削除スクリプト開発スレ (876レス)
上
下
前
次
1-
新
532
:
garnet ★
2011/01/20(木)05:33
HOST:???
AA×
[240|
320
|
480
|
600
|
100%
|
GIF
|
べ
|
レス栞
|
レス消
]
532: garnet ★ [sage] 2011/01/20(木) 05:33:30 ID:発信元:??? なんか運用の再検討の話が止まってるっぽいけど、 あとは適当(でたらめにあらず)におまかせーなのかしら。 それともメールでこっそり要望してるのかしら。 はてまた動いてから文句いおうと思ってるのかなw 結論がでてるっぽいところを今回どうしたか一応書いてみようかな。 スクリプトの話でいうと、メール送信するわけでもないのでメアドはいらないのよね。 そもそもの役割が、他人に教えにくいからPWになったわけで、 じゃぁ漏れてもいいようにするには関連性のない適当なIDとPWで十分と。 PWもランダムに生成することで推測攻撃は防げるし、 総当たり攻撃にはある程度の長さがあれば問題にはならない感じ。IDは後述。 漏れるという状況はアカウント保持者の視点から見て 意図的に漏らす場合と、知らないところで漏れた場合があって、 どっちも防ごうとすると大変なので、知らないところで漏れる場合を想定して いくらパスワードを増やしても最悪の場合には意味がないよね。 じゃどうしたらいいかというと、IPで制限したり、 スクリプトでの作業のパターンを分析して判別したり、 他にもきっと凄い仕組みがあるとおもうのだ。 でも諦めも肝心なわけでして。 最低限IDとPWがあって、IDとスキルが紐付けられていれば使えるけど、 サブキーや呪文は必要かどうかということについて。 呪文によって処理内容が変わるので、万が一処理内容に問題があっても 知らなければ実行できないという予防の意味もあったり。 ただ、いっぱいスクリプトを作っても基本的な部分は同じなことと、 作った後に手間が待ってるので入り口は1つ、でも処理は別な仕組みにした。 サブキーは手間だけが増えるのでボツ。 機能面も書いておこう。 IDとPWは一切持ちません。全部ハッシュ化します。 ただ、利便性の為に名前を登録してあります。 「削除なんとか」かもしれないし、「いついつに採用した人」かもしれないし、 「×回もミスした人」かもしれないし何になるかは内緒(登録者次第)です。 漏れても困らないやつが保存されてます。むしろ漏れたら楽しいことになります。 サーバからIDとPWを出力するのをやめたので、 認証(ログイン)後のスクリプトの操作にはセッションIDが必要になりました。 セッションIDはIPをごにょごにょして生成するので、 XSSとかで奪ってもスクリプトの実行は難しくなってます。 さらにページを移動する度にセッションIDが変更になるので、 ブラウザの戻るボタンは使えなくなりました。使えなくなりましたよ? 当然のことながら、IDとPWとそれっぽいデータを送っていきなり削除なんてのも無理です。 某Itadakiさんがんがれ。超がんがれ。 ログにはハッシュと、そしてIPアドレスが生で書いてあります。 将来的にIPで制限したい人ができるようにしたり、 管理視点で不正ログインを検出するのに必要なのです。 なので、串ころころな人は時々確認の意味でお呼びがかかるかも。 IPが生なのはスクリプトで暗号化も復号化もすると漏れたときに 最悪の結果同じことなのでそこまでする必要がないかなと。 こんなところで。 今日は調子がよくなかった。明日から本気出す! http://mevius.5ch.net/test/read.cgi/sakhalin/1294397915/532
なんか運用の再検討の話が止まってるっぽいけど あとは適当でたらめにあらずにおまかせーなのかしら それともメールでこっそり要望してるのかしら はてまた動いてから文句いおうと思ってるのかな 結論がでてるっぽいところを今回どうしたか一応書いてみようかな スクリプトの話でいうとメール送信するわけでもないのでメアドはいらないのよね そもそもの役割が他人に教えにくいからになったわけで じゃぁ漏れてもいいようにするには関連性のない適当なとで十分と もランダムに生成することで推測攻撃は防げるし 総当たり攻撃にはある程度の長さがあれば問題にはならない感じは後述 漏れるという状況はアカウント保持者の視点から見て 意図的に漏らす場合と知らないところで漏れた場合があって どっちも防ごうとすると大変なので知らないところで漏れる場合を想定して いくらパスワードを増やしても最悪の場合には意味がないよね じゃどうしたらいいかというとで制限したり スクリプトでの作業のパターンを分析して判別したり 他にもきっと凄い仕組みがあるとおもうのだ でも諦めも肝心なわけでして 最低限とがあってとスキルが紐付けられていれば使えるけど サブキーや呪文は必要かどうかということについて 呪文によって処理内容が変わるので万が一処理内容に問題があっても 知らなければ実行できないという予防の意味もあったり ただいっぱいスクリプトを作っても基本的な部分は同じなことと 作った後に手間が待ってるので入り口はつでも処理は別な仕組みにした サブキーは手間だけが増えるのでボツ 機能面も書いておこう とは一切持ちません全部ハッシュ化します ただ利便性の為に名前を登録してあります 削除なんとかかもしれないしいついつに採用した人かもしれないし 回もミスした人かもしれないし何になるかは内緒登録者次第です 漏れても困らないやつが保存されてますむしろ漏れたら楽しいことになります サーバからとを出力するのをやめたので 認証ログイン後のスクリプトの操作にはセッションが必要になりました セッションはをごにょごにょして生成するので とかで奪ってもスクリプトの実行は難しくなってます さらにページを移動する度にセッションが変更になるので ブラウザの戻るボタンは使えなくなりました使えなくなりましたよ? 当然のことながらととそれっぽいデータを送っていきなり削除なんてのも無理です 某さんがんがれ超がんがれ ログにはハッシュとそしてアドレスが生で書いてあります 将来的にで制限したい人ができるようにしたり 管理視点で不正ログインを検出するのに必要なのです なので串ころころな人は時確認の意味でお呼びがかかるかも が生なのはスクリプトで暗号化も復号化もすると漏れたときに 最悪の結果同じことなのでそこまでする必要がないかなと こんなところで 今日は調子がよくなかった明日から本気出す!
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 344 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
ぬこの手
ぬこTOP
0.084s