能あり
  • ダークモード搭載
アプリをダウンロード

関連記事

usersに達しました!

さんが1番目にブックマークした記事「Disclosure of a v...」が注目されています。

気持ちをシェアしよう

ツイートする

Disclosure of a vulnerability that allows the theft of visitors' email addresses using Medium's custom domain feature / Mediumの独自ドメインプランを使って訪問者のメールアドレスが窃取できる脆弱性の開示

0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors' em ail addres... 0_medium_vuln_en.md Disclosure of a vulnerability that allows the theft of visitors' em ail addresses using Medium's custom domain feature Author: mala Introduction This article describes a vulnerability in a web service called Medium that allows you to steal visitors' e-mail addresses by using custom domain plan of Medium. This is done as my personal activity and is not related to my organization.

ブックマークしたユーザー

  • techtech05212024年06月12日 techtech0521
  • dpprkng2023年07月18日 dpprkng
  • shinagaki2023年07月18日 shinagaki
  • lyiase2023年07月18日 lyiase
  • shimbaco2023年07月17日 shimbaco
  • yug12242023年07月16日 yug1224
  • sudo_vi2023年07月16日 sudo_vi
  • efcl2023年07月15日 efcl
  • sunaoka2023年07月15日 sunaoka
  • hamaco2023年07月14日 hamaco
  • snaka722023年07月14日 snaka72
  • mas-higa2023年07月14日 mas-higa
  • daaaaaai2023年07月14日 daaaaaai
  • napsucks2023年07月14日 napsucks
  • mohritaroh2023年07月14日 mohritaroh
  • dhesusan46492023年07月14日 dhesusan4649
  • iwadon2023年07月14日 iwadon
  • kfly82023年07月14日 kfly8
すべてのユーザーの
詳細を表示します

ブックマークしたすべてのユーザー

同じサイトの新着

同じサイトの新着をもっと読む

いま人気の記事

いま人気の記事をもっと読む

いま人気の記事 - テクノロジー

いま人気の記事 - テクノロジーをもっと読む

新着記事 - テクノロジー

新着記事 - テクノロジーをもっと読む

同時期にブックマークされた記事

いま人気の記事 - 企業メディア

企業メディアをもっと読む

はてなブックマーク

公式Twitter

はてなのサービス

Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しましたx

AltStyle によって変換されたページ (->オリジナル) /