chatwork api危なくね？ - tekitoumemo’s diary

技術ネタ。

※セキュリティの知識がほとんどないけど偉そうに書くよ！

chatworks api
http://developer.chatwork.com/ja/authenticate.html
いろいろいじってみた。簡単。

まず、ここでtoken取得

HTTPリクエストヘッダに X-ChatWorkTokenと言うキーをセットして取得したtokenをvalueへ。

認証完了。

これブルートフォースアタックくらったらどうなんの？
記憶上だとtokenが結構短かった気がする。まぁ対策してんだろうけど。

roomidが連番（だった気がする）
適当な数字で大体該当。っかこれkeyじゃね？
http://developer.chatwork.com/ja/endpoint_rooms.html

重要
API トークンは有効期限がなく、機能にフルアクセスが可能なものになっています。第三者へ開示しないよう取り扱いには十分ご注意ください。また、API トークンはURLのクエリストリングではなく必ずHTTPリクエストヘッダで送信するようにしてください。

アカン

ユーザー数が多い。
ここにも書いてあるけど10万社導入（すげぇ）。100〜500万ユーザーぐらいいそう。
http://blog-ja.chatwork.com/2016/06/cwblog_16.html?m=1
多ければその分のtoken、roomidとか発行されてるから大丈夫なんか？

mvc使ってない?ベタがき？

slackで良くね？