ブルアカのゲーム内告知にブラウザからアクセスができたと言う話
ブルアカのゲーム内告知に、ブラウザからアクセスをすることができた。それだけ。
ゲーム内告知はwebページだった
ゲーム内告知(お知らせ)のフォントがゲーム内のものと違って、ウェブフォントらしきものだった。その他にも挙動がWebページに似ていたので色々試してみたらアクセスができた。
当たり前だがWebページはHTMLで書かれていて、フォントはウェブフォントのKosugi Maruを使用していた。
対策はしないのか?
CORSを使用すれば対策できそうではあるけど…アクセスされても問題ないのだろうか。とは言え、運営的にはブラウザからアクセスされることは想定していないと思うので、ドメインは伏せておく。
以下は2025/3/9時点で確認できた告知のURLの一部だ。
prod/867/3244/index185687394.html
prod/869/3247/index982467491.html
prod/870/3250/index259833851.html
prod/871/3251/index898467098.html
prodはそのままの意味。prodの一つ下と更にその一つ下のディレクトリだが、ここは連番っぽく見えるものの番号が飛んでいる。
告知順に番号を振っているわけではなく、カテゴリーごとに分けられているのだろう。
ファイル名はindex[乱数].htmlという形式になっているため、「過去の告知にアクセス仕放題!」みないなことはできなさそう。
調べたら他にも出てきた
Googleでさっきのドメインとサブドメインを検索してみたら、2021年くらいの告知が3つ出てきた。クローラのブロックはしていないらしい。雑過ぎない?
最近の告知は出てこなかったので、現在はすでにブロックしているのかも。
他にも、ホーム画面に表示するコンポーネントの情報が書かれたJSONファイルがあり、そこにガチャ確率のページのURL書いてあった。ガチャ確率もブラウザで表示してたのか…普通にアクセスできたし、こっちはディレクトリがガチャの出た順で連番になっていたので、過去のものにもアクセスができた。
ちなみに一番最初のガチャはこんなかんじ(今より星3確率が低い!?)