ゲーム、特にソシャゲ、ネトゲにおいて様々なハッキング(チート)が実際に行われます。 大きく分類すると、アプリケーションハッキング(クライアントサイドでのハッキング)とネットーワークハッキング(サーバーへのハッキング)とその他のハッキングがあります。 多くはエンジニアがよくやらかすバグであったり、知識(経験)不足を狙ってくるものです。 今回は内容のボリュームの関係上、アプリケーションハッキングについてのみ、実際によく行われるチート行為やその方法、対策などについて中心に挙げていきたいと思います。 ボタン連打 何が起こる? コスト(課金石など)を払うことなく無限にアイテムが増殖する。 やり方 上記のような「ボタン」を連打する。 データベースの排他制御(トランザクション + ロック)を行う。 連打ができないように一度ボタンを押したら処理が完了するまで押せないようにする。 具体例・解説 1.について

筆者もよく忘れ、そのたびにリセットのお世話になる「パスワード」ですが、多くの人は「大文字小文字記号数字を混ぜて、定期変更して」と言われていたことと思います。しかしその（複雑怪奇な）パスワードに対する規則を著した当人から「あれは間違いだった」という発言が出ています。 まったくもって他人事ではないと感じ、今月はこの話を説明していくこととします。 パスワード規則のおおもとは、2003年に作成されたNIST SP800-63 Appendix A 米国の標準化機関である NIST（National Institute of Standarts and Technology/国立標準技術研究所）は、標準に関する多くの文書を公開しています。SP800-63は、電子認証のガイドライン（Electronic Authentications Guideline）なのですが、SP800-63が公開されてから2

Announced amid a deluge of news at this week’s Delivering the Future event in Seattle was word that Amazon will begin testing Agility’s Digit in a move that could bring the bipedal robot to its na

安心安全なWebサイトの運営を実現する上で、欠かせない存在となっているのがSSLサーバ証明書です。その仕組みを分かりやすく解説しつつ、導入におけるポイントを紹介していきます。 フィッシング詐欺の被害から顧客を守るSSLサーバ証明書 メールなどを使って偽のWebサイトにおびき寄せ、そこで入力されたIDやパスワード、クレジットカード番号などといった個人情報を盗み取る「フィッシング詐欺」の被害に遭う人が後を絶ちません。見かけることが多いのはオンラインバンキングにログインするための情報を盗む攻撃ですが、最近ではアップルのサービスを利用するために必須となる、Apple IDを盗む手口が広まって話題となるなど、狙われる個人情報やサービスは多種多様です。 このような被害を避ける上で欠かせないのは、そのWebサイトの運営者の確認です。たとえばアップルのWebサイトであれば、Webブラウザのアドレスバーに緑

https://twitter.com/ccc_privacy_bot 作った経緯 Tカードが個人情報を提携企業に提供開始 個人情報提供の停止 手続きガイド｜CCC カルチュア・コンビニエンス・クラブ株式会社 ツタヤTカード、勝手に個人情報を第三者へ提供？規約改定炎上騒動の真相　CCCに聞く | ビジネスジャーナル 個人情報提供の中止はいつでもできるが、「提供先企業は随時増える」「提供先企業が増えてもCCCからは通知は来ない」「新規企業は何もしないとデフォルトで個人情報提供する設定」というユーザフレンドリーじゃない仕様 毎日PDFをチェックしにいくほど暇じゃないのでボット作るか という感じ ボット自体は半月くらい前にはできてたのですが、2回目以降のCCCの更新が取得できるまで公開を控えていました。 【追記】「個人情報」について 語弊あったようなので捕捉 「個人情報」とは言っても、個人情報そ

誰もが一度はイラっとさせられたであろう文字認証「CAPTCHA」。ユーザがコンピュータで無いことを確認するセキュリティ機能のひとつですが、近年、これを解読することは「本のテキスト化」に協力することと同義になりました。同システムの開発者でクラウドソーシングも発案した起業家、Luis von Ahn（ルイス・フォン・アン）氏が、7億5,000万人が参加するプロジェクトが生まれたキッカケを語ります。（TEDxCMU 2011より） 誰もが一度はイラっとさせられるCAPTCHA（キャプチャ） ルイス・フォン・アン氏：このように、ゆがめられた文字の並びを読んで埋めるタイプのウェブフォームを見たことのある人は何人いますか？　これを見て本当にいらいらすると感じた人は何人いますか？　はい、すばらしいですね。私がこれを発明しました。私がこれを発明したメンバーの1人です。 （会場笑） これはCAPTCHAと呼

近年、日常茶飯事になりつつある個人情報の漏えい事件。 ベネッセや日本航空の事例などなど、セキュリティ意識の高い大手企業であっても個人情報流出を防ぐことが出来ないわけですから、対策にお金をかけられない中小企業や個人商店からの流出は、もはや星の数ほど発生してると考えるのが自然…。 酷いケースだと企業側が流出に気付けない場合すらあることを考えると、住所、氏名、電話番号、クレジットカード情報といった大切な個人情報は自分自身で守るほかないのかもしれません。 大量の情報漏えい： ニュースになるので気付きやすい＆企業側からの連絡が期待できる 小規模な情報漏えい： 被害者が少ないので気付きにくい＆場合によっては流出したことすら通知すらされない（そもそも企業側が流出を認識できていないことも） では、どうすれば個人情報流出から身を守ることが出来るのか？ 今回は参考までに、自分が登録した個人情報がどこから流出し

