アカウント名:
パスワード:
どこに詳しく書いてあるの。URLが流出した経緯がサッパリわからなかったんだけど。
公開前にURLを知ることのできる人物のうち、誰が流出させたのかは今のところ不明ってことでしょ。知ることのできる誰かがリークサイトにタレこんだか、あるいは、こっそり親しい友人にダウンロードしてもらおうと思って送ったら、その友人が秘密を守れなかったとかそんなんでしょ。今時、暴露ウイルスの類ってことないと思うが。
そんな事しなくても、連番だから簡単に丸見えです。ストーリーにもスタンプのリンク有るけど、下記URLだよ?バレないほうが不思議なレベル。
https://store.line.me/stickershop/product/27989/ja [store.line.me]
非公開実装の不備なのね。せめて引数を鍵にして連番サーチを回避する仕組みくらい入れても良いのにね。こんなので利用者のモラルとか言われても知らんがなって状態かも
まあ、設計時に想定していない運用方法となったってことだろう。想定外、想定外か、「バグじゃないです、仕様です。」か。
非エンジニアには、エンジニアの常識が通用しないこともある。Winny事件(3月10日(金)封切り) [winny-movie.com]
STORY殺人に使われた包丁をつくった職人は逮捕されるのか——。技術者の未来と権利を守るため、権力やメディアと戦った男たちの真実の物語。
のように、「不当逮捕」されても知らんがなって状態になるかも。
多分LINE側は想定内で、発注主が指定した日付までにキャンペーンの準備をして、速やかに開始してないのが悪いってスタンスじゃないかな。
件のスタンプ、180日間を逆算すると2023年2月28日公開を指定していたと思われるので、実公開は2月28日の11時頃。どこかで3月1日0時ジャストか、3月1日営業からのキャンペーン開始済みなんじゃないかな。もしくは、スケジュール遅延でキャンペーン告知が間に合わなかったか。そうじゃないと180日という有料で有限である時間を無駄に浪費する理由がない。
180日間は、12週間の誤りです。全置換してください。寝ぼけてた。
LINEとしては、あくまでタダで万人にスタンプを配るために用意した機能だからね。そういう仕様。それを限定キャンペーンに使おうとするのが間違っているわけで。
でも、このURLを公式に張ったことは一度もなかったら「これはID、おそらく連番」と類推して踏みに行くにはログイン画面のブルートフォースアタックとどう違うんだろう。
リトライ制限がかかってなかったら自由に総当たり試していいのかね。
違法性 (#4068000) | PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 | スラド [srad.jp]とか参考にしてもろて
ログイン画面のブルートフォース攻撃はパスワード(法的な言い方をすれば「他人の識別符号」)の入力が伴うので不正アクセス禁止法違反、そこが決定的な違い
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
で、流出の経緯は? (スコア:0)
どこに詳しく書いてあるの。URLが流出した経緯がサッパリわからなかったんだけど。
Re:で、流出の経緯は? (スコア:1)
公開前にURLを知ることのできる人物のうち、誰が流出させたのかは今のところ不明ってことでしょ。
知ることのできる誰かがリークサイトにタレこんだか、あるいは、
こっそり親しい友人にダウンロードしてもらおうと思って送ったら、その友人が秘密を守れなかったとかそんなんでしょ。
今時、暴露ウイルスの類ってことないと思うが。
Re:で、流出の経緯は? (スコア:1)
そんな事しなくても、連番だから簡単に丸見えです。
ストーリーにもスタンプのリンク有るけど、下記URLだよ?
バレないほうが不思議なレベル。
https://store.line.me/stickershop/product/27989/ja [store.line.me]
Re: (スコア:0)
非公開実装の不備なのね。
せめて引数を鍵にして連番サーチを回避する仕組みくらい入れても良いのにね。
こんなので利用者のモラルとか言われても知らんがなって状態かも
Re: (スコア:0)
まあ、設計時に想定していない運用方法となったってことだろう。
想定外、想定外か、
「バグじゃないです、仕様です。」か。
非エンジニアには、エンジニアの常識が通用しないこともある。
Winny事件(3月10日(金)封切り) [winny-movie.com]
STORY
殺人に使われた包丁をつくった職人は逮捕されるのか——。
技術者の未来と権利を守るため、権力やメディアと戦った男たちの真実の物語。
のように、「不当逮捕」されても知らんがなって状態になるかも。
Re: (スコア:0)
多分LINE側は想定内で、発注主が指定した日付までにキャンペーンの準備をして、速やかに開始してないのが悪いってスタンスじゃないかな。
件のスタンプ、180日間を逆算すると2023年2月28日公開を指定していたと思われるので、実公開は2月28日の11時頃。
どこかで3月1日0時ジャストか、3月1日営業からのキャンペーン開始済みなんじゃないかな。
もしくは、スケジュール遅延でキャンペーン告知が間に合わなかったか。
そうじゃないと180日という有料で有限である時間を無駄に浪費する理由がない。
Re: (スコア:0)
180日間は、12週間の誤りです。全置換してください。寝ぼけてた。
Re: (スコア:0)
LINEとしては、あくまでタダで万人にスタンプを配るために用意した機能だからね。そういう仕様。
それを限定キャンペーンに使おうとするのが間違っているわけで。
Re: (スコア:0)
でも、このURLを公式に張ったことは一度もなかったら
「これはID、おそらく連番」と類推して踏みに行くには
ログイン画面のブルートフォースアタックとどう違うんだろう。
リトライ制限がかかってなかったら自由に総当たり試していいのかね。
Re: (スコア:0)
違法性 (#4068000) | PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 | スラド [srad.jp]
とか参考にしてもろて
ログイン画面のブルートフォース攻撃はパスワード(法的な言い方をすれば「他人の識別符号」)の入力が伴うので不正アクセス禁止法違反、そこが決定的な違い