mixiアプリで質問ですが

Flashから、JSでmixi情報を取得し、自社サーバーのAPIに渡してます。

自社のAPI側はベーシック認証をかけ、Flash側から情報を送信して
受けるようにしてるのですが、
この場合、公開しているFlashをダウンロードされ、mixi APIと同様の仕組みを
JavaScriptで実装され、Viewerの情報を取得する同名の関数を作成され、偽の情報を入れられた場合、問題無いものなのでしょうか?


回答の条件
  • URL必須
  • 1人2回まで
  • 13歳以上
  • 登録:2010/12/04 20:51:46
  • 終了:2010/12/07 06:31:35

回答(1件)

id:kent0608 No.1

kent0608回答回数220ベストアンサー獲得回数232010/12/04 23:00:00

ポイント60pt

opensocialコンテナであるmixiの署名付きリクエストではなく

Flashから直接自社サーバのWebAPIを叩いているという状況でしょうか?

それならばセキュリティ上の問題ありです。

他人が特定のユーザを騙ってサーバに不正なリスクエストを送ることも可能でしょうね。

暗号化されていないベーシック認証だけでは簡単に解析され突破されてしまいます。

Flash → 自社サーバ

という直接的な通信ではなく

Flash →(Externalinterface.callにてopensocial Javascript APIを叩く)→ mixi →(署名付きリクエスト発行)→ 自社サーバ(リクエスト検証)

上記のように一度mixiを経由し、署名付きリクエストを発行してください。

サーバ側の検証には有志が開発したオープンソースの検証用フィルタ等を使いましょう。

http://code.google.com/p/opensocial-oauth-filter/

http://devlog.agektmr.com/ja/archives/597

id:makocan

すみません。慌てすぎていたのかもしれません。

頂いたURL先と、公式のドキュメントを見たら、ごく当たり前の技術でした。

ありがとうございました。

2010/12/07 06:31:31

コメントはまだありません

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません