そもそも Internet を経由してアップデートさせようと思っているのならば、経路上のデータが覗かれることくらいは当然折り込み済みだろうよ。
その割にはサーバーから返すメッセージに管理者(開発者?)のものらしきコメントが入っていたり、それこそテスト用ファームが落とせたりしたわけですが……。こうして暴露されるのも折り込み済み? いくら実害ないからといってコンシューマ・ハードウェアとして一般人からはいい印象を受けないと思いますが(アレゲからは歓迎されますが)。って一般人は知らない or 気にしないか。ともあれ、SSLくらい使わないのかなあ、と個人的には思います。
中の人も大変だな (スコア:3, すばらしい洞察)
この話がよくある「企業サイトの非公開データの在処見付けちゃった、てへ」話と違っておもしろいのは、SCE的には「だからといって無かったことにするわけにもいかない」点だと個人的には思っています。通常ここまで好き勝手に覗かれたら、サーバーを止めるなりアクセスを遮断するなりするかと思いますが、そうなると今度は実際のPSPからのアップデート確認もできなくなってしまうわけで。PCと違いクライアントからの接続先が決め打ちである、というのが中の人としては痛いところでしょうねえ。
現在はダミーデータを垂れ流しているそうですが、本当にアップデートを行なうときは実データを流さざるを得ません。例えスニッファが待ち受けていると分かっていても。いまさら認証をかけるわけにもいきません。なぜならPSP側が対応できないから。次回のファームアップで確実にこの辺の仕組みを変えて、通信の暗号化やら認証やらかけてくるでしょうが、それにしたってまず「最初の1回」のアップデートは現在の(バレバレの)手順でかけなければいけないわけで、ここが何というか、アレゲ的には狙い目というか(おい)。
ソニーがどのような手を打ってくるか楽しみですね:-P こっそりやるかな? PSXなどの前例ではネットワークアップデートは事前予告がありましたが、今回は餌を撒いているようなものですし(笑)。まあどのみち既に、どこかの数寄者が365日24時間監視体制に入っているでしょうが……。
-May the sakura-cards be with you.-
Re:中の人も大変だな (スコア:0)
別にアップデートファイルそのものはスニッフィングされてても
どうやら問題なさげというか
既にこのファイルの段階で今のところ肝心の部分はAES128bitで暗号化されている説が有力です。
Re:中の人も大変だな (スコア:0)
そんなとこにファイルを置いとく訳無いじゃないですか
'`,、'`,、('∀`) '`,、'`,、
工エエェェ(´д`)ェェエエ工工
Re:中の人も大変だな (スコア:0)
Re:中の人も大変だな (スコア:0)
> 現在はダミーデータを垂れ流しているそうですが、
そんなこたーない。元タレコミ他、関連リンクをちゃんと読むことをお薦めする。
あと、アップデート手法が既知だ
Re:中の人も大変だな (スコア:1)
タレコミに、
とありましたので引用しました。ただ、私自身が「PSPネットワーク検証サイト」で紹介されていたこのURI(~update-image01)にアクセスしたときは単純に404でしたので、書いていて自分で一番自信がなかった所なのは事実です(苦笑)。なので「~そうですが」と伝聞調にしましたが、ダミーだろうが404だろうが「元からあった物が消えている」のは同じことなので、不確定情報のまま言及する必要のない、余計なものでしたね。「ダミーデータ流している(SCE側がアクセスに気付いている)」という点が面白かったのでつい調子に乗ってしまいました。
ファイルの暗号化については#676761でも言及されていますね。そりゃいきなりこれで「PSPのファームが解析できる!」とかアレ(not アレゲ)なことを言うつもりはないですが、分からないより分かったほうが「おもしろい」ですよね。別に本気でクラックして企業秘密を盗もうとか思っている人もそんな居ないでしょうから、スラド的にはそれで十分かと。
現状でも、今後複数回アップデートがされた際に、イメージを全て取っておいて入れ替える、くらいの「遊び」は提案できると思います。いや、初回アップデートで通信暗号化などの対策が取られたら駄目ですが。
その割にはサーバーから返すメッセージに管理者(開発者?)のものらしきコメントが入っていたり、それこそテスト用ファームが落とせたりしたわけですが……。こうして暴露されるのも折り込み済み? いくら実害ないからといってコンシューマ・ハードウェアとして一般人からはいい印象を受けないと思いますが(アレゲからは歓迎されますが)。って一般人は知らない or 気にしないか。ともあれ、SSLくらい使わないのかなあ、と個人的には思います。
-May the sakura-cards be with you.-
Re:中の人も大変だな (スコア:0)
PSPからのリクエストを辿っていったらファイルがあったのではなくて、
サーバのホスト名を総当り的に類推して探していますよ。
当該サーバを止めたところで「実際のPSPからの確認ができなくなる」
なんてことは有り得ません。
未告知だが外に公開された場所に置かれていたのは確かですが。
Re:中の人も大変だな (スコア:1)
この二つがイコールでないことは理解していますが、最初のサーバーに到達したからこそ、(総当たり類推だろうが何だろうが)実際にファイルがあるサーバーまで到達したんですよね。本番でも同じことが起こりうるのでは? と考えると遮断できないのは痛いでは、という主旨でした。
……と思ったけどよくよく考えたら、さすがに連番のサブドメインはやめるかもしれませんねえ。
-May the sakura-cards be with you.-