投稿順表示 (17/283)
前のページ 1...12/13/14/15/16/17/18/19/20/21/22...283 次のページ
[5617] Re:「サンシャイン牧場・決済代行会社のサポートからの情報」
ばけら (2009年11月6日 19時27分)
>そうでなくても、課金する以上はセッション管理の仕組みがあるはずで、ユーザーIDとセッションID、第三者を偽ってアクセスした場合のIDは突き合わせできそうな気がしますが、昔懐かしユーザーIDをURL等に埋め込めば…というパターンだったんでしょうか?
まあ、そう思いますよね。
鋭い洞察だと思います。あまりにも核心を突きすぎていて、現状ではちょっとコメントできません……。
[5616] Re:「サンシャイン牧場・決済代行会社のサポートからの情報」
hs (2009年11月6日 2時39分)
興味深く拝見しています。
不正利用の確認については、不正なデータの引き出しがmixi経由でのアクセスで行われたのでしたら、mixiのセッションログと突き合わせれば、他人のIDを使ったかどうかは分かりませんかね?
そうでなくても、課金する以上はセッション管理の仕組みがあるはずで、ユーザーIDとセッションID、第三者を偽ってアクセスした場合のIDは突き合わせできそうな気がしますが、昔懐かしユーザーIDをURL等に埋め込めば…というパターンだったんでしょうか?
[5615] Re:「サンシャイン牧場・課金システムの問題についてのアナウンス」
itochan (2009年11月3日 19時57分)
11月3日付け読売新聞記事を見ました。
http://www.yomiuri.co.jp/national/news/20091103-OYT1T00155.htm
「クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。」
(中略)
「クレジットカードでゲーム内通貨を購入しようとした利用者4200人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたことが分かった。」
(誤課金の話がなく、かつ)「購入した」「購入しようとした」の2種類で書かれています。わかりにくいです。
J-CASTの記事には個人情報漏洩の話が見当たらなかったので、とりあえずこの記事を読むしかないのですが…。
[5614] Re:「サンシャイン牧場・課金システムの問題についてのアナウンス」
JJ (2009年11月1日 12時18分)
↑誰に向けて言って(訊いて)いるのでしょう、ここはmixiサポートフォーラムか何かではないと思うのですが。
[5613] Re:「サンシャイン牧場・課金システムの問題についてのアナウンス」
itochan (2009年11月1日 10時52分)
>課金サービスをご利用いただいた一部ユーザー様において、
>誤課金、
>ご購入いただいたKコインが追加されない、
>及びユーザー様のメールアドレス・電話番号が第三者より取得可能な状況であった、
メールアドレスと電話番号の公開はについても「一部ユーザー様において」だったのですか?それとも全員だったのですか?
もし全員なら、不適切な説明だと思うのですが。
[5612] Re:「サンシャイン牧場の課金システムが修正されたっぽい」
wis (2009年10月24日 11時25分)
報告お疲れ様でした。
しかし、課金システムなんて今更ありふれてて脆弱性を埋め込む余地なんかほとんど無いと思ってました。
バックエンドのサーバシステムは確かに企業秘密でしょうからそんなに表には情報は出てこないかもしれません。
しかし、フロント部分はWeb上にいくらでもあるし、ユーザが入力するカード情報を適切に取り扱う方法(デファクトスタンダード?)は既に確立されてても不思議じゃないのにと思います。
バグ報告してからの修正・テスト・リリースの対応時間を考えると、それほど複雑なバグとは考えにくいので、よっぽどテストしていなかったのか、プログラマの技量が低すぎるのか・・・。
人が創る以上、バグを完全に無くすことは出来ないとはいえ、外部からの指摘でささっと修正して、ちょろっと不具合修正しましたのアナウンスを出して、何事もなかったかのようにシステムを再稼働する・・・、Webってこういう対応が許される(とサンシャイン牧場の中の人が考えている)んだ。
うーむ凄い。自分の世界ではこの対応はちょっと考えられない。勉強になる(いろいろな意味で)。
長文失礼しました。
[5611] Re:「サンシャイン牧場 アイテム課金」
↑の通りすがり (2009年10月24日 7時54分)
返信ありがとうございます。
> ああ、あまりにも自明すぎると思ったので書いていませんでした。
そこら辺を察しないで、脊髄反射で書き込んでました。失礼いたしました。
以上です。お邪魔しました。
[5610] Re:「サンシャイン牧場 アイテム課金」
ばけら (2009年10月24日 7時40分)
>いや、当然報告したんだよね?して無かったら無責任すぎる。
ああ、あまりにも自明すぎると思ったので書いていませんでした。
IPAに詳細を届出と同時に、mixiの「このアプリを通報」フォームから問題の概要を送信しています。IPAのほうでは受理済みで、既に運営者にも詳細の通知が届いています。
# このくらいのことは明かしても良いと思うので。
# ちなみに、はてブで JPCERT とか書いている方がいらっしゃいますが、本件はWebサイトの問題なのでJPCERT/CCは関与しません。
[5609] Re:「サンシャイン牧場 アイテム課金」
↑の通りすがり (2009年10月24日 7時36分)
>して無かったら無責任すぎる。
どんな人か調べないでコメントしてました。これは無いですね。失礼いたしました。
[5608] Re:「サンシャイン牧場 アイテム課金」
通りすがり (2009年10月24日 7時31分)
アイテム課金開始
→何かしらの問題を見つけた
→報告した
→メンテに入った
→現在修正中の様子
こんな所?有料ベータテスト乙です。
いや、当然報告したんだよね?して無かったら無責任すぎる。
[5606] Re:「W3CのDTDを取りに行きすぎるとBANされる」
えむけい (2009年10月23日 22時39分)
XHTML5はDTDを使わないので、©などの実体参照も使えないですね。
©のように文字参照にするか、どうしても実体参照を使いたければHTML serializationにするしかないようです。
[5604] Re:「サンシャイン牧場 アイテム課金」
momosweet (2009年10月23日 20時44分)
カードでコイン買ってしまいました。
怖くなってしまいました。
どうしたら、いいのでしょう。
[5603] Re:「サンシャイン牧場 アイテム課金」
momosweet (2009年10月23日 20時44分)
カードでコイン買ってしまいました。
怖くなってしまいました。
どうしたら、いいのでしょう。
[5602] Re:「くりきんは危険かも」
新 (2009年10月21日 20時15分)
>分かった!上の段の右から13番目と下の段の左から10番目でしょ。
大正解で~~す
あとミスターQさんこれからよろしくお願いします。
[5598] Re:「くりきんは危険かも」
新 (2009年10月16日 1時50分)
>キン図鑑コンプリートするなんて、なんだかなあさんすごいですね~。私の友達も持ってるけど、なくしたそうで・・・。後、みんなのほしい固有キン教えて私モクモーネとミクロファング。
僕もミクロファングがほしい
ひまなので間違い探しをつくりました
ああああああああああああああああああああああああああおあああああああああああああああああああああおああああああああああああああああああ
さあこのなかにおが2つあるよさあど~~~こだ
