グリモンで OpenSocial
- OpenSocial のなんたるかがわかってきたような今日この頃です
- 普通は JavaScript API をなんやらかんやらして、SNSのプロフィールページとかにガジェットを表示させるらしい
- JSだからグリモンからも叩けるわけで、実際にやってみた
- Person VIEWER を押すと、ガジェットから取得できる VIEWER の情報が!
- mixi でクリアできる気がしない憎いあいつも
- VIEWER の AppData を書き換えて…
- 50億点!ハイスコア!
- アクティビティも好きな title で作成できます
- ったー
- ここにおいときますね
- JSONの整形は JSONの整形出力: dara-j を使わせていただきました
・Viewer の ID などアプリ上に呼び出されているものが個人情報も含め奪取可能
http://blog.spicebox.jp/labs/2009/04/greasemonkey_opensocial.html
(本来はアプリ上のみで処理されるべきものであるが、このような取得のされ方だと利用規約の範囲を超えるケースにあてはまることになるだろう)
-
- JavaScript API を使っている以上、アプリが取得できる情報=エンドユーザが取得できる情報なわけで、コンテナが適切に制限をかける必要があると思います
・オブジェクト書き換えることでゲームのスコアを偽物に(ランキングなどもめちゃめちゃに?/これは対策しようがあるかもだけど)
http://blog.spicebox.jp/labs/2009/04/greasemonkey_opensocial.html
-
- あと VIEWER_FRIENDS とか OWNER_FRIENDS の AppData も読み込めるので、プライベートな情報を入れるのもまずいですね
・アクティビティになりそうな文字列があればそれをオーバーライドしてアプリ設計者側が意図しないメッセージをそのアプリの責任下で配信することができる
http://blog.spicebox.jp/labs/2009/04/greasemonkey_opensocial.html
-
- 現状の表示方法だと、アプリの責任で送信された印象が強いですが、あくまでユーザのものであると考えます
- うざい日記を連投するマイミクがいたら切るor非表示にする、のと同じかと