generated at
UserScriptからprojectを削除できることがわかってしまった
from 2021/01/03
UserScriptからprojectを削除できることがわかってしまった……
具体的な方法は伏せておく
ここpublic projectだし
public projectに書いてはいけないもの#5faf70df1280f00000db326fに該当するし
これ即報告したほうがいいのか?
報告した
2021-01-04 18:37:24 返信が来てたtakker
/forum-jp/プロジェクトの削除にもう一段階確認が欲しい#5ff2c43c97c2910000994ddf
とても丁寧に書いてくださっている
感謝
本件に関してはreCAPTCHAの設置を考えるみたい
ただそれ以外の攻撃は防ぎようがない。というか不正でもいたちごっこになる
user側で自衛策を取るしかない
再読込ボタンを無闇矢鱈に押さない
不特定多数が参加するprojectからUserScriptを読み込まない
後で書いておくか
UserScriptを他人のprojectから読み込むな
不特定多数が参加するprojectだと、自分のページを勝手に書き換えられる可能性もあるのか、怖いyosider
なるほど、ひぇsta
ハッキングによる攻撃takker
そして我々は忘れていた……UserScriptが上級者向けの危険な機能だということを……
サポートメールに報告したほうが良かったか?
具体的な方法を伏せたとしても、「UserScriptからprojectを削除した」という情報があるだけで、みなこぞって探し出すだろうし
その過程で誰かがTwitterか何かで方法を拡散したらアウト
報告方法ミスったかも……
Auto Project Backup (Scrapbox)はprojectを削除しても30日間保持されるみたいだから、そこから復元するという手はあるかも
/help-jp/セキュリティポリシー#5faa112797c2910000671712
そうなのかyosider
projectを削除したらどの画面からbackupをダウンロードできるんだろう?
/scrapboxlab/api/project-backup/:projectname/listで確認・downloadできそう?takker
でもowner権限の情報はprojectとともに葬り去られていそうだし、無理かな
適当なprojectを作って実験してみればわかりそうだけど、すぐにはできないな
Auto Project Backup (Scrapbox)が作成されるまで待つ必要がある
サポートセンターにお願いすると復元してもらえるとか?
なるほど
何事もそうだけど消える前にバックアップを取っておいたほうがいいと思うkuuote
消えてからだと遅いというケースは割とある
cloud storageとlocalの両方にback upをとっておくのが安全takker
前者は災害時や普段遣い用のback up
後者は垢BANやサービス終了、ネットワーク切断への対策
自動で定期的にバックアップをダウンロードするUserScript書くかなあyosider
/programming-notes/(WIP)定期的にScrapboxのbackupをdownloadするScript
UserScriptだけだとキツイtakker
定期的にAPIをたたけない
なるほど
Google Apps Scriptと組み合わせれば行けそう
よくわからんけどcronみたいなものでローカルのスクリプトを定期的に実行するのもあり?yosider
解決されるとしたらどういう手段があるんだろうyosider
DELETEをPOSTするのを禁止しちゃったら、自分も消せなくなる?
GyazoのログインみたいにCAPTCHAを経由させる?
と思ったらUserScriptからprojectを削除できることがわかってしまった#5ff2e28a1280f0000034b087にあった
削除するときは常にサポートセンターにメールを送るのは……めんどくさすぎるかtakker
GitHub IssuesにD&Dでアップした画像はこれ(原則削除できない&サポートに言えば消してもらえる)ですねsta
でもたしかにめんどくさすぎる
この手段に必要なある情報をUserが取得できないようにするとか?takker
それも難しいか
正常なリクエストにも必要なら、Userに渡さないわけにはいかない?(必要なのかわからないけど)yosider
必要だと難しいですねtakker
/forum-jp/プロジェクトの削除にもう一段階確認が欲しい#5ff1340fd2fe8300005b330bにあるように確認メールを使う方式にするのが有力な手段だと思いますtakker
なるほど
こういう系の攻撃を全部防ごうとおもったら、結局UserScriptのimportをできないようにするしかない?yosider
そうなりますが、そうなったらScrapboxの魅力が半減してしまう……takker
致命的なやつだけ対策して、基本的には性善説という感じかなyosider
それしかない
しまった、邪悪な方向に考え始めたらいろんなcracking手法が浮かんできてしまったtakker
他人のprojectから直接importしなければ防げる方法ばかりだけど
大丈夫takkerはそんなことしないbsahd
性悪説よくない
報奨金GET案件か!?dnin
その発想はなかったtakker
こういうところでお金稼ぐ方法もあるんだなあ
尤もNotaはそういうことやってなさそうだけど
何処かで見た気がしたけど、今見つけられなかった
HackerOneというのを使ってたと思います 増井俊之
検索しましたが見つかりませんでしたtakker
https://hackerone.com/directory/programs?q=scrapbox
/help-jp/セキュリティポリシー#5faa10f297c2910000671709にやってるとは書いてあるな。。yosider
どこでやってるのかは書いてないけど
もしかしてBugBounty.jpかな?
ちがった。一体どこでやっているんだろう?
発見&報告をしたのはtakkerですがきっかけとなる要望を出したのは別の人なんで……