大好きなパケットをぱくぱく食べていてふと思った。

http://app.rakoo.jp/farm.php?do=act&type=friend&oid=XXXX

こういうのがあり、oidはmixi IDなのですが、農園の状態を取れる項目があります。
他人のIDを入れると丸見え(笑）
本来はmixiにログインしている状態でなければ、取れてはいけないと思うのですが、
セッション管理はされていないようです。

全てがそう言う状態なので、マイミクではない人のデータを見ることも出来ちゃうんですね(笑）
なんてすてきーっ

また、他の物も・・・

http://app.rakoo.jp/farm.php?do=act&type=farm&oid=4XXXX&uid=18YYYYY

とゆーことで、赤の他人同士(マイミクじゃない人同士）でもつつくことが出来るようです。
パラメータについては一切記載しないほうこうにしてみます。

あとは、ウェブアプリ専門のひとが、つづきをいじってくれるでしょうｗ

あと、Cookieを見ている限りでは、BIGipServerrappli.jp_port80=822083594.20480.0000 というのがあるので、
ロードバランサーには、BIGIPをつかっているのでしょう。
結構お金有る会社なのね。（ぉ

ついでに、

*.app0.mixi-platform.com

なんてものもあるのか...