Kancolle

Social Media

givemegohan
of 14
Description
 
Text
  • 1. 艦隊これくしょんの通信が とてもじゃないけど見てられない ぎんしゃり† †冬アニメはのうりん推し
  • 2. 突然ですが • 艦隊これくしょん、流行ってます。 • ただ、どうも設計がテキトーです。 • 特にセキュリティ面でびっくりする ぐらいヤバいです。 2
  • 3. どれぐらいヤバいの? • 例えば会社や学校の回線でプレイす ると、 • いつの間にか艦娘すべて解体される かもしれないぐらいヤバいです。 – ネットワーク管理者がやる気になればごく簡 単にできます。 • もちろん不正アクセス禁止法で捕まりますが。 3
  • 4. なんでヤバいの? • データの整合性を確認してない。 • その上ユーザの確認が緩すぎる。 4
  • 5. もっと具体的には? • ちょっと長くなります。 • 要点だけここに書きますね。 – トークンが常に送信されっぱなし – シグネチャが付けられていない – HTTPSを使っていない • こんな感じです。 5
  • 6. 通信を見てみよう 近代化改修の通信 ココが問題 6
  • 7. もいっこ ALL30建造 ずっとHTTP通信 さっきと同じ! 7
  • 8. つまりどういうこと? • 艦これの通信は常に丸見え状態! • 他人がなりすますのに必要な情報を 毎回送信! • なりすます手間すら全く不要!! • こんな通信があっていいのか! 8
  • 9. 他人は何ができるの? • プレイヤーが艦これで行っている全 てが他人から実行可能です • 例えば – 資源ALLで大型建造 – 艦娘を鍵外して解体 – その他通常の出撃や演習・遠征も 9
  • 10. 何ができないの? • 通常できないことはできません • 例えば – 艦娘のデータを直接書き換える – 資源を無限増殖させる – HP減らないなどのチート – …などはできません。 10
  • 11. (運営は)どうすればいいの? • 最善策 – とりあえず全部の通信をHTTPSにする • 現状、通信が全部ハガキに書かれているよ うなもので、誰からも見えてしまっていま す。HTTPSは封筒みたいなもので、入れて しまえば他人から読めなくなります。これ さえすればまず安全です。 11
  • 12. ちょっとコストが… • せめて通信に乗せないトークンを 作って署名を生成しよう – シークレットトークン。直接通信に出てこな いので、これから生成した署名は他人が偽造 することはできません。 • 例えばフォームデータとトークンとナンス を連結してハッシュを取る、とかで十分。 – シークレットトークンの共有はどうする? • そこはHTTPS使ってもらわないと。 • 結局一箇所はHTTPS使わないとだめだよ。 12
  • 13. 何をムキになってんの • 悪意のある人間が現れた場合、我々 プレイヤーのデータが壊されます。 • 明日になれば自分の艦娘が丸ごとい ないかもしれない、そんな環境の ゲームを放置できるはずがないで しょう。 13
  • 14. セキュリティっぽく言ってくれ • リプレイ攻撃や中間者攻撃という言 葉を知らないんじゃないかと思うよ うな実装です • お願いだからこんな通信しないで下 さい 14
Comments
Top