サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
MD5な証明書は危険 | 水無月ばけらのえび日記
公開: 2024年3月9日14時50分頃 セキュリティホールmemoより、「MD5 considered harmful today: Creating a rogue CA certificate (www.st.ryukoku.ac.jp)」。証明書のハッシュアルゴリズムがMD5の場合、十分に現実的な時間で同じハッシュ値を持つ偽の証明書を作成することが可能だというお話。 PlayStation 3 x 200 台のクラスタ環境で 1 ~ 2 日で作成できる。 Amazon EC2 なら $20,000 出せば手に入る CPU パワー。 最適化すれば $2,000 Amazon EC2 x 1 日でできるだろう、とも。 個人でやるのはちょっとつらいですが、組織された攻撃者なら十分に調達可能かと。MD5の危殆化(きたいか)は、もう洒落にならないところまで来ているということですね。 「マイク
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
Web屋が無断リンクを禁止する? | 水無月ばけらのえび日記
つまり、「お選び下さい」と言っているのは、このサイトの運営者がではなく、このサイトのデザインテンプレートを作成したWebデザイナーが言っているのだろう。東芝テクノはそれをそのまま掲載したわけだ。 (~中略~) リンク許諾制やディープリンク禁止方針の汚染源はWebデザイナーではないかという、これまで憶測で語られてきたことの傍証が発掘されたと言えよう。 他社のことは分からないので絶対とは言い切れませんが、基本的にはこの手の文言を Web 制作側が作ることはありません。その会社のポリシーを勝手に決めることなどできるはずがないので、基本的には「御社のポリシーはどうなっていますか? 文言をください」と言って「素材」をもらい、それを掲載する形になります。 そして、このようなポリシーの「素材」はたいてい法務部門から出てきます。法務は企業の法的リスク回避が第一ですし、必ずしも Web には詳しくなかったり
MSIE はファイルの内容を解析する | 水無月ばけらのえび日記
(1)Webブラウザが受信ファイルの内容を解析して見分けている (2)HTTPレスポンスの「Content-Type」ヘッダーに指定された情報に基づき見分けている (3)HTTPリクエストの「Cookie」ヘッダーに指定された推定しづらい長さの文字列に基づき見分けている 仕様的には(2)が正解であるべきなのですが、それだけで済めば苦労はないですね。XP SP2 の IE6 からは、セキュリティの設定で「拡張子ではなく、内容によってファィルを開くこと」を無効にできるようになりましたが、デフォルトでは有効ですからファイルの内容解析が優先されてしまいます。 このあたりをちゃんと理解していないと、「image/jpegなのにXSS」という悲劇が起きたりしますので危険です。過去に実際にあったケースしては、 ユーザが任意の画像を添付できるサービス通常は HTML は添付できないスクリプトを含む HTM
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
禁煙スタイル | 水無月ばけらのえび日記
CSVの仕様 | 水無月ばけらのえび日記