レス数が1スレッドの最大レス数(1000件)を超えています。残念ながら投稿することができません。
V2CMOD #4
-
>>722
ストーリーズ取得のためにInstagramにログインする際
セッションIDというものが必要となりますがjs中は暗号化しないで使用しています
ただこのセッションIDでユーザ名、パスワードを入力せずにInstagramにログインできてしまうようです
仮に今後悪意のあるjsをインストールした場合にこのセッションIDを盗まれる可能性があります
なので現時点ではセキュリティユルユルなので以下の自衛策が必要となります
・Instagramアカウント作成時の登録内容を他人に知られても構わないものにする
・js中にユーザ名、パスワードを固定で持たせない(jsを盗まれる可能性があるため)
・他の新しいjsを追加・置き換えする際、js内に「v2c.getProperty」や「InstagtamStoriesCookie」と書かれていないか確認する
(「v2c.getProperty」は汎用的に使用されるものですが、「InstagtamStoriesCookie」は明らかに悪意があります)
・InstagramTools.js、getInstagramLists.js、getdat_sub/instagram.js内の
var InstagtamStoriesCookie = 'InstagtamStoriesCookie'; の''内のInstagtamStoriesCookieを任意の文字列に統一して変更する
・作成したアカウントもスレ一覧に追加して悪用されてないか監視する
たまにWEBブラウザでそのアカウントを開いて確認する
仮にセッションIDを盗まれて不正にログインされたり、不正投稿の踏み台にされても
パスワードを盗まれてない限りはアカウントが乗っ取られることはありません
(パスワードの変更には旧パスワードが必要なため)
あくまでjsとしてリリースしているのでここら辺のリスクを御承知の上
ストーリーズの取得をお願いいたします
掲示板管理者へ連絡
無料レンタル掲示板
