• はてなブックマーク
  • 暮らし
  • サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
  • Twitterでシェア
  • Facebookでシェア

サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

暮らし カテゴリーの変更を依頼 記事元:bakera.jp
適切な情報に変更
394users がブックマーク コメント 65

    記事へのコメント65

    • 注目コメント
    • 新着コメント
    betelgeuse
    httpsでは無かった。セッションIDは使っていなかった。rekoo側は生id,mail,phoneをブラウザ経由でhttp送信しており、javascriptOFFでソースを見れた。zero側はURL上のidを変更すると課金操作が誰でもできた。ということらしい

    その他
    ys0000
    今更知った。大きいところでもセキュリティが屑かったりするのね。

    その他
    HeavyFeather
    設計がやばすぎる

    その他
    hashimoya
    サービスを利用する側にとっても、提供する側にとっても参考になる。

    その他
    koumiya
    mixiやってないんで、いまさらなんだが、これまじかよ…。せめてパラメータを暗号化するくらいできなかったのか。

    その他
    Lhankor_Mhy
    アマグラマの俺でも分かるような脆弱性なんだから、分かってて見過ごしたとしか思えない。/ といいたいところだけど、俺、もっとひどい脆弱性を見つけた事があるんだよね、ブログにも書いたけど。

    その他
    nununi
    作ったほうもスゴイけど、初歩的な脆弱性をスルーして世に出しちゃうmixi側もヤバイ。

    その他
    KANIBUCHI
    今回の場合、httpsを使ってない云々は関係ないでしょ。それ以前なんだから。つかSSLは聖域じゃないよと。技術力というか設計レベルの問題。

    その他
    nitoyon
    課金情報が見えてしまう問題、第三者の課金を勝手に行えてしまうかもしれなかった問題。

    その他
    mi1kman
    これは素晴しいまとめ

    その他
    adsty
    「サンシャイン牧場」の技術的な問題点を詳しく解説。

    その他
    kaya_purple
    webプログラミング関連の書籍でさえ「『?~』で直接渡すのはやめませう」って書いてあるのに(´・ω・`)

    その他
    kiyoshi1211
    問題だらけなのか

    その他
    K-Ono
    サマリが出た。これでWeb少額決済がもっとマトモな方向へ(ある程度のインフラ化)行ってくれればいいのだけど実際は「Webで金払うのこええ」感がさらに増えそうでイヤだなあ。

    その他
    vifam84
    SE10人に聞いたら20人が「いまどきこれはないわ」って答えるくらいひどい/作る側も作る側だけど、この仕様でGOサインだすmixiもmixi

    その他
    namarui
    アプリに金払うとかやっぱりいまだに理解できないわ。。。。てかアプリ内の日本語の文法もおかしかったんでしょ。そんなんに金払うなよ。日本人は平和すぎんだよ。

    その他
    rna
    一度決済したことのあるユーザの「前回のクレジットカードを使う」機能による決済を他人が実行できたという問題。Rekoo側の手落ちだけど、この機能がZERO側で閉じる仕組みになっていれば個人情報漏洩だけは防げたかも。

    その他
    renu
    素人で作ったっシステムっぽいね・・・

    その他
    minarai
    良いまとめなんだけど、読めば読むほどこれはひどいとか以前のお話だったんだなーと思ってしまう事例 / 課金した人、こりゃ怒るわな・・・

    その他
    tkouen
    @0@大変なことになっていたのね。>課金しないからなぁ・・・

    その他
    stealthinu
    サンシャイン牧場の課金問題のまとめ。よくまとまっててわかりやすい。『「普段使われるURLに誰でもアクセスできるようになっていた」という話』これにつきる。

    その他
    betelgeuse
    betelgeuse httpsでは無かった。セッションIDは使っていなかった。rekoo側は生id,mail,phoneをブラウザ経由でhttp送信しており、javascriptOFFでソースを見れた。zero側はURL上のidを変更すると課金操作が誰でもできた。ということらしい

    2009/11/24 リンク

    その他
    at_yasu
    突貫で作ったような感じやねぇ。裏で「セッションは云々、hiddenは云々」と文句足れる人がいて下手に時間とられたんじゃないのと勘ぐってみる。

    その他
    tukumomomo
    仕様の時点でエターだったのだろうか…それ以前の問題か?

    その他
    irasya
    ネトゲーやアバターってこういう脆弱セキュリティが多い気がする、乗っ取りが蔓延してやっと対策し始めるイメージ

    その他
    taku-o
    よく作り切れたな感。この情報あふれる世の中で、この微妙なレベルのデベロッパー「だけ」を集めるのはとても大変。/ああ、そうか。1人で作ったんだろう。

    その他
    b0101
    「課金した程度で騒ぐなんてww」とか言ってた人たちはどうするんでしょうね

    その他
    MIchimura
    これはひどいww

    その他
    takeshiketa
    これはひどいとか言うレベルの実装じゃねーぞ

    その他
    harupu
    脆弱性があったとしても、「実際に2つのユーザーIDについて試してみたところ」はやっていいものなのか?

    その他
    jaguarsan
    良いまとめ。早速社内に情報共有しました。

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話

    「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件の...

    ブックマークしたユーザー

    • techtech05212023/10/10 techtech0521
    • ayaniimi2132012/05/21 ayaniimi213
    • ys00002011/06/02 ys0000
    • gomachan852011/01/19 gomachan85
    • yamasta2010/06/03 yamasta
    • pochi-p2010/03/16 pochi-p
    • setamise2010/01/04 setamise
    • mixiap2010/01/04 mixiap
    • Kenji_s2009/12/20 Kenji_s
    • Straynap2009/12/16 Straynap
    • s17er2009/12/09 s17er
    • no5no52009/11/30 no5no5
    • DNPP2009/11/30 DNPP
    • mas-higa2009/11/30 mas-higa
    • HeavyFeather2009/11/29 HeavyFeather
    • t-sat2009/11/28 t-sat
    • hashimoya2009/11/28 hashimoya
    • tenkoma2009/11/28 tenkoma
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - 暮らし

    いま人気の記事 - 暮らしをもっと読む

    新着記事 - 暮らし

    新着記事 - 暮らしをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.