2ちゃんねるブラウザの解析合戦の雑感
Twitter で Windows 2000絡みの発言を探してたら、
かちゅーしゃっていう2chブラウザが Windows 2000で動かなくなったとかいう人がいたので、
調べてみた所、いつの間にか、認証にOAuth もどきが必須になったとか
2ちゃんねるがdatを近日廃止、さらにウェブスクレイピングを用いた専用ブラウザ開発・公開は禁止して2015年3月3日以降はAPI経由の許諾制に - GIGAZINE
で、有料ブラウザのAPIキーの解析の話題が出ていたので見てみた
| janestyleの正式バージョンの2ch新apiのキーが再び即日解析された。解
| もう寝るわ。山下頑張ったな。すげー苦労したよ ベータ版より解析の難易度が上がっているらしい。oSpyというのはリバースエンジニ |
とのことらしいのだけど…。
…それじゃあ、数時間で破られた初期のもふったーと同じ実装じゃないか(絶句)
超軽量Twitterクライアント「もふったー」コンシューマシークレットキー難読化最後の挑戦 - GIGAZINE
もふったーコンシューマシークレットキー難読化最後の挑戦 ・ω・
|。・ω・) 。o ( こ、これが、Windows バージョンだけでエラーメッセージも出さず、Windows 2000を弾く Janetter を作った株式会社ジェーンの実力だというのか (皮肉 ) )
ダイジェスト関数を自前で実装しようが、関数が独特なので、解析したらすぐ分かるんだよな…
だから、ダイジェスト関数からキーをメモリ上に生成した時点でアウト。すぐ破棄するというのは実質意味が無い。
だから、どうすればいいか…後は分かるよね・ω・;
って思った。
Plain Text code - 90 lines - codepad
そもそも、2ch 側のAPI実装に問題があるようだ。
Twitter
1.Twitter API キーとURLを送信して、認証用のセッションIDを受け取る。
2.IDとパスワードとセッションIDと秘密鍵を使って認証をする。
3.1に戻って繰り返す。
2ch
1.API キーと共通鍵を使って認証用のセッションIDを受け取る
2.API キーと共通鍵とセッション文字列(使いまわし)とURLを使ってデータを取得。
3.以後、2を繰り返す。
・共通鍵が固定なので計算してる箇所さえわかればAPPKeyも芋づる式に解析しやすい
・APIキーの秘匿がアプリ実装任せ。
・APIキーの管理を厳密にするような記載もない?
なんか、Twitter のAPIを劣化させたような感じなんですが、
セキュリティ云々より、金の亡者が、ロイヤリティ目的であんまり考えずに実装したんじゃね?って感想
当然集まった技術者も…。
第2回 mixi SDKでAndroidアプリを作ろう:mixiエンジニアがおくるソーシャルアプリ開発実践講座|gihyo.jp … 技術評論社
| mixi API SDK for Androidとは
mixi API SDK for Android(以下,mixi SDK(Android)と表記)とは,Androidでmixi APIを利用するためのSDKです。APIを手軽に利用できるように工夫されていますので,Androidアプリの開発経験者であれば,すぐに使えるでしょう。次のような特徴があります。 シングルサインオンができる |
新リクエストAPI << mixi Developer Center (ミクシィ デベロッパーセンター)
| 注意事項
クライアント認証の場合、Consumer Secret が漏れると、ユーザの認可なく第三者からリクエストを送られる可能性がありますので、この API を使う際に Consumer Secret はサーバーサイドに置き、より厳重な Secret の管理を必ずお願いします。 |
せめて、mixi API みたいにならんかったのかって思ったんだけど…
2ちゃんねる乗っ取り事件 ‐ 通信用語の基礎知識
ぐぐってみたら、いつの間にか韓国人に乗っ取られて http://www.2ch.sc/2ch.html が本家だよって話もあるとか
なんだかなぁ…。
Translate
2chを乗っとったのは2chのサーバー屋のJim Watkinsだよ
あとAPIは共通鍵固定じゃなくて、アプリごとに違うAppKeyとHMKeyが割当されるよ
ついでにゆうとFOXはほぼ追い出されてる。
個人的には運営者が誰であろうと
気にしてないのですが、
chaikaが使えなくなったのが気に入らない
それよりもXP使い続ける人が多くて
インテルの業績が悪いっていうニュース
があるみたいですが
XPが目の敵にされてドライバーの提供がなくなるのが心配です
gigazine.net/news/20150320-intel-revenue-windows-xp/
sc…
黒翼猫さんがこの件を記事にしてくれたので投稿してみる。
長年ギコナビ使ってましたが今回の騒動でnetから閉め出されましたので、
殆どROMだったこともあってscに移住して読んでますけど、
実況とPINKはクロールしてないんですわ。
で、山下Styleなんて論外なので、Live2chを入れてみましたが、
2000ではapi認証で撥ねられる…
なんとかなりませんかね。
※5
Live2chはWIN2000から読み書きできる(純正無改造なのに何故か広告はいつも空欄)
認証をアレするソフトを通せば古いかちゅーしゃから現時点でも読み書きできるよ。
調べたら旧2chブラウザ向けにプロクシソフト作った人がいるみたいね・ω・
2chしくみ変わってしまうのか・・・・・・・
そういえば、janetterはAPIキー周りを簡単に抜き出せるとかいうの見たなぁ・・・・・・ おかげでjanetterがいいという人は認証上限になったとしても自前でキー用意して使うこともできなくないのだけれども。
Androidの場合はroot化している場合利用できるxposedのモジュールにキーを別のものに変えるものがありそれで別クライアントとともに利用できるように。
利用者(ユーザー)からすれば、板(URL)を2ch.netから2ch.sc、またはopen2ch.netへ移行すればいいだけで済む話のような。
2ch.netにこだわる意味はもう無いですから、守銭奴に付き合う事もないでしょう。