DeNAtechcon_DeNAのセキュリティの取り組みと、スマートフォンセキュリティ（same-origin policy）Toshiharu Sugiyama

今どき、ウェブの最前線にいるマーケティング関係者で、生活者をコントロールできると考えている人はいないだろう。特に日頃からソーシャルメディアで生活者の声と日常的に触れている担当者は「クチコミ」の威力を痛感しているはずだ。直近の事例を追って、その威力を体感してみたい。 今年の6月11日午後1時頃、チロルチョコの中に芋虫がいたという写真つきの苦情ツイートが投稿された。インパクトのある写真が拡散の連鎖を刺激し、瞬く間にリツイートは1万回を超える。ツイッター注目のキーワードにまで「芋虫」が登場する有様だ。チロルチョコは製造元の工場を合わせても社員数で約200人。その規模の企業にとって、この醜聞は致命的な危機になりかねない。しかし彼らは冷静だった。約3時間後、同社の公式アカウントは正式な見解をツイートする。 その投稿は十分に吟味された内容だった。写真に掲載された商品の最終出荷は約半年前。対して芋虫はそ

ループス・コミュニケーションズは、 企業のSNS活用戦略の立案・運用改善、啓発教育などのコンサルティングサービスや、リーダーシップやイノベーションをテーマとした企業研修を提供しています。

利用規約は、運用者と利用者がスムーズにサービスを利用するために必要なものですが、作る側としてはどんなポイントを抑えて作るべきなのでしょうか。ということで、参考になる記事と実際の利用規約を見て調べてみましたので情報を共有します。WebサービスやWebサイトの利用規約作成に役立つと嬉しいです。 利用規約を作る際に参考になる記事サイト利用規約の作成の仕方｜井藤行政書士事務所 ・サイト利用規約とは、利用条件や取引条件を示すもので、その掲載の有無は任意なもの ・契約書としての法的拘束力を確実に持たせたい場合は後者の「承諾」クリック式が有効 インターネット情報提供サービスの利用規約作成のポイント｜MBR Consulting ・利用規約の書き方の解説が丁寧でわかりやすい エンジニアも避けては通れない「安全な利用規約」の作り方 ・話題になった利用規約のケーススタディ スクウェア・エニックス、Google

2011年は、「クラウドコンピューティング」というキーワードで、さまざまなサービスやソリューション、クラウド向けデータセンターが生まれた年だった。この流れを受けて2012年は、本格的にクラウドの活用が期待されている。 「システムを所有せず他者に預ける」というクラウドの形態には、メリットも多いがリスクも存在する。セキュリティやプライバシー、システムの安定性、各国の法制度によるカントリーリスク――こうしたガバナンス課題がクラウドの導入を阻む要因になっていることも事実だ。 TechTargetジャパンでは2011年12月13日、クラウド利用促進機構（CUPA） 荒井康宏氏の協力の下、クラウドガバナンスをメインテーマに専門家8人を迎えた座談会を開催した。前編「2011年クラウド業界を振り返る　～IaaSの発展、混沌としたPaaS業界の行方」では、2011年印象に残ったクラウドサービス、今後注目のP

Carrier IQという新企業がほんの数日のうちに、公の場で異常なほどの中傷にさらされている。同社は複数の報道で、「皆をぞっとさせる」あるいは「諸悪の根源」の「ルートキットキーロガー」を開発したとして非難された。 唯一の問題（このことは公開リンチに常に伴うリスクだ）は、Carrier IQが自社にかけられた嫌疑に関して潔白であると思われることだ。 Carrier IQはベンチャーキャピタルの出資を受けた新興企業で、カリフォルニア州マウンテンビューに拠点を置き、通信事業者向けの診断ソフトウェアを開発している。Carrier IQに対する最も深刻な批判は、同社がキー入力を記録して通信事業者に送信しているというものだ。ある「Mac」関連ウェブサイトの記事は、「おそらくCarrier IQは、膨大な数の事例で米連邦盗聴法違反を犯した」と興奮気味に報じた。 しかし、それは違う。Carrier IQ

Hands-on with the new iPad Pro M4: Absurdly thin and light, but the screen steals the show

自宅のWi-Fiホットスポットの住所が公開されていることを心配しているユーザー向けに、Googleが解決策を発表した。 カリフォルニア州マウンテンビューを拠点とするGoogleは米国時間11月14日の夜遅く、Wi-Fiネットワークの所有者に対し、同社のクラウドソーシングによるジオロケーションデータベースから自分のネットワークに関する情報を除外する方法を発表した。Googleは2011年夏、米CNETにプライバシー問題を指摘されてから、このデータベースに変更を加えていた。 その方法は簡単で、Wi-Fiネットワーク名の後に「_nomap」を付けるだけになる。つまり、「theharrisons」という名前ならば、「theharrisons_nomap」とすればよい。 Googleの国際プライバシー担当顧問を務めるPeter Fleischer氏はブログ投稿で、「Google Location S