ブログはじめたんだぬぇw
英雄オンラインをプレイする俺が日々の気持ちを書き綴るブログだぬぇwwww

スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

英雄ランキング
↑ランキング参加してみました~^^↑
ブロガーさんは是非参加してみては?
FC2 Blog Ranking
Page Top
アカウント盗難について考えてみた~
どもどもw
カンチこと乾一ですw


最近毎日のようにアカウント盗難が発生していますね。
5/24以降にPass変更した人のアカウント盗難はないって言うから、
今後アカウント盗難は減るんでしょうかね?


実際に、トキさんとか、若葉の子もアカウント盗難に遭い、
非常にイラついています。


いづれにしても、
アカウント盗難の被害に遭われた方につきましては、
早急に復旧することを祈るばかりです。

トラブル対応こそ会社の品格が問われる局面。
運営の皆様にはぜひ、分析・復旧をがんばっていただきたいです。




5/14のニュース「【重要】アカウントハッキングに関するお知らせ」で運営から説明のあった、
"弊社公式サイトの一部にXSSコード上の脆弱性が確認されました。"の説明。


Q.アカウントハッキング?

えーと。
まず皆さんに知っておいていただきたいんですが、
正しくはクラッキングです。
ハッキングちゅうのはスーパースキルを以てプログラミングする行為全般で、
いわばスターウォーズでいうところのフォースにあたります。

IT関係者の中にはまれにフォースの暗黒面(クラッキング)に堕ちて、
ダークジェダイ(クラッカー)になっちゃう人がいます。

ハッカーっていう言葉が悪い印象になってますが、
悪いのはクラッカーなので
そこの用語の使い分けヨロシクです!




Q.XSSを3行で説明せよ。

XSSについて一言でいうと、
サイト開いたら、サイト内にある悪いプログラムを実行されちゃう
ってなことです。



Q.で、XSSってどゆ意味?

まず、用語の説明ですが、
XSSとは、
Xクロス(Crossをかっこよく言ってXにしてる)
Siteサイト
Scriptingスクリプティング


日本語に意訳すると
サイトをまたがってプログラム実行w(の危険性がある)
ですですです。
プログラムの内容によって、データを盗む、勝手に入力させる、、、等できるんです。


Q.サイトをまたがる?意味ワカンネ

悪さをするプログラム自体は別のサイトに存在出来ちゃう。
ブラウザの仕様上、別サイトのプログラムを実行できちゃうってところがクロスなんです。
プログラム自体が超少なかったら、別に別サイトにプログラムを書かなくても可能っす。


Q.んで、どんなもんなの?

仕掛けられがちなところは、往々にして掲示板とか個人サイトです。
掲示板に皆投稿とかしたり見たりするっしょ?

たとえば、そこの投稿の中に、「ページを開くと同時にボタンをクリックする」っていうプログラムが、
普通の投稿として送信、そのまま表示されたら・・・


Q.掲示板開いた人は自動的にボタンを押すようになるってこと?

Yes。


ボタンを押すっていうのは物のたとえで、
実際には、"Cookie"って呼ばれるPC内のデータをどっかに送信したり、
送信されるデータの改ざんしたり、
プログラムの実装次第でけっこう色々出来ちゃうんですよ。




Q.掲示板とか変なサイト以外には?

例えば、、、
俺たちがフツーに使っているURL(サイトのアドレス)って、実は、ただのアドレス情報だけじゃぁ無いんですよw
ためしに「英雄」でGoogle検索したとするでしょ。
するとURLには
http://www.google.com/search?hl=ja&lr=&ie=UTF-8&oe=UTF-8&num=50&q=%E8%8B%B1%E9%9B%84
って出ます。
このURLのうち?より後の部分(赤い部分)は、
Google検索結果のページを表示させるためにシステムに送信しているデータなんです。



ここのデータ部分に、悪さをするプログラムを呼び出すように書き込んで実行させる。
そういう方法もありますね^^


普通に英雄にログインしてれば問題ないんですが、
変なリンクからログインしたりすると、変なことになるんですね^^;

対策としては、ブラウザのセキュリティ設定を上げるしかないっすね。




Q.んでも、それじゃぁ変なログインしてねー人はハッキングされなくね?

ですよねぇ。
俺もそう思うんですがねぇ。

だって、変なサイトに行ったことないって人や、
休眠中のアカウントもアカウントぶっこ抜かれてるてるからねぇ・・・

んで、運営からの公式発表では
サイトの脆弱性を解決したから大丈夫!って事みたいだけど、
サイトの脆弱性&全部のアカウントデータぶっこ抜きっていう結果だけみると
他の方法のような気がしますねぇ。



個人的にはSQLインジェクションが行われたんじゃねーかと思うんですよ・・・。
(次回に続く)






【あとがき】
さて、今回のクラッキング、公式からはXSSによるものであるという発表がされたんですが、
掲示板では「XSSじゃねーーーーーよ」との声多数。
皆さん本当にセキュリティに詳しいなぁとびっくりです@@;
前々から英雄内でチャットしてると
「この人IT関係者かな~???」って思うことが結構あったんですが、
やっぱりITの人多そうですね^^


今回、初めてセキュリティの失敗例を目の当たりにしたんですが、
色々セキュリティ意識を高めるきっかけになりました。

今回の記事はたくさんツッコミどころがあると思いますが、
もし気になるところがありましたら、コメント欄にてご意見いただけるとたすかります^^;


んでわ^^ノシ
スポンサーサイト

英雄ランキング
↑ランキング参加してみました~^^↑
ブロガーさんは是非参加してみては?
FC2 Blog Ranking
Page Top
この記事に対するコメント

XXSって・・・
太いおばちゃんが着てる服のサイズだと思ってた・・・
【2009/06/18 18:59】 URL | 虎帝王 #- [ 編集]


初コメです。いつも楽しく見させて頂いてます。この記事のつづきが早く読みたいなー
【2009/06/19 10:13】 URL | RYU #- [ 編集]


>虎帝王さん

それをいうならXLLでしょwwwwwww


>RYUさん

コメありがとうです~^^
続きは現在書き込み中っすw
あと10分ほどお待ちください^^;
【2009/06/19 20:28】 URL | 乾一 #- [ 編集]


(□。□-) フムフム

ここで、色々お勉強出来ちゃうそうw

クラッカーはしってましたよ~( ̄▽ ̄) ニヤ
すこしだけ、齧ってるから チョットツマンジャオ♪(* ̄ ̄)c 程度ですが;;

色々と謎はありますが・・・一日も早い復旧(ハッキングされた人)と運営の強固な対策をお祈りしている次第であります(-∧-)
【2009/06/20 04:01】 URL | 悪貴妃 #- [ 編集]

Page Top
この記事に対するコメントの投稿














管理者にだけ表示を許可する

Page Top
この記事に対するトラックバック
トラックバックURL
→http://kanchi588.blog25.fc2.com/tb.php/197-70c73ea7
この記事にトラックバックする(FC2ブログユーザー)
Page Top
Copyright (C) 2007 MGAME JAPAN Corp. All Rights Reserved.
カレンダー

10 | 2017/11 | 12
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -



リンク

このブログをリンクに追加する



RSSフィード



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。