削除スクリプト開発スレ

削除スクリプト開発スレ (876ﾚｽ)
上下前次 1-新
通常表示 512ﾊﾞｲﾄ分割ﾚｽ栞

532: garnet ★ [sage] 2011/01/20(木) 05:33:30 ID:発信元:???

なんか運用の再検討の話が止まってるっぽいけど、
あとは適当（でたらめにあらず）におまかせーなのかしら。
それともメールでこっそり要望してるのかしら。
はてまた動いてから文句いおうと思ってるのかなｗ

結論がでてるっぽいところを今回どうしたか一応書いてみようかな。

スクリプトの話でいうと、メール送信するわけでもないのでメアドはいらないのよね。
そもそもの役割が、他人に教えにくいからPWになったわけで、
じゃぁ漏れてもいいようにするには関連性のない適当なIDとPWで十分と。
PWもランダムに生成することで推測攻撃は防げるし、
総当たり攻撃にはある程度の長さがあれば問題にはならない感じ。IDは後述。

漏れるという状況はアカウント保持者の視点から見て
意図的に漏らす場合と、知らないところで漏れた場合があって、
どっちも防ごうとすると大変なので、知らないところで漏れる場合を想定して
いくらパスワードを増やしても最悪の場合には意味がないよね。
じゃどうしたらいいかというと、IPで制限したり、
スクリプトでの作業のパターンを分析して判別したり、
他にもきっと凄い仕組みがあるとおもうのだ。
でも諦めも肝心なわけでして。

最低限IDとPWがあって、IDとスキルが紐付けられていれば使えるけど、
サブキーや呪文は必要かどうかということについて。
呪文によって処理内容が変わるので、万が一処理内容に問題があっても
知らなければ実行できないという予防の意味もあったり。
ただ、いっぱいスクリプトを作っても基本的な部分は同じなことと、
作った後に手間が待ってるので入り口は1つ、でも処理は別な仕組みにした。
サブキーは手間だけが増えるのでボツ。

機能面も書いておこう。

IDとPWは一切持ちません。全部ハッシュ化します。
ただ、利便性の為に名前を登録してあります。
「削除なんとか」かもしれないし、「いついつに採用した人」かもしれないし、
「×回もミスした人」かもしれないし何になるかは内緒（登録者次第）です。
漏れても困らないやつが保存されてます。むしろ漏れたら楽しいことになります。

サーバからIDとPWを出力するのをやめたので、
認証（ログイン）後のスクリプトの操作にはセッションIDが必要になりました。
セッションIDはIPをごにょごにょして生成するので、
XSSとかで奪ってもスクリプトの実行は難しくなってます。
さらにページを移動する度にセッションIDが変更になるので、
ブラウザの戻るボタンは使えなくなりました。使えなくなりましたよ？
当然のことながら、IDとPWとそれっぽいデータを送っていきなり削除なんてのも無理です。
某Itadakiさんがんがれ。超がんがれ。

ログにはハッシュと、そしてIPアドレスが生で書いてあります。
将来的にIPで制限したい人ができるようにしたり、
管理視点で不正ログインを検出するのに必要なのです。
なので、串ころころな人は時々確認の意味でお呼びがかかるかも。
IPが生なのはスクリプトで暗号化も復号化もすると漏れたときに
最悪の結果同じことなのでそこまでする必要がないかなと。

こんなところで。
今日は調子がよくなかった。明日から本気出す！

http://mevius.5ch.net/test/read.cgi/sakhalin/1294397915/532

上下前次 1-新書関写板覧索設栞歴

あと 344 ﾚｽあります
ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 0.005s