2010年4月29日

[PHP-users 35178] Re:mixi application 用の bot

重松 さん,

増田です。こんにちは。

On 2010/04/29, at 5:43, shige02@xxxxx wrote:

> こんにちは。重松です。
> 増田さん、コメントありがとうございます。

>
>>> (1) Google が提供している opensocial 関連のコードは、
>>> どうも JavaScript 版のようで、PHP ではないし、理
>>> 屈から考えれば、通常はクライアントのブラウザ上で実行されるの
>>> で至極当然といえば当然。
>>> PHP でやるにはどうしたらいいのか。
>>
>> PHPでやる場合、フレームワークを使ったりします。
>>
>> そして、js側でphpに対しPOSTまたはGET
>> し、テンプレートで表示したりします。
>> あくまで僕が知ってる限りですが。
>
> 済みません、意味が分かりません。
> ブラウザを使うと重いので、PHP スクリプトでクライアントサ
> イドの実装をしようと思っています。
>
クライアントサイドと、phpの関連が僕には分からないので、下
記の返信は的外れかも知れませんが。


> mixi アプリを作るという話ではないのです。
>
> やりたいことは既存の mixi アプリケーションに PHP
> でアクセスをすることです。
>
アプリを作るわけではないのですね。
既存のアプリですが、それが重松さんが作ったアプリではないとするな
ら、
人が作ったアプリにPHPでアクセスしたいということですよね。

そのアプリがphpで作られていれば、アプリは一切関係なく、単に
phpに限定した話しのような気もしますが、
こちらで把握しきれていないので、何とも言えません。


とりあえず、アプリに関しては、
var url = BASE_URL + "?test_index=true&user_id=" + g_userinfo_id +
"&time=" + getDateBuff();
gadgets.io.makeRequest(url, responseDsp, params);

みたいな形でjs側でgetしたり、コールバック関数に
postしたりしていたりするので、
ガジャットのベースとなるxmlをみつけて、そこで読み込まれて
いるjavascriptをずっと見ていけば、
既存のアプリの状況は把握できる気がします。


もちろん、アプリによってはベースとなるxmlから直接php
を呼び出していることもあるかもしれないので、
そしたら、そのphpに挙動を調べてみればよいと思うので。
ただし、それが分かっても、そこからphpが受け取れる情報はど
れほどあるのか分かりません。


いずれにしても、phpでアクセスするというのが具体的に僕が理
解できていないので、的外れかもしれませんが。


> (2) に関しても、当方の意図を読み違えてご回答いただいている気が
> します。
>
>>
>>> (3) それはそうと、上記のコードを読んで思ったんですが、ザル
>>> じゃないですかね?
>>> だって、mixi の id は平文でした。
>>> とうことは、いくらでも詐称が出来る。
>>>
>>> つまり、mixi からブラウザ上の JavaScript 実行者
>>> (クライアント)は恐らく mixi のセッション情報などを
>>> 使って、実行者を特定し、id を渡したとしても、その
>>> id を今度は mixi アプリケーションのディベロッパ、サー
>>> バに送信する時には、平文だから、改ざんして渡すことができると
>>> 思います。
>>>
>> そのためにoauthがあったり、送り先のphpに妥当な処
>> 理を書くのだと思います。
>> いずれにしても、opensocialの規格に則っている限り、そこ
>> までザルではないような気がします。
>>
>> もちろん、phpで単に$_POST, $_GETを直接変数に入れ
>> てしまうようなことは許されないでしょうが。
>
> この件に関しては、明らかに相手が意図しないであろう、こちらの意
> のままに一部機能を制御できることが判明したため、IPA に連
> 絡しました。先日、脆弱性は対処されたと IPA から連絡があ
> りました。
> ということですから、opensocial の規格に乗っ取っているの
> かいないのかは分かりませんが、穴があったことは誤解ではなかった
> ようです。
>
こちらに関しては僕は分かりませんので、何とも言えません。
とりあえず、アプリの件だけですが返信をさせていただきました。


増田
--
Masuda
macindows@xxxxx

_______________________________________________
PHP-users mailing list PHP-users@xxxxx
http://ml.php.gr.jp/mailman/listinfo/php-users
PHP初心者のためのページ - 質問する前にはこちらをお読みください
http://oldwww.php.gr.jp/php/novice.php3


投稿者 xml-rpc : 2010年4月29日 12:45
役に立ちました?:
過去のフィードバック 平均:(0) 総合:(0) 投票回数:(0)
本記事へのTrackback: http://hoop.euqset.org/blog/mt-tb2006.cgi/95322
トラックバック
コメント
コメントする




画像の中に見える文字を入力してください。