マジカルストーン、サービスオワる前に斎藤千和キャラ使って遊んでみるかー。RTM業者だからアカウントハックされないように捨てメアド作っていこうかな。フッフー!
2016-03-31 21:17:21[注意]マジカルストーン、アカウント作成がSSL使われてないどころかGETなURL引数で非暗号のままパス送っててクソ笑った。RMT業者にID渡すってレベルじゃない。キャッシュだったりhostだったりで外部にダダ漏れする可能性あるぞ! pic.twitter.com/e73k2OMLzp
2016-03-31 21:37:27@moscow17 あ、パスワード隠したつもりだったけどリファラに思いっきり捨てパスワード乗ってたわw おいこれを見てるやつ!ぼくのパスワードは1234567890だけど不正ログインするなよ!
2016-03-31 21:48:08マジカルストーン、パスワードリマインダに存在しないメアド入れたら「存在しない」って表示される。つまりスパム業者がここに総当たり攻撃すれば「こういうゲームを遊ぶ人が今使ってるメアドを根こそぎゲットできる」わけだ。危ない! pic.twitter.com/zsbIgsS1Yt
2016-03-31 22:13:54マジカルストーン、パスワードは再設定できるけど、メアドは変更できないし、アカウントごと削除する機能もない。マジカルストーンを運営してるRMT業者に普段使ってるメアドを渡したら最後、一生奴らに保管されるぞ! さっきの総当たり攻撃で他のスパム業者に広まる恐れもある。作り最低だぞこれ。
2016-03-31 22:16:44@tsukimiya マイプロフィールでツイッターIDやニコニコIDなパラメータが空白で反ってきたので将来的に実装するんかなーってくらいですね
2016-03-31 22:51:53@moscow17 なるほど。個人情報に当たるものあったら削除要請に対応する義務発生するのですが、メルアドだけだと消させる事も無理そうで詰んでますねー。あと、セキュリティーホールよりはパスワード平文で保存してる可能性に震えてます。
2016-03-31 22:53:52@tsukimiya ゲーム内のログインも当然SSL無しのパス非暗号でPOSTしてたので、その可能性は十二分にありえますね。恐ろしい!
2016-03-31 22:55:26@moscow17 パスワード忘れた方、というリンクがページにあったと思うんですが、パスワードそのまま送られてきたりしません…?さすがにそれはないかなぁ…(願望
2016-03-31 23:13:03@tsukimiya あーそれはさすがに。トークン付きでURL発行されて新しいパスワード入れるだけですわ。色々面白かったのでぜひプレイしてみましょ!
2016-03-31 23:14:55マジカルストーン、勝敗データをそのまま再送したらしっかりエラー吐いたので「不正行為が行われないようしっかり対策してる」のは分かったんだけど。この"戻"るっていう外字っぽいのは一体…… pic.twitter.com/K1AEpKfWWQ
2016-03-31 22:46:50