【非SSL認証】他のゲームもいくつか調べてみたのでまとめ(8/26更新)【BM】
| ゲーム名 | メーカー | SSL | 安全さ | SSL強度 | 対応予定 | |
| アンジュ・ヴィエルジュ |
SEGA/f4 Samurai |
なし |
F |
- | ||
| ボーダーブレイク mobile -疾風のガンフロント- | SEGA/f4 Samurai | なし | F |
- |
||
| オルタンシア・サーガ -蒼の騎士団- | SEGA/f4 Samurai | なし |
F |
- |
||
| 戦艦少女R |
上海幻萌网络科技有限公司 |
なし |
E |
- | あり | |
| 戦艦帝国 |
COOL FACTORY |
なし |
E |
*.coolfactory.jp | ||
| DMM のゲームほとんど |
艦隊これくしょん-艦これ- | 角川ゲームス |
なし |
D |
- | |
| FLOWER KNIGHT GIRL | YourGames |
なし |
D |
- | ||
| 千年戦争アイギス | DMM GAMES |
なし | D |
- | ||
| 文豪とアルケミスト | DMM GAMES | なし |
D |
|||
| 刀剣乱舞 | DMMゲームズ/ニトロプラス |
なし | D |
- | ||
| ガールフレンド(仮) | サイバーエージェント・Ameba |
ユーザーはSNS認証 |
C |
RC4/MD5 セッションハイジャック可能 |
||
| Ameba ふぁーみー | サイバーエージェント・Ameba |
ユーザーはSNS認証 | C |
RC4/MD5 セッションハイジャック可能 |
||
| 白猫プロジェクト | コロプラ | 一部 | B |
OK | ||
| バトルガールハイスクール | コロプラ |
一部 |
B |
OK | ||
| アイドルマスター シンデレラガールズ スターライトステージ | バンダイナムコ |
一部 |
A |
OK | ||
| ミス・モノクロームGo!Go!スーパーアイドル | PREAPP PARTNERS, K.K. | あり (データは非SSL) |
A- | *.contents.work SSL3(POODLE) RC4_128_MD5 RC4_128_SHA 3DES_EDE_CBC_SHA |
||
| SUPER MARIO RUN | 任天堂 | あり | A- | *.baas.nintend.com *.supermariorun.com amazonaws.com OpenSSL Padding Oracle vuln. (CVE-2016-2107) |
||
| グリモア~私立グリモワール魔法学園 | Applibot | あり | A | grimoire-*.elb.amazonaws.com grimoire.*.sh RC4_128_SHA |
||
| 駅メモ | mobilefactory | あり | A | RC4/MD5/CBC/3DES ekimemo.com |
||
| シンフォギアXDアンリミテッド |
ポケラボ | あり | A | RC4/MD5 adjust.com |
||
| マギアレコード 魔法少女まどか☆マギカ外伝 | アニプレックス/f4 samurai | あり | S | OK *android.magi-reco.com cloudfront.net |
||
| どこでもドラクエモンスターズ | スクエニ | あり | S | |||
| シャドウヴァース | Cygames | あり | S | |||
| ゆるドラシル | クローバーラボ | あり | S | |||
| SINoALICE | スクエニ/ポケラボ | あり | S | |||
| ぷよクエ | SEGA/株式会社オーツー | あり | S | |||
| ブレイブリーアーカイブ | スクエニ | あり | S | |||
| ガールズ&パンツァー戦車道大作戦 | showgate | あり | S | |||
| アイドルマスターミリオンライブ! シアターデイズ | バンダイナムコ | あり | S | OK api.uca.cloud.unity3d.com cloudfront.net theaterdays.appspot.com 1e100.net |
||
| パズドラ | ガンホー | あり | S | OK *.padsv.gungho.jp amazonaws.com 3DES_EDE_CBC_SHA / DH1024 |
||
| 鋼鉄のワルツ | What's up Game Labo | 独自暗号 | S | 46704 Port *.metalwaltz.com amazonaws.com |
||
| 8月のシンデレラナイン | Akatsuki×KADOKAWA | あり | S | |||
| ポケモンGo | ナイアンティック/株式会社ポケモン | あり | S | OK googleapis.com *.nianticlabs.com |
||
| FateGrandOrder | アニプレックス/TYPE-MOON | あり | S | OK *.fate-go.jp cloudfront.net |
||
| 遊戯王 デュエルリンクス | KONAMI | あり | S | OK *.mo.konami.net iijgio.jp |
||
F…パスワードすらなし E…コピペで乗っ取り D…セッション乗っ取り
C…セッション有、乗っ取りは難しい B…自前の簡単な暗号化
A…自前の複雑な暗号化 S…安全
注:安全な暗号使ってるかはチェックしてません(後でPOODLEとかSSL3も調査します)
アンジュ・ヴィエルジュ
・端末を一瞬借りるだけでショルダーハッキングも可能!
・暗号化なし
・固有ID垂れ流し(パスワードすら使っていません!)
・完全乗っ取りやデータの破壊が可能
・ほんとに超大手?
