アカウント名:
パスワード:
https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html [asahi.com]欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。
これ単にモナコイン側にトランザクション処理が実装されてなかったレベルの話なの?ウソだろ?
https://medium.com/@IndieSquare/monappy%E3%81%AB%E3%81%8A%E3%81%91%E3%... [medium.com]MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。~略~通信を受け取ったmonacoindの応答に時間がかかり、サイト(Monappy)側ではタイムアウトとなって(ギフトコードの処理が)ロールバックされたあとにmonacoind側では送金が行われていました。
あほやな
# 格好内は私が書いた
仮想通貨の安全性とかの次元の話でも何でもなく、MonappyのシステムがCGI時代の掲示板並みの実装だっただけだね。
> CGI時代の掲示板並み
いや、時代関係なく、開発がショボいだけでしょ。
エラー時の処理が実装されていないわ、そのケースのテストもしていないって事だから。普通、タイムアウト時のテストケースなんて、漏れるわけないんだけどね。
#と言っても、試験結果報告書でokになっていても、再確認したらngってパターンもあるからな。(「君は何を確認したんだよ。」って言いたくなることが多々あって泣けてくる)
テストケースがどうとか試験結果報告書がどうとか、そういうちゃんとした作りどころか最低限のデバッグもろくにしてなかったんじゃないのかなってレベル
タイムアウトの処理自体あって、それが送金サーバーのダウンを想定されたもので、それで送金されずに、残高減ってしまわないエラー処理は入っているわけで、連打ぐらいで遅延が発生して、それがタイムアウトにまでなるということを想定してなかったということです。
モナコイン側の穴ではなくモナッピー側の穴てはないか?
B・N・F氏が「大富豪の無職男」「ジェイコム男」として名を上げた、株の誤注文「1円61万株売 [wikipedia.org]」の時も裏社会との関連や組織ぐるみのインサイダー的な疑惑が検証されていましたが、今回のモナコインの件も、担当者が敢えてそうした可能性があるわけです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
トランザクション (スコア:0)
https://www.asahi.com/sp/articles/ASM3G4TR0M3GUTIL026.html [asahi.com]
欠陥の存在に気づいた少年は、スマートフォンやパソコンで計8254回、手動で操作ボタンの連打を繰り返し、自らが取得していた133回分のコードで、642回分の送金に成功。
これ単にモナコイン側にトランザクション処理が実装されてなかったレベルの話なの?
ウソだろ?
Re:トランザクション (スコア:4, 参考になる)
https://medium.com/@IndieSquare/monappy%E3%81%AB%E3%81%8A%E3%81%91%E3%... [medium.com]
MonappyからMonacoinを送信する際は、monacoindという別のサーバ上のアプリケーションと通信する仕様になっています。
~略~
通信を受け取ったmonacoindの応答に時間がかかり、サイト(Monappy)側ではタイムアウトとなって(ギフトコードの処理が)ロールバックされたあとにmonacoind側では送金が行われていました。
あほやな
# 格好内は私が書いた
Re: (スコア:0)
仮想通貨の安全性とかの次元の話でも何でもなく、MonappyのシステムがCGI時代の掲示板並みの実装だっただけだね。
Re: (スコア:0)
> CGI時代の掲示板並み
いや、時代関係なく、開発がショボいだけでしょ。
エラー時の処理が実装されていないわ、そのケースのテストもしていないって事だから。
普通、タイムアウト時のテストケースなんて、漏れるわけないんだけどね。
#と言っても、試験結果報告書でokになっていても、再確認したらngってパターンもあるからな。(「君は何を確認したんだよ。」って言いたくなることが多々あって泣けてくる)
Re: (スコア:0)
テストケースがどうとか試験結果報告書がどうとか、そういうちゃんとした作りどころか
最低限のデバッグもろくにしてなかったんじゃないのかなってレベル
Re: (スコア:0)
タイムアウトの処理自体あって、それが送金サーバーのダウンを想定されたもので、
それで送金されずに、残高減ってしまわないエラー処理は入っているわけで、
連打ぐらいで遅延が発生して、それがタイムアウトにまでなるということを想定してなかったということです。
Re: (スコア:0)
モナコイン側の穴ではなくモナッピー側の穴てはないか?
Re: (スコア:0)
B・N・F氏が「大富豪の無職男」「ジェイコム男」として名を上げた、株の誤注文「1円61万株売 [wikipedia.org]」の時も裏社会との関連や組織ぐるみのインサイダー的な疑惑が検証されていましたが、今回のモナコインの件も、担当者が敢えてそうした可能性があるわけです。