[PHP-users 35175] Re: mixi application 用の bot

[shige02 ＠ mac.com]

こんにちは。重松です。
増田さん、コメントありがとうございます。

>> (1) Google が提供している opensocial 関連のコードは、どうも JavaScript 版のようで、PHP ではないし、理屈から考えれば、通常はクライアントのブラウザ上で実行されるので至極当然といえば当然。
>> PHP でやるにはどうしたらいいのか。
> 
> PHPでやる場合、フレームワークを使ったりします。
> 
> そして、js側でphpに対しPOSTまたはGETし、テンプレートで表示したりします。
> あくまで僕が知ってる限りですが。

済みません、意味が分かりません。
ブラウザを使うと重いので、PHP スクリプトでクライアントサイドの実装をしようと思っています。

ちょっと、プロバイダだのコンシューマだの、慣れない用語が多くて、ネットの説明の outbound, inbound もどっちがどうか、サッパリ理解できないでいます。てな具合ですから、用語が適切かどうかは分かりませんが、実際に人間が操作している計算機のブラウザの動作、その一切合切を PHP で置き換えたいという話であり、mixi アプリを作るという話ではないのです。

やりたいことは既存の mixi アプリケーションに PHP でアクセスをすることです。

(2) に関しても、当方の意図を読み違えてご回答いただいている気がします。

> 
>> (3) それはそうと、上記のコードを読んで思ったんですが、ザルじゃないですかね？
>> だって、mixi の id は平文でした。
>> とうことは、いくらでも詐称が出来る。
>> 
>> つまり、mixi からブラウザ上の JavaScript 実行者（クライアント）は恐らく mixi のセッション情報などを使って、実行者を特定し、id を渡したとしても、その id を今度は mixi アプリケーションのディベロッパ、サーバに送信する時には、平文だから、改ざんして渡すことができると思います。
>> 
> そのためにoauthがあったり、送り先のphpに妥当な処理を書くのだと思います。
> いずれにしても、opensocialの規格に則っている限り、そこまでザルではないような気がします。
> 
> もちろん、phpで単に$_POST, $_GETを直接変数に入れてしまうようなことは許されないでしょうが。

この件に関しては、明らかに相手が意図しないであろう、こちらの意のままに一部機能を制御できることが判明したため、IPA に連絡しました。先日、脆弱性は対処されたと IPA から連絡がありました。
ということですから、opensocial の規格に乗っ取っているのかいないのかは分かりませんが、穴があったことは誤解ではなかったようです。

-- 
Osamu Shigematsu