UNIQLO LUCKY LINEがtwitterのユーザー名とパスワードをだだ漏れしてるかもしれない件について
-
yousukezan
- 22928
- 1
- 128
- 0
-
- いいね!0
はまちや2
@Hamachiya2
ユニクロのやつ "http://uniqlo-happy-line.s2factory.co.jp/" でぐぐると行列の一覧が見れますよ。あとpostするときパスワード平文で流してるから気になるひとはやめといたほうがいいかも?
2010-05-26 12:07:27
水無月ばけら
@bakera
[メモ] まあFlashだとこういうのを読んでいることは想像に難くないですよね。 http://uniqlo-happy-line.s2factory.co.jp/system/data/heads400_tails400.txt
2010-05-26 13:48:29
水無月ばけら
@bakera
ユニクロのアレは POST 先を見れば http://www.s2factory.co.jp/ が関わっていることはほぼ自明だと思うのですけどね。
2010-05-26 13:59:16
水無月ばけら
@bakera
@keita マジレスすると、ブラウザアクセスであっても故意にF5連打したりするケースはありえる (実際あった) ので、ブラウザだからというのはあんまり関係ない気がしておりますよ。
2010-05-26 14:12:33
Keita Kitamura
@keita
OAuthを使わなかった理由は十分に分かる。急にtwitterの変なページが表示させられるだけで敷居は少し高くなりリーチが減るのは目に見えてる。普通のユーザのリテラシー的になんだこれってなるでしょ。あのページはどうにかした方が良いね。広義の意味での”デザイン”がされてない。
2010-05-26 14:22:55
Keita Kitamura
@keita
件のキャンペーンサイトは、本当にパスワードを取得してAPIを利用する必要があったのか?そこが疑問。無理矢理twitさせる為にログインする必要があった、っていうのだったら論外。
2010-05-26 14:31:59
Keita Kitamura
@keita
OAuthが嫌な理由のもう一つは、キャンペーンサイトは”手軽さ”ってのが重要だと思ってる。説明無しで、サクッと見れて、パッと体験できる、というような。ユーザが閲覧してる最中にちょっとでも他の事を考えさせては駄目なんじゃ無かろうか。間に訳の分からんページが入ってるだけで残念。
2010-05-26 14:40:20
Keita Kitamura
@keita
そう当選通知かな、とも思ったんだけどパスワード取らなくても十分他の手段があるよね。もし本人確認したいなら、その時に初めてOAuthを使ってログインを求めたら良いんじゃないかって思った RT @KojiroFutamura: @keita プレゼント当選通知にDM使いたかったとか。
2010-05-26 14:43:57
Hiromitsu Takagi
@HiromitsuTakagi
よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line
2010-05-26 14:52:34
connect24h
@connect24h
高木先生、楽しそうですね。RT @HiromitsuTakagi: よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line
2010-05-26 14:56:26
ozero dien
@ozero
高木先生、とうとう「後で吊るす」から「今吊るす」に進化。 RT @HiromitsuTakagi:14744974063 よーしパパ、UNIQLOオンラインストアのパスワード入力求めるサイト作っちゃうぞー #uniqlo_line
2010-05-26 14:58:32
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000)
@BlackWingCat
【警告】ユニクロの件について解析して、緊急記事書いたよ 『【臨時ブログ記事】危険?!UNIQLO のTwitter 連動イベント』 #uniqlo_line http://blog.livedoor.jp/blackwingcat/archives/1161581.html
2010-05-26 15:02:18
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000)
@BlackWingCat
他のサービスはBASIC認証だったけど、ユニクロは自サーバーに生でIDとパスワード送ってから一旦処理してるから違うかも・・・ QT @cheebow: 今までだって、ユーザ名とパスワード入力するサービス(TwitPicとか)使ってきてるんだし、いまさら大騒ぎするのも #Tw
2010-05-26 15:06:25
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000)
@BlackWingCat
うちのブログに書いたけど、流出じゃなくて、非常にまずいFormの実装 QT @aya414: 困ったねぇ(;´Д`)RT @eno63: RT @aya414: データ流出らしいねー。RT @yoichiro51: なに?ユニクロ、やらかしたの??
2010-05-26 15:15:19
黒翼猫|ω・)。o(100日後にInstallされるWindows 2000)
@BlackWingCat
そう、ブログに通信ログの内容を載せたから確認してみてね。平文でTwitter.comに送るんじゃなくて、uniqloに一旦送ってるのが問題。 QT @meganet00: これパスワードって完全に平文で送られちゃってるんですか?
2010-05-26 15:21:47
水無月ばけら
@bakera
「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。
2010-05-26 15:10:15
Sato Atsushi
@atsushis
ひとことで言えば「親切機能」ですね。@bakera 「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。
2010-05-26 15:15:24
IWAI, Masaharu
@iwaim
一気に取るUIがあれなのかも。 QT @bakera: 「IDのリストが漏れた」と言われていますが、それはもともと公開されている情報のような気もしますね。一気にリストを取るUIが無いというだけで。
2010-05-26 15:16:01
水無月ばけら
@bakera
@fshin2000 ダミーのIDとPASSを入れてFirebugあたりで通信をトレースすれば分かりますが、HTTPでIDとパスワードをそのまんまサーバに送信しています。
2010-05-26 15:21:55
水無月ばけら
@bakera
@fshin2000 password=testpass&(中略)&username=bakera みたいなのが http://uniqlo-happy-line.s2factory.co.jp/system/stand_in_line.php にPOSTされますね。
2010-05-26 15:23:12