[PHP-users 35178] Re: mixi application 用の bot

Masuda macindows @ forest.ocn.ne.jp
2010年 4月 29日 (木) 12:45:08 JST 

重松 さん,

増田です。こんにちは。

On 2010/04/29, at 5:43, shige02 @ mac.com wrote:

> こんにちは。重松です。
> 増田さん、コメントありがとうございます。
>
>>> (1) Google が提供している opensocial 関連のコードは、 
>>> どうも JavaScript 版のようで、PHP ではないし、理 
>>> 屈から考えれば、通常はクライアントのブラウザ上で実行されるの 
>>> で至極当然といえば当然。
>>> PHP でやるにはどうしたらいいのか。
>>
>> PHPでやる場合、フレームワークを使ったりします。
>>
>> そして、js側でphpに対しPOSTまたはGET 
>> し、テンプレートで表示したりします。
>> あくまで僕が知ってる限りですが。
>
> 済みません、意味が分かりません。
> ブラウザを使うと重いので、PHP スクリプトでクライアントサ 
> イドの実装をしようと思っています。
>
クライアントサイドと、phpの関連が僕には分からないので、下 
記の返信は的外れかも知れませんが。


> mixi アプリを作るという話ではないのです。
>
> やりたいことは既存の mixi アプリケーションに PHP  
> でアクセスをすることです。
>
アプリを作るわけではないのですね。
既存のアプリですが、それが重松さんが作ったアプリではないとするな 
ら、
人が作ったアプリにPHPでアクセスしたいということですよね。

そのアプリがphpで作られていれば、アプリは一切関係なく、単に 
phpに限定した話しのような気もしますが、
こちらで把握しきれていないので、何とも言えません。


とりあえず、アプリに関しては、
var url = BASE_URL + "?test_index=true&user_id=" + g_userinfo_id  +  
"&time=" + getDateBuff();
	gadgets.io.makeRequest(url, responseDsp, params);

みたいな形でjs側でgetしたり、コールバック関数に 
postしたりしていたりするので、
ガジャットのベースとなるxmlをみつけて、そこで読み込まれて 
いるjavascriptをずっと見ていけば、
既存のアプリの状況は把握できる気がします。


もちろん、アプリによってはベースとなるxmlから直接php 
を呼び出していることもあるかもしれないので、
そしたら、そのphpに挙動を調べてみればよいと思うので。
ただし、それが分かっても、そこからphpが受け取れる情報はど 
れほどあるのか分かりません。


いずれにしても、phpでアクセスするというのが具体的に僕が理 
解できていないので、的外れかもしれませんが。


> (2) に関しても、当方の意図を読み違えてご回答いただいている気が 
> します。
>
>>
>>> (3) それはそうと、上記のコードを読んで思ったんですが、ザル 
>>> じゃないですかね?
>>> だって、mixi の id は平文でした。
>>> とうことは、いくらでも詐称が出来る。
>>>
>>> つまり、mixi からブラウザ上の JavaScript 実行者 
>>> (クライアント)は恐らく mixi のセッション情報などを 
>>> 使って、実行者を特定し、id を渡したとしても、その  
>>> id を今度は mixi アプリケーションのディベロッパ、サー 
>>> バに送信する時には、平文だから、改ざんして渡すことができると 
>>> 思います。
>>>
>> そのためにoauthがあったり、送り先のphpに妥当な処 
>> 理を書くのだと思います。
>> いずれにしても、opensocialの規格に則っている限り、そこ 
>> までザルではないような気がします。
>>
>> もちろん、phpで単に$_POST, $_GETを直接変数に入れ 
>> てしまうようなことは許されないでしょうが。
>
> この件に関しては、明らかに相手が意図しないであろう、こちらの意 
> のままに一部機能を制御できることが判明したため、IPA に連 
> 絡しました。先日、脆弱性は対処されたと IPA から連絡があ 
> りました。
> ということですから、opensocial の規格に乗っ取っているの 
> かいないのかは分かりませんが、穴があったことは誤解ではなかった 
> ようです。
>
こちらに関しては僕は分かりませんので、何とも言えません。
とりあえず、アプリの件だけですが返信をさせていただきました。


増田
-- 
Masuda
macindows @ forest.ocn.ne.jp

PHP-users メーリングリストの案内