自分のホームページに <img src="http://mixi.jp/show_friend.pl?id=XXXXXX" width=0 height=0> と書いたり、CSSに body { background: url(http://mixi.jp/show_friend.pl?id=XXXXXX); } と書いたりするのが流行っている。 こうすると、そのページにアクセスした人のmixiのIDがわかるのである。mixiでは本名を入れていたりすることが多いので、どこの誰のアクセスだかバレてしまう。 このように「ユーザーの意図しないところで勝手にユーザーの情報が送信されてしまって本当にいいのか?」と思うのだが、この問題は案外根が深そうだ。
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
ミクシィが、「チェック」「チェックイン」「イイネ」などを商標申請していることが分かった。ネットサービスで広く使われている言葉の商標申請を心配する声も挙がっているが、同社は「独占的な利用を目的としたものではない」と説明している。 特許庁の商標検索によると、ミクシィは「チェック」「チェックイン」「イイネ」の商標を今年8月に、「つぶやき」の商標を同7月に出願している。 チェックやチェックイン、イイネ、つぶやきといった文言を使うネットサービスはmixi以外にもあり、ネット上では、これらの文言をミクシィが独占的に利用するつもりではないか、と心配する声が挙がっている。 同社は、「当社で提供している、もしくは提供する可能性のあるサービス名について、商標出願を行っている。現状、当社のサービスにおいて利用したいと考えており、独占的な利用を目的としたものではない」と説明している。 同社は「ソーシャルアプリ」の
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
こんにちは! サンシャイン牧場ってあるよね。 mixiアプリの中でダントツにユーザーを集めてるゲーム。 すでにユーザー数が…200万人! すごいですね! これどんなゲームかっていうと、開始すると自分の牧場がでてきて、作物に水をやったりして育てて、実った作物を売る。 売って得たコインで自分の牧場の拡大をしたり、マイミクとランキングを競うこともできる感じの、いわゆる牧場ゲームと呼ばれているもの。 実際やってみるとシンプルで、あんがい面白くて、疎遠になっていたマイミクさんの牧場にも遊びにいったりして、結構面白い。 で、先日これのアイテム課金がはじまったみたいで… お金を払うと「高級肥料」のような、作物が育つ時間を短縮できるアイテムだとかが買えるようになったみたい。 あ、一応、いままで遊べていた部分は、そのまま無料で遊べるんだけどね。 ところが… アイテム販売開始後のサンシャイン牧場コミュニティを
サン牧の本質的な問題 サン牧には問題がいくつかあって、表面的なことを言えば、 OpenSocial にちゃんと従っていないという点と、外部課金回りに重篤な不具合があるという二点です。 OpenSocial に従っていないという点は、 mixi がわがしっかりした作りになっているので、これはさほど問題になりませんが、外部課金のお粗末さはかなりのものと言えます。 ここでサン牧運営の Rekoo の技術力やモラルの問題を糾弾するのは簡単で面白いことですが、これもあまり本質的ではないと思います。 結論から言うと、本質的な問題は mixi が mixi アプリの提供を急ぎすぎたことであると僕は思っています。 mixi アプリは、資金を集めるために始められたサービスであると理解するのが、やはり正当かと思いますが、 mixi にマネーなり話題なりを集めるサービスを mixi アプリ上で展開して
ssig33: サン牧で他人のクレカ情報取るの、セッション ID を偽装して Get するだけで、セッション ID はマイミクリスト経由で取れますよ [http://twitter.com/ssig33/statuses/5111706038] ssig33: 一応運営に連絡済、もう直ってると信じたい [http://twitter.com/ssig33/statuses/5111712163] ssig33: あとちょこちょこ SQL インジェクションが残ってたりスウィフファイルが逆コンパイル対策されてなかったり、中国人にセキュリティ対策を求めるのが酷なんじゃないかと思えるレベル [http://twitter.com/ssig33/statuses/5111734931] ssig33: 基本的なこととして、中国人がやってるサービスに個人情報を預けるべきではない、というのはこれはあると
<追記:代行会社云々以前にシステムが問題だよという指摘=即ち怪文書> mixiは一刻も早くサンシャイン牧場のクレジットカード脆弱性についての危険性を発表すべき: 切込隊長BLOG(ブログ) Lead‐off man's Blog http://kirik.tea-nifty.com/diary/2009/10/mixi-dfda.html 一部対策されているようだけれど、まだできちゃうようなので…。 セッションIDからぶっこ抜ける状況は続いておるようにも見えるのと、対策がちと杜撰で穴が塞がってないようなので、老婆心ながら再度通報と本件エントリーをば。 悪用も考えられるので、方法は書かない。でもマジに危険すぎる。早期にきちんと対策されることを祈ります。 Shirobeya memo - サンシャイン牧場のクレジットカード脆弱性について@ssig33 http://wakkk.tumblr.c
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く