・「ボーダーブレイク mobile -疾風のガンフロント-」とシステムが完全に同じ
・暗号化なし(最初の認証だけ暗号化っぽいけどセッションのっとれそう)
・ハッシュを一応かけてるけど、ソルトなしなので1日かければ復号できそう。
パスワードの再発行は暗号化なし
・他は解析が簡単。ゲームデータ改ざんされてアカウント販売されてるの当り前
・ほんとに大手?
・たぶん「黒猫のウィズ」、「白猫テニス」も同じ?
・「ハイスクールバトルガールズ」は全く同じ
調査希望があればコメント書いてもらえれば調べてみます
Translate
ぷよぷよクエスト(ぷよクエ)は確か、何年か前の記事で問題提起されてませんでした?
その当時からなにも変わってない?
ぷよぷよクエスト(ぷよクエ)は確か、何年か前の記事で問題提起されてませんでした?
その当時からなにも変わってない?
よく見てください。ぷよクエは安全だったって結果書いてますが
よく見てください。ぷよクエは安全だったって結果書いてますが
パズドラ
星のドラゴンクエスト
BRAVELY DEFAULT FAIRY’S EFFECT(BDFE)
ブレイブリーアーカイブ D’s report(ブレアカ)
シャドウバース (Shadowverse)
辺りも気になります
パズドラ
星のドラゴンクエスト
BRAVELY DEFAULT FAIRY’S EFFECT(BDFE)
ブレイブリーアーカイブ D’s report(ブレアカ)
シャドウバース (Shadowverse)
辺りも気になります
あ、Scrollせずに判断してましたわ。失礼しました。
あ、Scrollせずに判断してましたわ。失礼しました。
駅メモ(アプリ版 モバイルファクトリー)
8月のシンデレラナイン(Akatsuki)
こちらのゲーム、お願いできますか?
駅メモ(アプリ版 モバイルファクトリー)
8月のシンデレラナイン(Akatsuki)
こちらのゲーム、お願いできますか?
シンフォギアXDアンリミテッド
ガールズ&パンツァー戦車道大作戦
あたりも気になります
よろしくおねがいします
シンフォギアXDアンリミテッド
ガールズ&パンツァー戦車道大作戦
あたりも気になります
よろしくおねがいします
フラワーナイトガールの調査お願いします
フラワーナイトガールの調査お願いします
“ファーミー”(アメーバ サイバーエージェント)と、“ガールフレンド(仮)”(サイバーエージェントの子飼い社のCygames)も
気になります。
もし良かったらお願いしますm(_ _)m
“ファーミー”(アメーバ サイバーエージェント)と、“ガールフレンド(仮)”(サイバーエージェントの子飼い社のCygames)も
気になります。
もし良かったらお願いしますm(_ _)m
フラワーナイトガールはDMMなので艦これと同じ非SSLです
フラワーナイトガールはDMMなので艦これと同じ非SSLです
返信ありがとうございます。
つまり dmmgamesで配信しているゲームは大元のdmmが対策を取らない限りセキュリティの問題は根本的には解決しない という認識でよいでしょうか。
また、刀剣乱舞と他dmmゲーで多少評価に差がありますがゲーム開発側でも多少は対策を取る事が可能、という事なのでしょうか。
返信ありがとうございます。
つまり dmmgamesで配信しているゲームは大元のdmmが対策を取らない限りセキュリティの問題は根本的には解決しない という認識でよいでしょうか。
また、刀剣乱舞と他dmmゲーで多少評価に差がありますがゲーム開発側でも多少は対策を取る事が可能、という事なのでしょうか。
dmmが対策を取らない限りセキュリティの問題は根本的には解決しませんが、
独自にIPアドレス認証などを使い、ゲームのベンダー側で対応することは可能だと思います
ただ、どこもそんなの気にせずAPIに任せていたため、対応していない状況だと思われます
dmmが対策を取らない限りセキュリティの問題は根本的には解決しませんが、
独自にIPアドレス認証などを使い、ゲームのベンダー側で対応することは可能だと思います
ただ、どこもそんなの気にせずAPIに任せていたため、対応していない状況だと思われます
バンダイナムコ(バンダイナムコスタジオ製)の、アイドルマスターミリオンライブ シアターデイズ
(https://play.google.com/store/apps/details?id=com.bandainamcoent.imas_millionlive_theaterdays)
も調査していただけませんか。
スターライトステージと開発元が異なるため気になります。
バンダイナムコ(バンダイナムコスタジオ製)の、アイドルマスターミリオンライブ シアターデイズ
(https://play.google.com/store/apps/details?id=com.bandainamcoent.imas_millionlive_theaterdays)
も調査していただけませんか。
スターライトステージと開発元が異なるため気になります。
鋼鉄のワルツをお願いしたいです
(可能ならばスマホ版だけでなく、steam版も
鋼鉄のワルツをお願いしたいです
(可能ならばスマホ版だけでなく、steam版も
恐縮ですが、MinecraftやIngress(ポケモンGO)はどうでしょうか?
