画像をハックされないようにする仕組みを考察

艦これの画像はハックされやすいので、ハッシュ化すると良い。

http://server/image/000.png?hash=XXXXXXXXXX

1.ハッシュ値 = セッショントークン + 画像ファイルで生成
2.サーバー側で、チェック

セッショントークンは、セッション時の token を使っても良いし、ログインID から生成する固定値でもよい。

こうすると画像の直接抜き取り（001.png, 002.png...）ができなくなるので、デスクトップアプリのゲームでも画像コレクションの意味があるかなと。まあ、そこまでやるかどうかは別なんですが。

token の更新周期は、ブラウザのキャッシュの周期に合わせたほうが無難。というのも、画像ファイルや音声ファイルの場合はキャッシュを当てにするほうがゲームがスムースになるので、キャッシュを有効利用するほうがよい。

URL 自体を直抜きされると、画像ファイルを使えるのだが、それはキャッシュから拾うこともできるので同じ。どちらかというと「まだコレクションされていない画像ファイルを、抜き取ることができる」というのが、コレクションゲーム上問題になる（場合がある？）ので、課金ゲーム的には用意したほうがよいかなと。