Kancolle

Social Media

givemegohan
  • 1. 艦隊これくしょんの通信が とてもじゃないけど見てられない ぎんしゃり† †冬アニメはのうりん推し
  • 2. 突然ですが • 艦隊これくしょん、流行ってます。 • ただ、どうも設計がテキトーです。 • 特にセキュリティ面でびっくりする ぐらいヤバいです。 2
  • 3. どれぐらいヤバいの? • 例えば会社や学校の回線でプレイす ると、 • いつの間にか艦娘すべて解体される かもしれないぐらいヤバいです。 – ネットワーク管理者がやる気になればごく簡 単にできます。 • もちろん不正アクセス禁止法で捕まりますが。 3
  • 4. なんでヤバいの? • データの整合性を確認してない。 • その上ユーザの確認が緩すぎる。 4
  • 5. もっと具体的には? • ちょっと長くなります。 • 要点だけここに書きますね。 – トークンが常に送信されっぱなし – シグネチャが付けられていない – HTTPSを使っていない • こんな感じです。 5
  • 6. 通信を見てみよう 近代化改修の通信 ココが問題 6
  • 7. もいっこ ALL30建造 ずっとHTTP通信 さっきと同じ! 7
  • 8. つまりどういうこと? • 艦これの通信は常に丸見え状態! • 他人がなりすますのに必要な情報を 毎回送信! • なりすます手間すら全く不要!! • こんな通信があっていいのか! 8
  • 9. 他人は何ができるの? • プレイヤーが艦これで行っている全 てが他人から実行可能です • 例えば – 資源ALLで大型建造 – 艦娘を鍵外して解体 – その他通常の出撃や演習・遠征も 9
  • 10. 何ができないの? • 通常できないことはできません • 例えば – 艦娘のデータを直接書き換える – 資源を無限増殖させる – HP減らないなどのチート – …などはできません。 10
  • 11. (運営は)どうすればいいの? • 最善策 – とりあえず全部の通信をHTTPSにする • 現状、通信が全部ハガキに書かれているよ うなもので、誰からも見えてしまっていま す。HTTPSは封筒みたいなもので、入れて しまえば他人から読めなくなります。これ さえすればまず安全です。 11
  • 12. ちょっとコストが… • せめて通信に乗せないトークンを 作って署名を生成しよう – シークレットトークン。直接通信に出てこな いので、これから生成した署名は他人が偽造 することはできません。 • 例えばフォームデータとトークンとナンス を連結してハッシュを取る、とかで十分。 – シークレットトークンの共有はどうする? • そこはHTTPS使ってもらわないと。 • 結局一箇所はHTTPS使わないとだめだよ。 12
  • 13. 何をムキになってんの • 悪意のある人間が現れた場合、我々 プレイヤーのデータが壊されます。 • 明日になれば自分の艦娘が丸ごとい ないかもしれない、そんな環境の ゲームを放置できるはずがないで しょう。 13
  • 14. セキュリティっぽく言ってくれ • リプレイ攻撃や中間者攻撃という言 葉を知らないんじゃないかと思うよ うな実装です • お願いだからこんな通信しないで下 さい 14
Please download to view
14
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Description
 
Text
  • 1. 艦隊これくしょんの通信が とてもじゃないけど見てられない ぎんしゃり† †冬アニメはのうりん推し
  • 2. 突然ですが • 艦隊これくしょん、流行ってます。 • ただ、どうも設計がテキトーです。 • 特にセキュリティ面でびっくりする ぐらいヤバいです。 2
  • 3. どれぐらいヤバいの? • 例えば会社や学校の回線でプレイす ると、 • いつの間にか艦娘すべて解体される かもしれないぐらいヤバいです。 – ネットワーク管理者がやる気になればごく簡 単にできます。 • もちろん不正アクセス禁止法で捕まりますが。 3
  • 4. なんでヤバいの? • データの整合性を確認してない。 • その上ユーザの確認が緩すぎる。 4
  • 5. もっと具体的には? • ちょっと長くなります。 • 要点だけここに書きますね。 – トークンが常に送信されっぱなし – シグネチャが付けられていない – HTTPSを使っていない • こんな感じです。 5
  • 6. 通信を見てみよう 近代化改修の通信 ココが問題 6
  • 7. もいっこ ALL30建造 ずっとHTTP通信 さっきと同じ! 7
  • 8. つまりどういうこと? • 艦これの通信は常に丸見え状態! • 他人がなりすますのに必要な情報を 毎回送信! • なりすます手間すら全く不要!! • こんな通信があっていいのか! 8
  • 9. 他人は何ができるの? • プレイヤーが艦これで行っている全 てが他人から実行可能です • 例えば – 資源ALLで大型建造 – 艦娘を鍵外して解体 – その他通常の出撃や演習・遠征も 9
  • 10. 何ができないの? • 通常できないことはできません • 例えば – 艦娘のデータを直接書き換える – 資源を無限増殖させる – HP減らないなどのチート – …などはできません。 10
  • 11. (運営は)どうすればいいの? • 最善策 – とりあえず全部の通信をHTTPSにする • 現状、通信が全部ハガキに書かれているよ うなもので、誰からも見えてしまっていま す。HTTPSは封筒みたいなもので、入れて しまえば他人から読めなくなります。これ さえすればまず安全です。 11
  • 12. ちょっとコストが… • せめて通信に乗せないトークンを 作って署名を生成しよう – シークレットトークン。直接通信に出てこな いので、これから生成した署名は他人が偽造 することはできません。 • 例えばフォームデータとトークンとナンス を連結してハッシュを取る、とかで十分。 – シークレットトークンの共有はどうする? • そこはHTTPS使ってもらわないと。 • 結局一箇所はHTTPS使わないとだめだよ。 12
  • 13. 何をムキになってんの • 悪意のある人間が現れた場合、我々 プレイヤーのデータが壊されます。 • 明日になれば自分の艦娘が丸ごとい ないかもしれない、そんな環境の ゲームを放置できるはずがないで しょう。 13
  • 14. セキュリティっぽく言ってくれ • リプレイ攻撃や中間者攻撃という言 葉を知らないんじゃないかと思うよ うな実装です • お願いだからこんな通信しないで下 さい 14
Comments
Top