サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
ミクシィ、4200人の情報が3日間「露出」(読売新聞) - Yahoo!ニュース
パソコンや携帯電話の交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。 同ゲームは230万人が利用するほどの人気で、ミクシィは「トラブルを重く受け止めている」として、今後、審査制度を見直す方針。 ミクシィによると、トラブルがあったのは10月21日〜23日。 同ゲームは、ミクシィ上で会員が利用できるが、実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」。 画面上に自分の「農園」や「牧場」を作って、トマトやナスなどを植えて収穫したり、ニワトリやヤギなどの動物を育てたりするゲームで、8月末にスタート。 最初はすべて無料で遊べるシステムだったが、10月21日から、有料の特別アイテムを使え
高密度小池 / サン牧の本質的な問題
サン牧の本質的な問題 サン牧には問題がいくつかあって、表面的なことを言えば、 OpenSocial にちゃんと従っていないという点と、外部課金回りに重篤な不具合があるという二点です。 OpenSocial に従っていないという点は、 mixi がわがしっかりした作りになっているので、これはさほど問題になりませんが、外部課金のお粗末さはかなりのものと言えます。 ここでサン牧運営の Rekoo の技術力やモラルの問題を糾弾するのは簡単で面白いことですが、これもあまり本質的ではないと思います。 結論から言うと、本質的な問題は mixi が mixi アプリの提供を急ぎすぎたことであると僕は思っています。 mixi アプリは、資金を集めるために始められたサービスであると理解するのが、やはり正当かと思いますが、 mixi にマネーなり話題なりを集めるサービスを mixi アプリ上で展開して
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
mixi非公開日記の画像を外部に晒す ■tokix.net
Credit 累計: 今日: 昨日: リンクはご自由にどうぞ Since 2001/07/15 IE7, Fx2, Opera9 + CSS + Win IE5, Safari1 + CSS + Mac NN4, W3C Suxx Managed by. tokix (webmaster@tokix.net) Powered by. MovableType 前回の記事に訂正を行う。そしてこれによって、mixi内の非公開日記内画像を「その画像が確かにそのユーザーのアップした画像である」という証拠と共に外部に晒す方法が存在することが分かったので、警告しておく。 まず、おさらいすると、mixi日記内の画像本体アドレスは、閲覧にmixiログイン情報を要求しない。画像本体は外部参照可能なのだ。ただ、アドレスが時間と共に変わる仕組みなので、現実的なレベルでは外部参照できない(すぐに見れなくなる)。また
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
mixiが「脆弱性報告制度」開始でギークな皆さんからの愛が集まっているようです(山本一郎) - 個人 - Yahoo!ニュース
