goo blog サービス終了のお知らせ 

真・女神転生imagine-JZ13(バックアップ)

Broachで投稿していた記事のバックアップです。

告知のその後

2010-06-16 20:22:24 | イマジン
だから、重要な内容のことをTwitterでやり取りすんなって。^^
ただ、メールで問い合わせするより迅速確実に返答がもらえるのはありがたいかも、とは思いますが。

以下、今回の「認証」告知がらみの「つぶやき」を拾ってみました。

そのまま貼り付けると解りにくいかも、なので補足を。
先頭に「@megatenonline」と書かれているのは「megatenonline宛の返信」という意味です。
文末の「#megatenonline」は「megatenonlineの話題」(ブログで言うところのカテゴリ)という意味です。

@megatenonline 何故犯人はキャラが長期ログインしていないと分かるのでしょう? ゲームデータそのものがハッキングされているのでしょうか? 説明がないと今度の対策は納得出来ません。対象が現役になるだけではないですか? #megatenonline
@(ユーザーA) 長い間ログインしていない→パスワードが変えられていない、ということのようです。結果として、そうなると。でも、パスワードを変更されない場合、いつでも被害に遭うことは考えられますので、今回の対策にご協力ください。(つぶやき担当) #megaetnonline


名前は伏せてますがこのユーザーA様、この発言以降は書いてらっしゃらないので、この発言を受けての「つぶやき担当」の返信だと思うんですが、なんとなく質問に対して答えがズレてますよね?^^

@megatenonline 登録したメルアドを削除してしまった場合はどうすればいいんでしょうか? #megatenonline
@megatenonline 「他者の手」かどうかどうやって判断するのでしょうか。それから、再認証の対象になっているかどうかの基準もあいまいなので、知らないうちに停止になっていたなんてことはないのでしょうか。そのへんも再告知に盛り込んでほしい。#megatenonline

@(ユーザーB) その場合、再認証の通知は、現在使われているメールアドレスに届きます。他者の手により、既に変更されてしまった等の場合は、別個、個別対応を行います。(つぶやき担当) #megaetnonline


上2文はユーザーB様のツイート。
これに対する返事もなんとなくピントがズレているような…。

「登録したメアドを削除→現在そのメアドは存在していない=そのメアド宛に送信しても宛先不明になる」
なのに「現在使われているメールアドレスに届きます」って…すでに日本語としてすら成り立っていません。^^
メアドを削除したんだから新しいメアドに変更してるよね?という前提?
それだったらわざわざ質問しないってw

「他者の手により」の下り。
個別対応って、既に変更した他者によって認証が終わってたら、ユーザーB様が「知らんうちに変えられてた」と主張してもどうやってそのIDを自分のものだと証明できるんでしょうか?

あと、私のツイート
「(メルマガを受信しない)にしていても案内メールは来るか」
という問いに
「それだと届かないかも」
だそうです。
まあ、「かも」なので確認してからサイトに載せるつもりみたいで、その時は暗に「ここで質問してくるな」という雰囲気でしたが、たった1時間くらいの間にこれだけの「穴」がTwitterで出てくるのだから全部受けたほうがいいんじゃないでしょうかね?
いつもいつも後出しジャンケンで情報を出してくるけど、事前にきっちり検証した上でサイトに載せてほしいものです。

告知キタ

2010-06-16 01:33:48 | イマジン
【重要】イマジンID 再認証手続きをお願い致します。

私の頭が悪いのでしょうか?
これをすることで何が有効になるんでしょうか?

1.対象のID、または全IDを一旦凍結。
2.申し出のあったIDのみ復活。
3.申し出のなかったIDはそのまま凍結されたまま。
という動きになるわけですよね?

単にそのIDが生きてるか死んでるか判定するだけって結果になるんじゃあ…?

シロートの私がちょっと考えただけでも穴があるんですけども。

1.すでに垢ハックされてるが実行されていない場合。
   犯人が、すでにハックした全IDのメールアドレスをこっそり自分のものに変える。
       ↓
   元の持ち主が知らないまま、7/8以降インできなくなる。
   犯人はゆっくり認証を進めればいい。

2.「再認証手続申請フォーム」が、認証を通さず単一のURLである場合。(さすがにそこまでマヌケじゃないよね?)
   掲示板などでURLが流れて誰でも勝手に認証ができる。

3.「再認証手続申請フォーム」の認証がメールアドレスのみの場合。
   メールアドレスが犯人のものに変えられていた場合、犯人が認証手続きを行うだけ。

4.この告知を受けて普通のユーザーがパスを一斉に変更。
   犯人が上記のような操作を行っても判別しにくい。

「犯人が」の下りを防止しようと思ったら、変更通知のメールを変更前、変更後の両方のアドレスに送ってくれたらいいんだよね。
つまり、もし他人が勝手にアドレスの登録を変更したら、変更前の人にも「メールアドレスの変更を受け付けました。」と送られてくる。
そしたらさすがに「俺そんなの変更してないよ?」と気づくでしょ。
で、運営に届け出る。
もし犯人が生アドを登録してたら犯人を特定できるかもしれない。
どうせなら罠として使えばいいのに。^^

垢ハックに対する、現状で一番効果があると思われるのはワンタイムパスワードだけです。
ぶっちゃけ、今回のこの対応って、運営側にもプレイヤー側にも手間なだけで有効だと思えないんですが。
この対応で何の意味があるのか、誰か教えてくれぇぇぃ!