recommuni

Posted by yoosee on Web at 2004-10-31 23:42 JST

*1  recommuni

招待して頂いた。システムの出来自体がまだまだだなと言うのがパッと見の感想。既存の SNS からあまり学んでないように見えるのと、XSS 脆弱性が露見したりその対応がまずかったりと、理念は面白くても技術が駄目だとうまく行かない典型例に成らないことを祈りたいが。

*2  recommuni の XSS と情報漏洩についてのツッコミ

クレジットカード情報及びパスワードについては、暗号化されており本人にも見えなくなっているため情報の漏洩はない仕組みになっております。

と言う recommuni の告知に対して、カード情報はそもそも復号可能じゃないと駄目だろ。なにいってんの? と言う gtk 氏のツッコミ。これに対して recommuni 内の日記で反応があり
カード情報は、秘密鍵を使ったブロック暗号化方式でエンコードされた上でDBに収納され、オーソライズ及びチャージの度にデコードされ、処理されます。....

だそうだ。当然、復号には秘密鍵を利用する訳なのだが、そもそも秘密鍵が漏洩してない保証はどこかにあるのだろうか。ともあれクレジットカード情報はしばらく登録したくない気分だが、登録しないといまいち出来ることが少ないな。

ちなみにパスワードも一方向暗号化だろうが、漏れた時点で総当たり食らって解読される危険性はなんぼでもあるので、少なくとも「情報漏洩するような脆弱性がまだあるかもしれないと疑われるようなサイト」では、他で使ってるような文字列は使わない方が良さげ。

秘密鍵を使っているということで、バレる手がかりになる要素技術をなるべく出さない方がいいんじゃないかなぁなんて思っているので、秘密と言うことにさせてください。ただ、結構凝ってます。

結構凝ってます とか言われても、あんな XSS を放置していたサイトに信頼を置ける人がどれだけいるのかと...

*3  recommuni 自体への感想

人が増えないと楽曲が増えないし偏るのでビジネスにならないけど、増えちゃうと(権利関係の処理やAbuseの増加で)破綻しそうだね、と言う微妙なシステムな気がする。システムやデザインもまだまだだし、試聴がないのも微妙。理念は嫌いじゃないのだけど、まぁしばらくは様子見で。

一応、知ってる人限定で、invite が欲しい方はコメント、メール、IRCあたりで声かけてください。上記の脆弱性等があった事だけお忘れなく。

( Permalink | Comments (0) | tags: music  )
Comments

Please write your comment. email address won't appear. Cannot use any HTML tags in comment.
コメントをお書き下さい。メールアドレスは公開されません。 またHTMLタグは利用できません。
Name   E-mail   URL
Comment

About W.W.Walker

World Wide Walker は yoosee による blog です。PDA, Web・サーバ技術, 美味しい食べ物などの話題を取り上げています... read more

このエントリーのブックマーク

Monthly Archives

Select Month to read