(閉じる)

はてなブックマーク > コンピュータ・IT > サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸...

サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

bakera.jp

タグ :

コンピュータ・IT 428 users このエントリーをはてなブックマークに追加

サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。2009年10月21日サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが... > このページを見る

最終更新時間: 2009年11月23日20時59分
▼ブログで紹介する

みんなのブックマーク 人気(0) 新着

  • ys0000 ys0000
    今更知った。大きいところでもセキュリティが屑かったりするのね。 2011/06/02
  • HeavyFeather HeavyFeather , ,
    設計がやばすぎる 2009/11/29
  • hashimoya hashimoya , ,
    サービスを利用する側にとっても、提供する側にとっても参考になる。 2009/11/28
  • koumiya koumiya
    mixiやってないんで、いまさらなんだが、これまじかよ…。せめてパラメータを暗号化するくらいできなかったのか。 2009/11/26
  • Lhankor_Mhy Lhankor_Mhy ,
    アマグラマの俺でも分かるような脆弱性なんだから、分かってて見過ごしたとしか思えない。/ といいたいところだけど、俺、もっとひどい脆弱性を見つけた事があるんだよね、ブログにも書いたけど。 2009/11/25
  • nununi nununi
    作ったほうもスゴイけど、初歩的な脆弱性をスルーして世に出しちゃうmixi側もヤバイ。 2009/11/25
  • LukeSilvia LukeSilvia , , ,
    特別な認証機構はなく、ユーザ識別にmixi のid を利用。クエリパラメータを書き換えると、そのユーザの情報にアクセスできる。情報は電話番号とメールアドレス。クエリパラメータでの状態管理 2009/11/25
  • KANIBUCHI KANIBUCHI , , ,
    今回の場合、httpsを使ってない云々は関係ないでしょ。それ以前なんだから。つかSSLは聖域じゃないよと。技術力というか設計レベルの問題。 2009/11/25
  • nitoyon nitoyon
    課金情報が見えてしまう問題、第三者の課金を勝手に行えてしまうかもしれなかった問題。 2009/11/25
  • mi1kman mi1kman , , , , ,
    これは素晴しいまとめ 2009/11/24
  • adsty adsty ,
    「サンシャイン牧場」の技術的な問題点を詳しく解説。 2009/11/24
  • kaya_purple kaya_purple , , ,
    webプログラミング関連の書籍でさえ「『?~』で直接渡すのはやめませう」って書いてあるのに(´・ω・`) 2009/11/24
  • tari-G tari-G
    こうやって自分の業績をダイレクトにアピールできる仕事っていいよね(笑) 2009/11/24
  • kiyoshi1211 kiyoshi1211 ,
    問題だらけなのか 2009/11/24
  • inamenai inamenai
    mixi外部でもiddyとかMyはてなとかプロフィール系サイトからmixiのid取得できることは結構あると思う。→「しかし、mixiの会員でないと、他人のユーザーIDを知るのは難しいかも知れません。」 2009/11/24
  • K-Ono K-Ono
    サマリが出た。これでWeb少額決済がもっとマトモな方向へ(ある程度のインフラ化)行ってくれればいいのだけど実際は「Webで金払うのこええ」感がさらに増えそうでイヤだなあ。 2009/11/24
  • vifam84 vifam84 ,
    SE10人に聞いたら20人が「いまどきこれはないわ」って答えるくらいひどい/作る側も作る側だけど、この仕様でGOサインだすmixiもmixi 2009/11/24
  • namarui namarui
    アプリに金払うとかやっぱりいまだに理解できないわ。。。。てかアプリ内の日本語の文法もおかしかったんでしょ。そんなんに金払うなよ。日本人は平和すぎんだよ。 2009/11/24
  • heroakey heroakey , ,
    みんなサン牧やってるんだね(笑) 2009/11/24
  • rna rna
    一度決済したことのあるユーザの「前回のクレジットカードを使う」機能による決済を他人が実行できたという問題。Rekoo側の手落ちだけど、この機能がZERO側で閉じる仕組みになっていれば個人情報漏洩だけは防げたかも。 2009/11/24

このブックマーク一覧を非公開にするには?

はてなブックマークを使ってみる(無料)
はてなブックマークって?
はてなブックマークはオンラインでブックマークを管理・共有できる無料サービス。自宅、職場、外出先、どこからでも同じブックマークにアクセスできます。ユーザーはみんなでブックマークを共有して効率良く情報収集しています。あなたもはてなブックマークを始めてみませんか?