ガンホーへのメールを自分から晒すスレ

178 ：(^ー^*)ノ〜さん ：03/04/16 18:31 ID:QOI9/mF7

>>176
>>175じゃないけど。
なお、以下はあくまで常識的な運用管理体制からの想像であり、実際どーなってるかは
癌に聞いてみないとわからんので念のため。某A鯖とかも見てないので完全に推測な。

まず、ROのサーバが必要とする情報は、アトラクションIDとそのパスワードのみ。
だから、ログインサーバはその情報しか持っていない。
クレジット番号、webマネー番号や個人情報を格納しているDB（データベース）は、
ROのDBとは完全に別。
こちらはチケットセンタからしかアクセスできないようになっているはず。
これが「ゲームシステムとは別のシステムとなっており」ってやつね。
チケットセンタでアトラクションIDに関する変更が行われた場合、チケットセンタの
webアプリケーションがログインサーバのDBにアクセスして変更を反映する。
逆に、ログインサーバからDBへアクセスする必要は全くないので、
そういった機能そのものが存在しないと思われる。
そのため、万一ログインサーバの情報が抜かれたとしても、漏れるのは最悪でも
アトラクションIDとパスワードのみということになる。
（GMがパスワードを見る必要は全くないので、GMツールにそもそもそういう機能は
ないと思うが…）

と言うわけで、個人情報が抜かれるとしたらチケットセンタDBへの直接侵入しかないが、
さすがにこれは厳重に守られていると思う。
このへんで問題起こすとクレジット会社から縁切られかねないし…
パスワード抜かれたら一発でアウト、というようなヌルいセキュリティじゃないはず。
まぁ、ASPとか引っくるめて管理も外注だろうけど。

この手のアプリケーションを設計する時に一番安全な手法は、不要な機能をそもそも
実装しないことに尽きる。
加えて、癌はROのシステムに直接手を入れられない（らしい）ので、ROのシステムに
癌独自のチケットシステムが乗っかっているような設計になってる。（要するにwrapper）
両者を繋ぐのはアトラクションIDのみ、という理解でおおむね正しいと思う。
と言うわけで、今回のクラック騒ぎから個人情報漏洩に進展する可能性は低い。
ただし、これは癌のシステムが安全という証明ではなく、全く別個の問題ということ。
まぁ、アトラクションIDと癌IDのパスワードを同じにしてる人とかは注意かも知れん。

read.cgi ver5.26 + n2 (02/10/01)