サミタ爆発しろ跡地

\ おやつカルパス最高!/

PREV | PAGE-SELECT | NEXT

≫ EDIT

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

| スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

≫ EDIT

スマホ版おでかけは、なるほど分からん。

おでかけ777TOWN.netは便利すよね。

アプリが最新バージョンじゃないとリモート着席できないとか、
ちょっとした所がムカつくけど、無いよりは全然マシです。

で、iPhoneによるスマートフォンのビッグウェーブが到来してる今、当然おでかけも
スマートフォンに対応しているわけですが、スマホ版おでかけのユーザによると、
どうも簡単ログインを使ったときにメイン画面が表示されないことが多々あるらしい。

ななな、なんだそのクソみたいな現象はァ……


とても興味深いのですが、なんせ俺はもしもし(ガラケー)ユーザー。
そのため、それっぽく偽装を施したブラウザで現象を確認。
まあ確かになんか変なことがあるな。と。


ここで考える。

そもそもおでかけの「簡単ログイン」とはどういう仕組みで成り立っているのかと。
おでかけのサイト遷移は簡単に説明するとこんな感じ。

(1) http://www.777town-m.net/にアクセスすると、USERIDというcookieが取得され、
  それぞれ以下のURLへのリダイレクトが実行される。

・フィーチャーフォン(ガラケー)の場合
 https://(略).net/Login.jsp;jsessionid=(32桁の英数字)?C=3
・スマートフォンの場合
 https://(略).net/SP/Login.jsp;jsessionid=(32桁の英数字)?C=4

(2) ログイン処理を実行。Login.jspで認証処理が完了後、MainMenu.jspに渡される。


というわけで、簡単ログインに必要な情報は、【ID】と【パスワード】のふたつ。
通常ログイン時の「次回から簡単~」にチェックを入れてログインすれば、入力したIDと
パスワードがcookieに格納され、次回からボタンひとつでのログインが可能になると。

普通に考えればそういう動きになるんですけど。


(´-ω-)<だがしかしたかし!

スマホ版おでかけの挙動は、そんな一筋縄ではいかなかった。

検証はFirefoxとChromeのふたつでやってたんだけどさ。
Firefoxで簡単ログインの設定をしたURLをChromeに持ってくと、
なんとそのまま簡単ログインができちゃったんだよね…。

これにはさすがのカイジもっていうかマジびびったっていうか。

だってFirefoxとChromeでcookieはまったく別で一切の共有は無いんだよ?

Firefoxのcookie

Chromeのcookie

cookieに関しても、http://www.777town-m.net/にアクセスしないと取得されないし、
そのあと更新されてる気配もないんすよ…。

普通の感覚であれば、初回ログイン時の認証情報+αをcookieに書き込み、
次回以降はそのcookieを参照して簡単ログインを完了するもんだと思いますよ。
イコール、cookieを消してしまうと簡単ログインもリセットされると。


でもね、スマホ版おでかけの場合、再取得したcookieでも簡単ログインできちゃうし、
簡単ログインの処理を完了したときのセッションIDをサーバ側が記憶してて、
以後はそのアカウントが再度簡単ログイン設定をしない限りはセッションIDだけで
簡単ログインが完了してしまうクソみたいな仕様なんじゃねーの?と。


そんなわけで、ここまでをまとめると…。

簡単ログイン処理を行ったスマホ版おでかけのセッションID(↑の32桁の英数字)が
分かれば、ID、パスワードを知らない第三者でも簡単ログインを完了できる、ってことです。

この部分に関しては、複数のスマホで簡単ログインが完了することを確認しています。
検証の手伝いをしてくれた数人の有志の方々は、後日お礼の意味もこめて、
不正アクセス禁止法への抵触の件で告発しようと思ってます。


ともかく気軽に検証しはじめたんだけど、おもらし事件を起こしてる会社で、
ワンタイムパスワード導入とかドヤってるわりに杜撰なシステムだなーとか呆れてます。


で、ここでネタにするか運営にそのまま連絡するかで迷ったんですけど…。

おでかけ上でアカウント情報を参照したり、WATを購入したりってことはできないし、
トレード機能も使えない。やられたとしてもリモート着席・精算程度ということで
クリティカルな被害を受けることも無さそうなのでネタにすることにしました。


スマホ版おでかけ使用者で自己防衛ができるとすれば、簡単ログインの設定を解除して
簡単ログインを使わないことくらいかな。
簡単ログインの解除は、おでかけメニューの各種設定-簡単ログイン設定からできます。

ちなみに、真っ白現象改善については確実性はないんだけど、簡単ログイン設定を
行ったあとに、http://www.777town-m.net/にアクセスすると、
その都度セッションIDが変わるので、そこで簡単ログインをためして真っ白に
ならなかったときのセッションIDをブックマークすれば、多少は改善されるはずかと。

[2012/10/24 12:00頃追記]ここから-----

「↑のやり方がわからん」というご意見を頂いたので、簡単に追記。

1.スマホにhttp://www.777town-m.net/をブックマークする。
2.http://www.777town-m.net/にアクセスし、おでかけログイン画面を開く。
3.「次回から簡単ログインを利用する」にチェックを入れて通常ログインする。

 ここで問題なくおでかけメニューが表示されれば4.へ
 真っ白になったら2.へ戻っておでかけメニューが表示されるまで2.-3.を繰り返し。

4.おでかけメニュー最下部の「ログイン画面へ」からログイン画面に戻る
5.表示されたログイン画面をブックマークして、以後そのブックマークから
 簡単ログインする。
 ブックマークされるURLは
 https://www.777town-m.net/SP/Login.jsp;jsessionid=(32桁の英数字)?C=4
 になります。


[注意]
この方法は、必ず改善するわけではありません。・
簡単ログインをやりなおすと、そのURLからは簡単ログインができなくなります。
スマホ版おでかけの仕様変更で使えなくなる可能性があります。

-----ここまで[2012/10/24 11:30頃追記]


これを運営が修正するのか、修正できるのかは分からないけれど、あまり気持ちの
いいものじゃないし、俺もiPhone5にする予定なのでできれば修正して欲しいよね。
関連記事

| どうでもいい | 00:58 | comments(-) | trackbacks(-) | TOP↑

PREV | PAGE-SELECT | NEXT

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。