艦隊これくしょんの通信がとてもじゃないけど見てられない

単にrsyncで差分バックアップするという話です。 2012年ごろに見つけた方法を引っ張り出して話します。 が、私がお世話になっている方法がググってもあまりメジャーじゃなかったので紹介させてください。 コマンド自体はここにあったものです http://www.maruko2.com/mw/rsync_%E3%81%A7%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%81%AE%E5%90%8C%E6%9C%9F%EF%BC%88%E3%83%90%E3%83%83%E3%82%AF%E3%82%A2%E3%83%83%E3%83%97%EF%BC%89

[shields-pikes]

これ、通信が傍受され暗号が解読されまくってた、太平洋戦争時の日本海軍へのオマージュじゃないですかね。

[ockeghem]

ここで紹介されたHTTPリクエストだけからは、脆弱性とは判定できないですね。SSLにするかどうかは要件ということで

[uokada]

HTTPSの通信ってサーバーへの負荷が何倍も増えるから気軽に導入出来ないんですよ〜 2000rpsが400rpsまでパフォーマンス落ちたりするんよ なので一部のみHTTPS導入が進んで合格点かなと思う

[kazuau]

ID/パスワード入力はSSL。発行されるトークンはセッション限り。二重ログインで古い方は無効になる。問題ないよ。さすがにその場で盗聴によりセッションが乗っ取られることまで担保しなくていいでしょ。

[Hamachiya2]

トークン盗聴されたらやばい！死ぬ！とか言ってたら艦これに限らず既存ウェブサービスのほとんどがダメなんじゃないの

[stealthinu]

うーんそりゃ盗聴可能なんだけどさ、学校や会社のネットワークからしてたらそれは仕方ないと思うよ。てかメール（POP/SMTP）だって暗号化されてないんだよ？バランスの問題だと思うよ。

[gigi-net]

艦娘にも穴はあるんだな･･････

[houyhnhm]

ん？実際にやってみた？

[caq]

まあ、チートが出来なければゲームバランスには関係ないしね。如何に安く大量のユーザプールを作って、有料ユーザで稼ぐかって"ゲーム"において、サーバ増強が間に合ってない現状でSSLとかしばらく載らないのでは。

[north_korea]

ネットワーク盗聴されてるユーザーの方がヤバイ

[navix]

Jan 04, 2014。

[moguno]

03 / ★13.09 wrote: 艦これのセキュリティの話 http://t.co/ZBLDVvK6O5 @SlideShareさんから

[Haaaa_N]

解体されたらまた課金してくれるからそれ狙いじゃないですかね(適当)

[oonishin]

出た当初から有名な話。今更感満載。お隣りのお国の方々のチートはみんなこれじゃないの？

[tyage]

そんな言うほどひどいのかなって思ったけどそういうわけでもなかった

[asuka0801]

チート絡みで言うなら、ローカルプロキシでSSL通信の中身見られるしSSLにしたから何もかもOKって訳でもないのよな。

[f-shin]

SSL化したら喜ぶヘビーユーザーがいるってことはわかった。

[tmatsuu]

あらまぁ。

[animist]

艦これはやってないのだけれども。

[tanakaBox]

他のサービスなら叩かれまくりなのだろうけど・・・何だこの優しさ。

[e24ns]

艦隊これくしょんの通信が とてもじゃないけど見てられない @SlideShareさんから

[hamukatumix]

「艦これの通信内容がこんなにひどい！（ドヤァ）」「やばいこわい！」「艦これ厨ざまぁ（ドヤァ）」「今すぐHTTPSにすべき！（キリッ）」／平和ですねｗウチの大鳳ちゃんが不正アクセスされる前程度になんとかしろｗ

[sjn]

SSLのは課金するサービスは銀行並みにしろってのはそりゃ正論だけど…お偉方はそう言うけど今の技術コスト考えると誰も何も作れなくなりますよ的ないつもの。トークンジャックはこれだけじゃ危ないか分からない。

[gggsck]

艦隊これくしょんの通信がとてもじゃないけど見ていられない

[mkusunok]

トークンハンドリングのアンチパターンとか整理されてないのかな

[IGA-OS]

艦これ愛とセキュリティと。

[ryonext]

ネトゲ、ソシャゲにおけるHTTPSを利用率ってどんなもんなんだろう

[kuronama2404]

艦これだけが特別ではないというのと、公衆LANみたいな信頼できないネットワーク上でのプレイは避けた方が無難というのは分かった。

[cubed-l]

公衆無線LANで艦これはやめとけ、くらいのリスクじゃないかね

[juner]

⚠平文につき提督注意⚠QT:Kancolle

[hanazukin]

艦コレやってる人は見ておくと楽しいと思うよヽ(´ー｀)ノ

[itochan]

JPCERT/CCの知名度の低さ、通報手順の重要性の認識の低さ

[oneforowl]

うーん…。ネットワーク外部から可能な訳じゃないし「悪意のあるネットワーク管理者がいても攻撃できない」っていう条件をクリア出来るセキリティってハードル高い気がする。FXとかほどクリティカルな製品じゃないし

[atijusts]

一般的なWebサービスの価値観からすればトークンの盗聴はしかたないんじゃないかとは思いつつ、ゲーム系サービスのユーザさんが不正にたいしてセンシティブなのも理解できる。

[totoronoki]

それで何が問題になるのかと言ったら大した問題じゃないんだよな。「放置できるはずがない」とか言ってるけど嘘だろ。

[Clock0311]

そうだね、mixiの認証怖いよね

[himomen]

「httpは葉書 httpsは封筒」分かりやすい。会社で葉書出すと郵便局員とか総務担当とかに内容がバレるって意味では。ただ、通信（を封筒に納める）コストと、トークン（印鑑）を偽わるコストが高いのでなんとも。

[fukken]

サーバー資源も開発リソースも無限ではないのだ　//　個人的にはもう少し静的リソース真面目にキャッシュして欲しい

[YaSuYuKi]

ログイン後の画面がhttpsになってないアプリほぼ全部が同じ理由でアウトになる程度の問題。つまり、大した問題ではない

[okusa75]

盗聴にはHTTPS化するしかないでしょうね。ただゲームでHTTPSにするとLBやサーバへの投資が・・