[B! mixiアプリ][Security] ryuzi_kambeのブックマーク

サンシャイン牧場情報「露出」問題のまとめ | 鳩丸よもやま話

「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。ところが、この課金に際し

ryuzi_kambe 2009/11/23

サンシャイン牧場情報「露出」問題のまとめ | 鳩丸よもやま話

リンク

http://twitter.com/ssig33/statuses/5111706038

ryuzi_kambe 2009/10/26

っていうかなんでクレジットカードをユーザに「戻す」必要があるのから？そこがよくわからん。

リンク

サンシャイン牧場のクレジットカード脆弱性について@ssig33

ssig33: サン牧で他人のクレカ情報取るの、セッション ID を偽装して Get するだけで、セッション ID はマイミクリスト経由で取れますよ [http://twitter.com/ssig33/statuses/5111706038] ssig33: 一応運営に連絡済、もう直ってると信じたい [http://twitter.com/ssig33/statuses/5111712163] ssig33: あとちょこちょこ SQL インジェクションが残ってたりスウィフファイルが逆コンパイル対策されてなかったり、中国人にセキュリティ対策を求めるのが酷なんじゃないかと思えるレベル [http://twitter.com/ssig33/statuses/5111734931] ssig33: 基本的なこととして、中国人がやってるサービスに個人情報を預けるべきではない、というのはこれはあると

ryuzi_kambe 2009/10/26

セキュリティの概念と社会的背景は密接に関わっているのかもね。って、そんな場合じゃないんだろうけど

リンク

サンシャイン牧場有料課金の話題で新たな展開 ( ラボブログ )

スパイスラボ神部です。昨日から話題の切り取り方のめっさうまいはまちや２さんのサンシャイン牧場に関するエントリがはてなのホットエントリになり、実はmixiアプリはじまって以来ソーシャルメディアやブログ上で話題になっている気がするのですが、まあ中身としては課金やマネタイズしないでどーやって食っていけんのよ、みたいなところでほかに特に大きな論点もなく収束していく感じだったのですが、こちらのブログ -サンシャイン牧場アイテム課金 | 水無月ばけらのえび日記によるとなんらかの注目すべき事態が起きているようです。水無月ばけらのえび日記さんのこれまでの記事さて、これが本当に注意すべき情報なのかどうかは、「水無月ばけらのえび日記」さんの過去のセキュリティインシデントに対する対応から少し見て取れるのではないかと思います。 -はてなが不正アクセスされた? | 水無月ばけらのえび日記はてなブ

ryuzi_kambe 2009/10/23

わー、otsune さんにブクマされた。きんちょうする／せっかくなので一番下の「ゲェーーーーーーーッ！お前の牧場だったのかーーーーーーーー！！」は見ていってくださいｗ

リンク

ぼくがかんがえたおーぷんそーしゃるその1 - 知らないけどきっとそう。

みなさん、虫入れまくってますか？自分はまだレベル6です牧場行けないです。サンシャイン農園です先日のおさらいです OpenSocial JavaScript API で取得したソーシャルデータは、閲覧者の改ざんを受けている可能性がありますということで、Twixi のように、マイミクであることをある種の承認として扱いたい場合困るなので、改ざんを受けない方法を使いましょう、というようなことを書きましたや、改ざんといわれてもここでは、Greasemonkey を使ってソーシャルデータの表示ができてただけだし、せいぜい変なアクティビティ投げる程度じゃんという（自分からの）突っ込みを受けたので、さらに実験してみました Rekooさんぱねぇっすレベル21て。というか既に背景のグラフィックが普通じゃない気がするんですけど（Rekooさんはサンシャイン牧場の提供者のアカウントです）

ryuzi_kambe 2009/09/28

とりあげさせていただきました。 http://blog.spicebox.jp/labs/2009/09/greasemonkey_opensocial_appdat.html

リンク

署名付きリクエストで外部サーバへデータを保存する - ppworks.jp

今までアプリケーションのデータ保存は永続化データに任せていました。この度、mixiアプリを作成しましたで作成したアプリを機能拡張するにあたり、データを外部サーバに保存してみようと思います。あるユーザの投稿内容を外部サーバへ送る際に気をつけなければ行けないことを調査してみました。結論からいうと、署名付きの |javascript| gadgets.io.makeRequest ||< を使うようにする、ということになります。今回はその具体的な使い方を見ていきます。その前に、OpenSocialアプリケーションとOpenSocialコンテナ、外部サーバの関係について整理しておきます。 ** 署名なしのgadgets.io.makeRequestからのリクエストを確認するまずは署名なしのgadgets.io.makeRequestを使ったリクエストはサーバ側へ、どのようなパラメータを渡す

ryuzi_kambe 2009/05/16

超必読。

リンク

はてなブックマーク

タグ

関連タグで絞り込む (2)

mixiアプリとSecurityに関するryuzi_kambeのブックマーク (6)

お知らせ

今週のはてなブックマーク数ランキング（2024年5月第3週）

今週のはてなブックマーク数ランキング（2024年5月第2週）

今週のはてなブックマーク数ランキング（2024年5月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス