それにしても運営がまともにhttpsすら更新せずに引き伸ばしたのが本当にアレ。これに1日以上掛かってるのも開発力低すぎる。
非技術的な問題も含めて、はい。もう http での運用は難しいと思います。
「もう」という部分で気づいたから聞くんだけど、httpのまま運用したほうが楽だった時期があったけど今はそうじゃないとかではなく、2年前から常にhttpsに変えたほうが楽だったの?それともそうではない?
前から変えた方が楽だったと思います。
つまり運営はわざわざ楽ではない方を選択したわけだけど、それの理由は何か考えられたりする?
端的にいうと、リソース不足かなと。
上の方に合理的でない理由とか書いてたけど、それとは違う感じ?
技術者の心意気としては、不完全なまま世に出すというのは非合理だと感じます。たとえサービスが長期停止してもいいよねー、とかいうのは我儘だとは理解してます。
聞き方を変えるわ。わざわざhttpという方法を取り、顧客の情報を保護されていない通信でやりとりすることのリスクにつり合うほどの理由は「運営に」ありますか?
これまでも顧客の情報は https 上で、http に載ってたのはゲーム内 api call だけだったと思いますが、どちらにせよ http はないよなあと思います。
そうなの?じゃあセキュリティ上はこのまま放置してもよかったってこと?
条件を満たすのは簡単ではないですけど、http だと通信路を乗っ取るなんてことも技術的には可能なので、解体とかの api call を発行されてしまうというリスクはあります。なので、ゲーム内データがどれだけ重要かと判断するかによりますね。ただまあ、専用ブラウザなどに悪意を持ったコードを仕込むと同じことが簡単にできるので、攻撃を目的とするならそちらを選ぶと思います。
勝手に解体とかできるならそれは顧客の情報をリスクにさらしているのでは?後、このゲーム課金もあるんだけど購入するという指令も外部から出せたりする?
顧客情報は認証などのクリティカルな部分と捉えました。購入はたしか DMM 側に遷移しないといけないので無理かと。専用ブラウザへの細工ならできます。
勝手に解体は以前にありましたね https://x.com/hadsn/status/898060858646863872 http://blog.livedoor.jp/blackwingcat/archives/1954084.html この手法はhttps化で対策済みなんで書いちゃうけど 艦これはログイン後はトークンで認証してるのでトークン盗まれるとDMM介さずゲームが可能(DMMが鯖落ちしてても艦これログイン済みならプレイ可能なのもこれ なんでリアイベやオンリー同人なんかの艦これユーザー集まる場所で偽のフリーWifiなんかたてて引っかかったやつの暗号化されてないhttp覗いてトークン盗まれるとやりたい放題される
顧客の情報どころかHTTPだとアカウントそのものが危ないやんけ。このフリーWiFi云々ってとこはhttpsだと対策できるってことですか?
まず知らないネットワークに接続する時点でどうなのというのはありますけど、基本的には対策できます。(https になったら何をやっても無条件で安全だと信じて無防備になる人がいるので、基本的には、の但し書きをつけます)
つまり、httpのままなことで顧客の情報、まあ今回はアカウント情報とするけど、それをリスクにさらしているという認識は正しい?
アカウント情報だと明らかに別の意味になるので、そこはプレイデータと表現するのがよいと思います。アカウント情報には影響はありませんがプレイデータは安全に守られない可能性があります、と表現するのが正しいでしょうか。
OK,じゃあプレイデータとして、わざわざhttpという方法を取り、プレイデータを保護されていない通信でやりとりすることのリスクにつり合うほどの理由は運営にある?
運営じゃないのでわかりませんと答えるしかないのです。ただ、私が決定に関われたならば https で通信するようごねたと思います。
ここまでの流れで運営はわざわざhttpを放置してプレイデータをセキュリティ上の危険にさらし続けたとなるわけだけども、それって運営としてアウトじゃない?しかも理由が君の想像の範囲内ではないんでしょ?
はい。最初のコメントから指摘しているとおり、擁護できないと思います。
うーん。直近のコメントだけ追って当初のやり取りを見逃してただけだったのかな。ともあれ誤解は解けたようでなによりです。
長々とやってたみたいだけど結局何が言いたかったん? httpの継続に対して「合理的な理由なんてない」だとか「お上の意味わからん決定」だとか見るに運営批判?
念の為に聞くんだけどさ、>> 23318の主張と>> 23286の主張は大きく異なるものと考えてる?
不適切なコンテンツとして通報するには以下の「送信」ボタンを押して下さい。 現在このグループでは通報を匿名で受け付けていません。 管理者グループにはあなたが誰であるかがわかります。
どのように不適切か説明したい場合、メッセージをご記入下さい。空白のままでも通報は送信されます。
通報履歴 で、あなたの通報と対応時のメッセージを確認できます。
こちらでアカウントを作成して参加リクエストしてください。
非技術的な問題も含めて、はい。もう http での運用は難しいと思います。
「もう」という部分で気づいたから聞くんだけど、httpのまま運用したほうが楽だった時期があったけど今はそうじゃないとかではなく、2年前から常にhttpsに変えたほうが楽だったの?それともそうではない?
前から変えた方が楽だったと思います。
つまり運営はわざわざ楽ではない方を選択したわけだけど、それの理由は何か考えられたりする?
端的にいうと、リソース不足かなと。
上の方に合理的でない理由とか書いてたけど、それとは違う感じ?
技術者の心意気としては、不完全なまま世に出すというのは非合理だと感じます。たとえサービスが長期停止してもいいよねー、とかいうのは我儘だとは理解してます。
聞き方を変えるわ。わざわざhttpという方法を取り、顧客の情報を保護されていない通信でやりとりすることのリスクにつり合うほどの理由は「運営に」ありますか?
これまでも顧客の情報は https 上で、http に載ってたのはゲーム内 api call だけだったと思いますが、どちらにせよ http はないよなあと思います。
そうなの?じゃあセキュリティ上はこのまま放置してもよかったってこと?
条件を満たすのは簡単ではないですけど、http だと通信路を乗っ取るなんてことも技術的には可能なので、解体とかの api call を発行されてしまうというリスクはあります。なので、ゲーム内データがどれだけ重要かと判断するかによりますね。ただまあ、専用ブラウザなどに悪意を持ったコードを仕込むと同じことが簡単にできるので、攻撃を目的とするならそちらを選ぶと思います。
勝手に解体とかできるならそれは顧客の情報をリスクにさらしているのでは?後、このゲーム課金もあるんだけど購入するという指令も外部から出せたりする?
顧客情報は認証などのクリティカルな部分と捉えました。購入はたしか DMM 側に遷移しないといけないので無理かと。専用ブラウザへの細工ならできます。
勝手に解体は以前にありましたね
https://x.com/hadsn/status/898060858646863872
http://blog.livedoor.jp/blackwingcat/archives/1954084.html
この手法はhttps化で対策済みなんで書いちゃうけど
艦これはログイン後はトークンで認証してるのでトークン盗まれるとDMM介さずゲームが可能(DMMが鯖落ちしてても艦これログイン済みならプレイ可能なのもこれ
なんでリアイベやオンリー同人なんかの艦これユーザー集まる場所で偽のフリーWifiなんかたてて引っかかったやつの暗号化されてないhttp覗いてトークン盗まれるとやりたい放題される
顧客の情報どころかHTTPだとアカウントそのものが危ないやんけ。このフリーWiFi云々ってとこはhttpsだと対策できるってことですか?
まず知らないネットワークに接続する時点でどうなのというのはありますけど、基本的には対策できます。(https になったら何をやっても無条件で安全だと信じて無防備になる人がいるので、基本的には、の但し書きをつけます)
つまり、httpのままなことで顧客の情報、まあ今回はアカウント情報とするけど、それをリスクにさらしているという認識は正しい?
アカウント情報だと明らかに別の意味になるので、そこはプレイデータと表現するのがよいと思います。アカウント情報には影響はありませんがプレイデータは安全に守られない可能性があります、と表現するのが正しいでしょうか。
OK,じゃあプレイデータとして、わざわざhttpという方法を取り、プレイデータを保護されていない通信でやりとりすることのリスクにつり合うほどの理由は運営にある?
運営じゃないのでわかりませんと答えるしかないのです。ただ、私が決定に関われたならば https で通信するようごねたと思います。
ここまでの流れで運営はわざわざhttpを放置してプレイデータをセキュリティ上の危険にさらし続けたとなるわけだけども、それって運営としてアウトじゃない?しかも理由が君の想像の範囲内ではないんでしょ?
はい。最初のコメントから指摘しているとおり、擁護できないと思います。
うーん。直近のコメントだけ追って当初のやり取りを見逃してただけだったのかな。ともあれ誤解は解けたようでなによりです。
長々とやってたみたいだけど結局何が言いたかったん?
httpの継続に対して「合理的な理由なんてない」だとか「お上の意味わからん決定」だとか見るに運営批判?
念の為に聞くんだけどさ、>> 23318の主張と>> 23286の主張は大きく異なるものと考えてる?