-
- いいね!103
前澤友作@MZDAO
@yousuck2020
【再開】お待たせしました!! #前澤お年玉 の抽選結果ページを再開しました。あなたのTwitterアカウント名で抽選結果が分かります。以下のWebサイトでご確認ください! maezawaotoshidama.com
2020-01-20 13:46:52
ぴっぴ
@haya_app
@yousuck2020 前澤さんこの抽選の仕方ダメです!落選のページアドレスから簡単に当選ページが割り出されてしまって普通に当選の応募できてしまいます!というかできてしまいました。殺到することになるんでここで詳しくはかけませんが、早く気づいて!!!!このやり方ダメ!!! pic.twitter.com/L3QHrXMHHX
2020-01-20 14:25:53
拡大
ぴっぴ
@haya_app
@yousuck2020 前澤さんかその周辺の偉い人誰か気づいて伝えてあげてほしい。URLから当選ページにいけちゃう証拠に当選ページの次のページのスクショです。 pic.twitter.com/pjlkU7rR1v
2020-01-20 14:29:21
拡大
ぴっぴ
@haya_app
@yousuck2020 ちなみに不正に応募できたところでTwitterアカウントとの照合ができないので意味ないと思われます。無茶しないように
2020-01-20 17:31:41
コレコレ@配信アラート😷
@korekore_ch
前澤社長の100万円企画、当選ページのURLさえ分かれば誰でも100万円貰える状態になってるのやばくね?(入力はしない様に) maezawaotoshidama.com/announcement.h…
2020-01-20 16:52:50
じょい
@MAKO_Lv8888
前澤さんの100万円は当たらなかったです。なんかURL書き換えると当選ページに行けてフォームに入力できるみたいですが、そんなの迷惑でしょ。人の迷惑考えたほうがいい #前澤お年玉
2020-01-21 10:39:30
BaP (Y.I)
@BaP10ve
前澤社長のお年玉当選した方、当選ページに不正ログイン、IDの不正利用される可能性があるみたい。 ID教えちゃダメみたいなリプ結構見たけど ID見せない方がいいと言うよりも、 出来れば当選したことを言うのであれば 受け取ってからにした方がいいね😣💦
2020-01-21 11:00:23
soralu
@soralu_sky
前澤友作さんの当選ページ、数日で見栄え良いの作ったなーと思ってたけどテスト期間ちゃんと設けないとダメという良い事例の1つに…
2020-01-21 10:40:20
しろくまひさと
@ShirokumaHisato
@haya_app @yousuck2020 いや、落選したアカウントで当選ページ行っても、当選アカウントの情報は先方にあるんだから当選ページが見られようが見られまいがどーでもいいじゃん なんかこの一連のみんなの反応見てると「スマホ使える」と「スマホとかネットとかの仕組みがわかる」は完全に別物なんだなぁってしみじみ
2020-01-20 16:50:20
さすどす🍓LiSAっ子
@ryo_sasdos
@haya_app @yousuck2020 ■アカウントと当選者紐つけて、OAuth認証してページ振り分けしてそうだから、フォーム辿り着いた誰でも入金はなさそうに感じる。 ■入力フォームにたどり着けることを、セキュリティうんぬんも、特段セキュリティ的に問題なさそう。。に認識しました!(イケてない仕様といえばそうなのかもですが)
2020-01-20 23:34:47
ᓚᘏᗢ zzz...。oO
@elly_yuka
@ryo_sasdos @haya_app @yousuck2020 最初は紐付けてた。再公開した後は紐付けてない。クエリでリクエスト飛ばしてる。クエリを変えたら他アカウントの結果も見れる。トークンすらない。 当選者専用のページにOauthあるかは知らない。それがあるなら分かるが。
2020-01-21 01:24:35
さすどす🍓LiSAっ子
@ryo_sasdos
@elly_yuka @haya_app @yousuck2020 なるほど!!(クエリパラメータでページ制御に変わってたのですね..!) 勉強がてら、思考があってるかリプをしてみたら、、! 他アカウントの当落が見えちゃうこと自体は、問題ですね.... もはや、他アカウントの当選情報として登録できるなら尚更..
2020-01-21 02:05:19
ᅠᅠᅠᅠᅠᅠᅠᅠᅠᅠ
@Lira_0_
@haya_app 入力項目にTwitterのIDが無いのに後からDMって事はリストアップされてるんで抽選事態の問題はないでしょう、向こうが管理するのが面倒になるだけです。
2020-01-20 16:52:49
ろむ
@okome_orice_
@Lira_0_ @haya_app 最初にツイッターのアカウント認証してるからIDなんて入力する必要ありません。 そもそも世の中には『アカウント認証をすることで初めて当落を決める』システムが存在しまして、今回もし前澤社長がそのシステムを使っていたら実質早い者勝ちになっている可能性はそこそこあります。
2020-01-21 08:08:37
前原
@mebrk1
前澤お年玉、getパラメータにアカウント名付ければ、当落確認できるよね。そんで、当選のページから何か入力するページに飛べるんなら、誰でも行けそうだけど。
2020-01-21 00:46:18
ブラック@ずっと眺めていた遠く幼い頃から
@darkweb__666
@haya_app @yousuck2020 用意されたサイトのURLのパラメータを変えれば、誰でも確認できてしまいますね。 もちろん「当選ID」と「フォームからの応募者」の整合性は確認するでしょうが、誰でも申請できる状況は好ましくないですね。
2020-01-20 14:59:59
ブラック@ずっと眺めていた遠く幼い頃から
@darkweb__666
@hapimagnet URLパラメータを付与するときに末尾に「?」を使います。 ですので、これあるので全員ハズレってことはないです。 ▼当落結果URLの構造 maezawaotoshidama.com/announcement_l…〇〇(TwitterID)
2020-01-20 15:22:41
ブラック@ずっと眺めていた遠く幼い頃から
@darkweb__666
@KACKTksksk55555 イッターだとURLが途切れて説明しずいので、画像にすると、↓のような構造という意味です。 pic.twitter.com/UDkJUjAMkf
2020-01-21 01:37:22
拡大
あき風邪
@TokatonRyn
@haya_app @yousuck2020 これも前澤さんの社会調査だったら面白いけどね。 何人がこの欠陥に気づいて不正を行うか…みたいな
2020-01-21 09:52:43