-
- いいね!5
OHTSUKA Ko-hei
@kokogiko
位置詐称系の対策は以上だけど、こういうのって端末の特性を利用した対策だから、PCとかで接続してこられたら防ぎようがない。なので、接続元IPのチェックは必須。国盗りもコロプラもWiFi接続を許してないのはこれが原因。
2010-06-10 07:36:18
OHTSUKA Ko-hei
@kokogiko
後、直接の位置詐称攻撃でなくとも、「ユーザが分身する」という危険性もある。普通のサービスなら、アカウントの漏洩=自分の不利益なので、ユーザが積極的に自分のアカウント情報(ID/PW)を漏らす事はあり得ない。しかし、位置ゲーだとそれがあり得る。
2010-06-10 07:38:11
OHTSUKA Ko-hei
@kokogiko
位置ゲーは自分のアカウントで空間的に広い領域を占められた方が自分の利益になるので、ユーザが自分のID情報を積極的に漏らして、自分のアカウントを持つ端末を増殖させる問題がある。なので、ID認証だけでなく、端末の個別認証が必須。
2010-06-10 07:40:21
ふじっこ
@fujicco2
たしかに!RT @kokogiko 位置ゲーは自分のアカウントで空間的に広い領域を占められた方が自分の利益になるので、ユーザが自分のID情報を積極的に漏らして、自分のアカウントを持つ端末を増殖させる問題がある。なので、ID認証だけでなく、端末の個別認証が必須。
2010-06-10 08:04:21
OHTSUKA Ko-hei
@kokogiko
Cookieが使える端末ならば、一時セッションだけでなく永続セッションを絶対に埋め込んで、同じアカウントで永続セッションを持つ端末が複数繋がっていないか、等を検証要。一部の人に怒られちゃうかもだけど、この要件のためだけに個体識別番号等も使わざるを得ない。
2010-06-10 07:42:53
OHTSUKA Ko-hei
@kokogiko
@mogya その辺は、Wifi接続を禁止する事で、コロプラや国盗りは対処しています。個人的には、httpsで永続セッションを埋め込んでやれば、3G接続が必要なのは入会/認証処理だけで、普通のゲーム処理はWifiにも開放できるとは思ってます。
2010-06-10 07:46:33
OHTSUKA Ko-hei
@kokogiko
あれ? @mogya さんツイート消しちゃった。一つ前のは、iPhoneやAndroidを許すと、PC等から接続されて嘘つかれるから駄目じゃね?と質問を受けたのに答えたものです。
2010-06-10 07:59:36
OHTSUKA Ko-hei
@kokogiko
後もう一つ大切な事は、位置詐称対策は絶対に完璧ではない、という話。iPhoneのJailBreakとかもあるし、SoftBank網はPCで侵入できる。なので、それを認識した上での、ゲーム企画側での対策も必要。
2010-06-10 08:02:14
OHTSUKA Ko-hei
@kokogiko
位置を通知すれば現金やマイル当たるよ!みたいな企画だと、悪意ある奴は穴があればどんな苦労してでも突いてくる。そう簡単には突けないレベルに穴の敷居を上げておいた上で、得られる効用もほどほどにしておけば、わざわざ苦労してまで穴を突こうと言う奴の数も減らせる。その辺のバランス感重要。
2010-06-10 08:05:16
もぎゃ
@mogya
@kokogiko 今見ていたのですけど、テザリングというのがあって。これを使うと、Android携帯と称してPCで接続することも出来ちゃいそうですね。
2010-06-10 08:06:01
OHTSUKA Ko-hei
@kokogiko
@mogya そうですよね。ガラケーでもテザリングできるのあるし < @morichannet 情報。要するに完璧ではないという事です。完璧でないなりに敷居をとことんまで上げてやって、後は企画側でリスクを許容できる範囲で企画する、という感じです。
2010-06-10 08:10:15
もりちゃん(#Lovefighters)
@morichannet
一年前にN06-Aで搭載されましたが認知度は低いです。夏モデルで3機種に搭載されます。 RT @kokogiko: @mogya そうですよね。ガラケーでもテザリングできるのあるし
2010-06-10 08:52:10
Tajima Itsuro
@niryuu
@kokogiko ということは、OpenSocialを実装する側がユーザーにもアプリ提供者にも安全に位置を扱うには、「OpenSocial自体でセッション管理などを徹底」or「検証可能なシグネチャを付与したURLを受け渡す」、「位置情報自体を厳密に見てやる」って感じですかね。
2010-06-10 08:04:20
OHTSUKA Ko-hei
@kokogiko
@niryuu そんな感じですね。後は、完璧ではないんだよ、この程度のリスクはあるんだよ、という点も、ガイドライン的に利用する側に通知しておいてやるべきだと思います。でないと現金100万円!とか企画しだすところもありかねないので。
2010-06-10 08:11:58
OHTSUKA Ko-hei
@kokogiko
詐称対策がか完璧でないという点からもう少し話すと、いくら通知URLにシグネチャ埋め込んでいても、PCでケータイ網侵入してくるような奴にはバレるのが前提です。
2010-06-10 09:16:44
OHTSUKA Ko-hei
@kokogiko
なのでシグネチャを時間の関数だけにしてると、悪意ある侵入者がそれを不特定多数にバラすと、一定時間誰でも嘘位置盗り放題!になってしまう。なので、シグネチャは時間とユーザの関数として設定すべき。
2010-06-10 09:19:05
OHTSUKA Ko-hei
@kokogiko
完璧は無理は最前提で、無理なりに、攻撃を受けた際の受益者を万人ではなくその攻撃者だけに留める対処も必要ということ。
2010-06-10 09:21:41
れさく(Daisuke Sumitan)
@resaku
妄想の帝国の「MU」だ。 RT @kokogiko: 位置ゲーは自分のアカウントで空間的に広い領域を占められた方が自分の利益になるので、ユーザが自分のID情報を積極的に漏らして、自分のアカウントを持つ端末を増殖させる問題がある。なので、ID認証だけでなく、端末の個別認証が必須。
2010-06-10 07:52:33
れさく(Daisuke Sumitan)
@resaku
MU…妄想共同体の略。EUのノリ。勝手サイトではUIDを取れないウィルコムで始まったゲームならではの裏技。
2010-06-10 07:54:27
れさく(Daisuke Sumitan)
@resaku
UIDを取れないのでIDパスログイン方式なのですが、プレイヤーさんたちがIDを意図的に共有することで国を効率よく統治する。不正というよりは自然発生的な技だと思う。
2010-06-10 07:57:20
れさく(Daisuke Sumitan)
@resaku
初期はMUが盛り上がってましたが、昨今のネトゲ普及の影響からか、最近はMUを不正と考える世論が強いみたい。
2010-06-10 07:58:54
れさく(Daisuke Sumitan)
@resaku
なのでリニューアル後はUID(またはcookie)で固体認証して、MUは認めないつもり。個人的には好きだったけどw
2010-06-10 08:00:40
OHTSUKA Ko-hei
@kokogiko
私が運営していた頃のアンテナ奪取でもありましたよ。「mizuho」っていうアカウント名でした。私は「それもまた一興」と対処しませんでしたが、昨今の状況じゃ難しいでしょうね。 @resaku MU…妄想共同体の略。EUのノリ。UIDを取れないウィルコムゲームならではの裏技。
2010-06-10 10:01:43