-
- いいね!4
モスクワ
@moscow17
マジカルストーン、サービスオワる前に斎藤千和キャラ使って遊んでみるかー。RTM業者だからアカウントハックされないように捨てメアド作っていこうかな。フッフー!
2016-03-31 21:17:21
モスクワ
@moscow17
[注意]マジカルストーン、アカウント作成がSSL使われてないどころかGETなURL引数で非暗号のままパス送っててクソ笑った。RMT業者にID渡すってレベルじゃない。キャッシュだったりhostだったりで外部にダダ漏れする可能性あるぞ! pic.twitter.com/e73k2OMLzp
2016-03-31 21:37:27
拡大
モスクワ
@moscow17
@moscow17 あ、パスワード隠したつもりだったけどリファラに思いっきり捨てパスワード乗ってたわw おいこれを見てるやつ!ぼくのパスワードは1234567890だけど不正ログインするなよ!
2016-03-31 21:48:08
モスクワ
@moscow17
マジカルストーン、パスワードリマインダに存在しないメアド入れたら「存在しない」って表示される。つまりスパム業者がここに総当たり攻撃すれば「こういうゲームを遊ぶ人が今使ってるメアドを根こそぎゲットできる」わけだ。危ない! pic.twitter.com/zsbIgsS1Yt
2016-03-31 22:13:54
拡大
モスクワ
@moscow17
マジカルストーン、パスワードは再設定できるけど、メアドは変更できないし、アカウントごと削除する機能もない。マジカルストーンを運営してるRMT業者に普段使ってるメアドを渡したら最後、一生奴らに保管されるぞ! さっきの総当たり攻撃で他のスパム業者に広まる恐れもある。作り最低だぞこれ。
2016-03-31 22:16:44
モスクワ
@moscow17
@tsukimiya マイプロフィールでツイッターIDやニコニコIDなパラメータが空白で反ってきたので将来的に実装するんかなーってくらいですね
2016-03-31 22:51:53
つきみや
@tsukimiya
@moscow17 なるほど。個人情報に当たるものあったら削除要請に対応する義務発生するのですが、メルアドだけだと消させる事も無理そうで詰んでますねー。あと、セキュリティーホールよりはパスワード平文で保存してる可能性に震えてます。
2016-03-31 22:53:52
モスクワ
@moscow17
@tsukimiya ゲーム内のログインも当然SSL無しのパス非暗号でPOSTしてたので、その可能性は十二分にありえますね。恐ろしい!
2016-03-31 22:55:26
つきみや
@tsukimiya
@moscow17 パスワード忘れた方、というリンクがページにあったと思うんですが、パスワードそのまま送られてきたりしません…?さすがにそれはないかなぁ…(願望
2016-03-31 23:13:03
モスクワ
@moscow17
@tsukimiya あーそれはさすがに。トークン付きでURL発行されて新しいパスワード入れるだけですわ。色々面白かったのでぜひプレイしてみましょ!
2016-03-31 23:14:55
モスクワ
@moscow17
マジカルストーン、勝敗データをそのまま再送したらしっかりエラー吐いたので「不正行為が行われないようしっかり対策してる」のは分かったんだけど。この"戻"るっていう外字っぽいのは一体…… pic.twitter.com/K1AEpKfWWQ
2016-03-31 22:46:50
拡大