1
recommuni
招待して頂いた。システムの出来自体がまだまだだなと言うのがパッと見の感想。既存の SNS からあまり学んでないように見えるのと、XSS 脆弱性が露見したりその対応がまずかったりと、理念は面白くても技術が駄目だとうまく行かない典型例に成らないことを祈りたいが。2
recommuni の XSS と情報漏洩についてのツッコミ
と言う recommuni の告知に対して、カード情報はそもそも復号可能じゃないと駄目だろ。なにいってんの? と言う gtk 氏のツッコミ。これに対して recommuni 内の日記で反応がありクレジットカード情報及びパスワードについては、暗号化されており本人にも見えなくなっているため情報の漏洩はない仕組みになっております。
カード情報は、秘密鍵を使ったブロック暗号化方式でエンコードされた上でDBに収納され、オーソライズ及びチャージの度にデコードされ、処理されます。....だそうだ。当然、復号には秘密鍵を利用する訳なのだが、そもそも秘密鍵が漏洩してない保証はどこかにあるのだろうか。ともあれクレジットカード情報はしばらく登録したくない気分だが、登録しないといまいち出来ることが少ないな。
ちなみにパスワードも一方向暗号化だろうが、漏れた時点で総当たり食らって解読される危険性はなんぼでもあるので、少なくとも「情報漏洩するような脆弱性がまだあるかもしれないと疑われるようなサイト」では、他で使ってるような文字列は使わない方が良さげ。
秘密鍵を使っているということで、バレる手がかりになる要素技術をなるべく出さない方がいいんじゃないかなぁなんて思っているので、秘密と言うことにさせてください。ただ、結構凝ってます。
結構凝ってますとか言われても、あんな XSS を放置していたサイトに信頼を置ける人がどれだけいるのかと...
3
recommuni 自体への感想
人が増えないと楽曲が増えないし偏るのでビジネスにならないけど、増えちゃうと(権利関係の処理やAbuseの増加で)破綻しそうだね、と言う微妙なシステムな気がする。システムやデザインもまだまだだし、試聴がないのも微妙。理念は嫌いじゃないのだけど、まぁしばらくは様子見で。一応、知ってる人限定で、invite が欲しい方はコメント、メール、IRCあたりで声かけてください。上記の脆弱性等があった事だけお忘れなく。