【悲報】 も う A P I キ ー が 割 れ た こ と が 判 明 、 SC速すぎだろ [203081384] http://maguro.2ch.sc/test/read.cgi/poverty/1424365809/l502ch.net新API対応のJaneStyleのベータ版を出したら、数時間のうちに、秘密にしなければならないapiキーがバレてしまったという話。まあ2chネラーって無駄に技術もってるからね。というか通信自体はhttpsでやってるから、覗けないはず。デバッガでjanestyleがwindowsのapiを叩いてるところを覗いたのかね。まあ元がJaneだからどのapiを覗けばいいかもわかるだろうし。 * * *アプリはデバッガで解析できるので、通信回線の暗号化を解くよりは簡単。原理的には隠せないわけで、どれだけ解析を困難にするか?ですな。たとえばwinnyは簡単には解析されないように難読化が施されている。 続々・8bit CPUのプログラミングテクニックまあしょせんは手間の問題で最終的には解析されたけどね。あと古い話でいれば、スクエニのMMORPG FFXIの全画面モードとのイタチごっことかあった。 規制を強めると逆に犯罪に対するハードルが下がるという話FFXIはむかしは全画面モードでしか動かないようにしてあった。それだとパソコンが1台まるまる専有されてしまい不便なので、それを回避するツールを誰かが作った。そのうちスクエニがそのツールの対策をして、さらにツールが対策の対策をして…と追いかけっこをしばらくやってた。最終的にスクエニが諦めたけど。windows apiを外からフックされると、原理的にはどうしようもないんだよね。 * * *個人的には「httpsを使ってるから」と手を抜かずに、httpsの中でさらにCHAP認証方式を取るべきだと思うけどね。サーバーから送られてきたキーで暗号化してパスワードを送る。今回の場合ならサーバーから送られてきたキーで暗号化して、apiキーを送る。それなら毎回変わるから、もう少し深く解析しないと、こんなに簡単には解けなかったはず。まあ、最終的にはCHAP処理を行ってるところを見つければ、解けてしまうけどね。根本的に防ぎたいならアプリ毎ではなく、ユーザー毎にアクセスキーを発行するようにするしかない。会員制2ch。どうせならクレジットカードで本人確認するというのはどうか?wwwww。結局、意味ないと思うけどね。ブラウザなら誰でも見れるデータを、手間ひまかけてガードしたって…。関連記事:続々・2ch.netはどこへゆく「エヴァンゲリオン」「使徒侵入」長門 vs ネルフ