人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

mixiアプリで質問ですが
Flashから、JSでmixi情報を取得し、自社サーバーのAPIに渡してます。

自社のAPI側はベーシック認証をかけ、Flash側から情報を送信して
受けるようにしてるのですが、
この場合、公開しているFlashをダウンロードされ、mixi APIと同様の仕組みを
JavaScriptで実装され、Viewerの情報を取得する同名の関数を作成され、偽の情報を入れられた場合、問題無いものなのでしょうか?




●質問者: makocan
●カテゴリ:インターネット ウェブ制作
✍キーワード:API Flash JavaScript js mixi
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● kent0608
●60ポイント

opensocialコンテナであるmixiの署名付きリクエストではなく

Flashから直接自社サーバのWebAPIを叩いているという状況でしょうか?

それならばセキュリティ上の問題ありです。

他人が特定のユーザを騙ってサーバに不正なリスクエストを送ることも可能でしょうね。

暗号化されていないベーシック認証だけでは簡単に解析され突破されてしまいます。

Flash → 自社サーバ

という直接的な通信ではなく

Flash →(Externalinterface.callにてopensocial Javascript APIを叩く)→ mixi →(署名付きリクエスト発行)→ 自社サーバ(リクエスト検証)

上記のように一度mixiを経由し、署名付きリクエストを発行してください。

サーバ側の検証には有志が開発したオープンソースの検証用フィルタ等を使いましょう。

http://code.google.com/p/opensocial-oauth-filter/

http://devlog.agektmr.com/ja/archives/597

◎質問者からの返答

すみません。慌てすぎていたのかもしれません。

頂いたURL先と、公式のドキュメントを見たら、ごく当たり前の技術でした。

ありがとうございました。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