Kancolle
- 2. 突然ですが • 艦隊これくしょん、流行ってます。 • ただ、どうも設計がテキトーです。 • 特にセキュリティ面でびっくりする ぐらいヤバいです。 2
- 3. どれぐらいヤバいの? • 例えば会社や学校の回線でプレイす ると、 • いつの間にか艦娘すべて解体される かもしれないぐらいヤバいです。 – ネットワーク管理者がやる気になればごく簡 単にできます。 • もちろん不正アクセス禁止法で捕まりますが。 3
- 5. もっと具体的には? • ちょっと長くなります。 • 要点だけここに書きますね。 – トークンが常に送信されっぱなし – シグネチャが付けられていない – HTTPSを使っていない • こんな感じです。 5
- 8. つまりどういうこと? • 艦これの通信は常に丸見え状態! • 他人がなりすますのに必要な情報を 毎回送信! • なりすます手間すら全く不要!! • こんな通信があっていいのか! 8
- 9. 他人は何ができるの? • プレイヤーが艦これで行っている全 てが他人から実行可能です • 例えば – 資源ALLで大型建造 – 艦娘を鍵外して解体 – その他通常の出撃や演習・遠征も 9
- 10. 何ができないの? • 通常できないことはできません • 例えば – 艦娘のデータを直接書き換える – 資源を無限増殖させる – HP減らないなどのチート – …などはできません。 10
- 11. (運営は)どうすればいいの? • 最善策 – とりあえず全部の通信をHTTPSにする • 現状、通信が全部ハガキに書かれているよ うなもので、誰からも見えてしまっていま す。HTTPSは封筒みたいなもので、入れて しまえば他人から読めなくなります。これ さえすればまず安全です。 11
- 12. ちょっとコストが… • せめて通信に乗せないトークンを 作って署名を生成しよう – シークレットトークン。直接通信に出てこな いので、これから生成した署名は他人が偽造 することはできません。 • 例えばフォームデータとトークンとナンス を連結してハッシュを取る、とかで十分。 – シークレットトークンの共有はどうする? • そこはHTTPS使ってもらわないと。 • 結局一箇所はHTTPS使わないとだめだよ。 12