対象外でしたら大変申し訳ございません。
恐縮ですが、MinecraftやIngress(ポケモンGO)はどうでしょうか?
対象外でしたら大変申し訳ございません。
追加になってしまって大変失礼なのですが
ヤマダゲーム
ttp://gpf.mymd.jp/pc/index.php
は調査可能でしょうか?
問題ありましたら重ね重ね大変申し訳ございません。
追加になってしまって大変失礼なのですが
ヤマダゲーム
ttp://gpf.mymd.jp/pc/index.php
は調査可能でしょうか?
問題ありましたら重ね重ね大変申し訳ございません。
コミケの申し込み期限が今日なので作業のため
確認が遅れますがご了承ください
コミケの申し込み期限が今日なので作業のため
確認が遅れますがご了承ください
DMM以外のグラブル(chrome、yahoo、スマホ、DeNA)
チェインクロニクル
スーパーロボット大戦X-Ω
さんぽけ 三国志大戦ぽけっと
コードオブジョーカーポケット
お時間があればお願いします
DMM以外のグラブル(chrome、yahoo、スマホ、DeNA)
チェインクロニクル
スーパーロボット大戦X-Ω
さんぽけ 三国志大戦ぽけっと
コードオブジョーカーポケット
お時間があればお願いします
「ミス・モノクロームGo!Go!スーパーアイドル」お願いします。
もうすぐサービス終了のようですが、品質が微妙な気がするので。
ついでに「Super Mario Run」もお願いします。
有名なので。
「ミス・モノクロームGo!Go!スーパーアイドル」お願いします。
もうすぐサービス終了のようですが、品質が微妙な気がするので。
ついでに「Super Mario Run」もお願いします。
有名なので。
戦艦帝国
グリモア
遊戯王デュエルリンクス
もお願いしたいです
戦艦帝国
グリモア
遊戯王デュエルリンクス
もお願いしたいです
ポケモンGOありがとうございます。
余談である上ゲームではありませんが、co*ic*のログインサーバーをSSL Labsで見たところFランクでした。
ポケモンGOありがとうございます。
余談である上ゲームではありませんが、co*ic*のログインサーバーをSSL Labsで見たところFランクでした。
タイトルが多くて心苦しいのですが
お時間が取れる場合でいいので以下のタイトルを検討していただけませんしょうか?
「初音ミクぐらふぃコレクション なぞの音楽すい星」
「Deemo」などのRayark社のゲーム
「Plague Inc. -伝染病株式会社-」
「リネージュ2 レボリューション」
「バンドリ!ガールズバンドパーティ!」
「乃木恋~坂道の下であの日僕は恋をした~」
「崩壊3rd」
「ラブライブ!スクールアイドルフェスティバル」
大変申し訳ございません。よろしくお願い致します。
タイトルが多くて心苦しいのですが
お時間が取れる場合でいいので以下のタイトルを検討していただけませんしょうか?
「初音ミクぐらふぃコレクション なぞの音楽すい星」
「Deemo」などのRayark社のゲーム
「Plague Inc. -伝染病株式会社-」
「リネージュ2 レボリューション」
「バンドリ!ガールズバンドパーティ!」
「乃木恋~坂道の下であの日僕は恋をした~」
「崩壊3rd」
「ラブライブ!スクールアイドルフェスティバル」
大変申し訳ございません。よろしくお願い致します。
マギアレコードのシステム記事を読んだ後に見たのですが、オルサガの認証を流用と書いてましたが安全さは違うのですか?
プログラミングを知らないのでその辺りがよく分かりません…
長文失礼しました。
マギアレコードのシステム記事を読んだ後に見たのですが、オルサガの認証を流用と書いてましたが安全さは違うのですか?
プログラミングを知らないのでその辺りがよく分かりません…
長文失礼しました。
オルサガはhttpなのでネットワークを傍受すれば見えます。
マギレコはssl を使ってるので、通常のネットワークでは見えませんが
マルウェアや関連サーバーへの攻撃で生の認証コードがバレル可能性があります。
わかりやすい例で言うとパスワードとidを連結した文字列をユーザーidとして使って、
別の提携サービスにもそれをそのまま送信し、生のデータを保存してるような感じですね
オルサガはhttpなのでネットワークを傍受すれば見えます。
マギレコはssl を使ってるので、通常のネットワークでは見えませんが
マルウェアや関連サーバーへの攻撃で生の認証コードがバレル可能性があります。
わかりやすい例で言うとパスワードとidを連結した文字列をユーザーidとして使って、
別の提携サービスにもそれをそのまま送信し、生のデータを保存してるような感じですね
追加してすみませんが、
ソラヒメ はどうなんでしょう
原産が国外系列はなんだか緩そうなんで心配です。
追加してすみませんが、
ソラヒメ はどうなんでしょう
原産が国外系列はなんだか緩そうなんで心配です。
返信ありがとうございます、分かりやすい例で理解できました!
返信ありがとうございます、分かりやすい例で理解できました!