Kancolle
- 2. 突然ですが ? 艦隊これくしょん、流行ってます。 ? ただ、どうも設計がテキトーです。 ? 特にセキュリティ面でびっくりする ぐらいヤバいです。 2
- 3. どれぐらいヤバいの? ? 例えば会社や学校の回線でプレイす ると、 ? いつの間にか艦娘すべて解体される かもしれないぐらいヤバいです。 – ネットワーク管理者がやる気になればごく簡 単にできます。 ? もちろん不正アクセス禁止法で捕まりますが。 3
- 5. もっと具体的には? ? ちょっと長くなります。 ? 要点だけここに書きますね。 – トークンが常に送信されっぱなし – シグネチャが付けられていない – HTTPSを使っていない ? こんな感じです。 5
- 8. つまりどういうこと? ? 艦これの通信は常に丸見え状態! ? 他人がなりすますのに必要な情報を 毎回送信! ? なりすます手間すら全く不要!! ? こんな通信があっていいのか! 8
- 9. 他人は何ができるの? ? プレイヤーが艦これで行っている全 てが他人から実行可能です ? 例えば – 資源ALLで大型建造 – 艦娘を鍵外して解体 – その他通常の出撃や演習?遠征も 9
- 10. 何ができないの? ? 通常できないことはできません ? 例えば – 艦娘のデータを直接書き換える – 資源を無限増殖させる – HP減らないなどのチート – …などはできません。 10
- 11. (運営は)どうすればいいの? ? 最善策 – とりあえず全部の通信をHTTPSにする ? 現状、通信が全部ハガキに書かれているよ うなもので、誰からも見えてしまっていま す。HTTPSは封筒みたいなもので、入れて しまえば他人から読めなくなります。これ さえすればまず安全です。 11
- 12. ちょっとコストが… ? せめて通信に乗せないトークンを 作って署名を生成しよう – シークレットトークン。直接通信に出てこな いので、これから生成した署名は他人が偽造 することはできません。 ? 例えばフォームデータとトークンとナンス を連結してハッシュを取る、とかで十分。 – シークレットトークンの共有はどうする? ? そこはHTTPS使ってもらわないと。 ? 結局一箇所はHTTPS使わないとだめだよ。 12