mixiアプリで質問ですが
Flashから、JSでmixi情報を取得し、自社サーバーのAPIに渡してます。
自社のAPI側はベーシック認証をかけ、Flash側から情報を送信して
受けるようにしてるのですが、
この場合、公開しているFlashをダウンロードされ、mixi APIと同様の仕組みを
JavaScriptで実装され、Viewerの情報を取得する同名の関数を作成され、偽の情報を入れられた場合、問題無いものなのでしょうか?
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。
ログインして回答する
みんなの回答
-
kent0608
満足60pt
opensocialコンテナであるmixiの署名付きリクエストではなく
Flashから直接自社サーバのWebAPIを叩いているという状況でしょうか?
それならばセキュリティ上の問題ありです。
他人が特定のユーザを騙ってサーバに不正なリスクエストを送ることも可能でしょうね。
暗号化されていないベーシック認証だけでは簡単に解析され突破されてしまいます。
Flash → 自社サーバ
という直接的な通信ではなく
Flash →(Externalinterface.callにてopensocial Javascript APIを叩く)→ mixi →(署名付きリクエスト発行)→ 自社サーバ(リクエスト検証)
上記のように一度mixiを経由し、署名付きリクエストを発行してください。
サーバ側の検証には有志が開発したオープンソースの検証用フィルタ等を使いましょう。
-
makocan
-
makocanこの質問へのコメント
質問の情報
- 登録日時
- 2010-12-04 20:51:46
- 終了日時
- 2010-12-07 06:31:35
- 回答条件
- 回答にURL必須 1人2回まで
この質問のカテゴリ
この質問に含まれるキーワード
人気の質問
-
この英文どうなってますか? The boy seemed to be waiting for his mother to come.(その少年は母親が来…
匿名質問者
1
1
-
不定詞の形容詞的用法らしいんですけど、副詞的用法と書いたら✖️ですか? I want to buy a book to read …匿名質問者11
-
日向陽葵という○V女優が好きなのですが似ている○V女優はいますか匿名質問者
-
共通テストで使われるプログラミング言語は共通テスト特有の言語と聞いたのですが、受験勉強で身につけたプ…匿名質問者1
-
内定してほしいポケモンはいますか?匿名質問者