いつかはきっと答えが出るスレッド
http://www.tora3.net/japanese/system.html
http://kage.monazilla.org/system_DOLIB100.html
登録後、●を使う時はユーザは「ID」と「パスワード」
をTora3サーバにを送って認証請求をする。
認証審査を通って正規ユーザである確認が取れると、
期限付きでそれを証明する「セッションID(以下SID)」
がTora3サーバから発行される。
そして閲覧や投稿の際に「SID」を2chサーバに送ると、
●ユーザのみのサービスを受ける事ができる。
って感じかな。
つまり2chが知りえるのは「SID」のみと言う事。
http://kage.monazilla.org/system_DOLIB100.html
登録後、●を使う時はユーザは「ID」と「パスワード」
をTora3サーバにを送って認証請求をする。
認証審査を通って正規ユーザである確認が取れると、
期限付きでそれを証明する「セッションID(以下SID)」
がTora3サーバから発行される。
そして閲覧や投稿の際に「SID」を2chサーバに送ると、
●ユーザのみのサービスを受ける事ができる。
って感じかな。
つまり2chが知りえるのは「SID」のみと言う事。
|
|
|
んじゃ、その「SID」とは何か?正規SIDと偽造SIDの区別は
どこで付けるのか?って話。
●を使う時の通信ログを見ると判るんだけど、SIDってのは
DOLIB仕様書の例にある通り「DA|M@Lp,VEYDPettDv8n・・・」
っていうわけわかめな文字列。
しかも、Tora3から認証もらうたびにSIDは変わってる。
そこで思うに、「SID」とは「有効期限」と「ID」を何らかの
「鍵」を使って暗号化したものではなかろうか。
ユーザからSIDが送られてきたら、2chは同じく「鍵」を使って
SIDを復号し、有効期限とIDを確認しサービスを提供する。
復号できなければ偽造されたSIDと言う事。
#もちろん、復号できても有効期限が過ぎていればアウト。
##ああ、SIDに入ってるのは有効期限じゃなくて発行日時かもな。
どこで付けるのか?って話。
●を使う時の通信ログを見ると判るんだけど、SIDってのは
DOLIB仕様書の例にある通り「DA|M@Lp,VEYDPettDv8n・・・」
っていうわけわかめな文字列。
しかも、Tora3から認証もらうたびにSIDは変わってる。
そこで思うに、「SID」とは「有効期限」と「ID」を何らかの
「鍵」を使って暗号化したものではなかろうか。
ユーザからSIDが送られてきたら、2chは同じく「鍵」を使って
SIDを復号し、有効期限とIDを確認しサービスを提供する。
復号できなければ偽造されたSIDと言う事。
#もちろん、復号できても有効期限が過ぎていればアウト。
##ああ、SIDに入ってるのは有効期限じゃなくて発行日時かもな。
んで、書き込みの際に使われた●のIDを記録していたのねん、
そして見ちゃったのねん、更に公開しちゃったのねん。
ってことじゃないかなーと思っていたり。
で、嘘かほんとか知らないけど、今度からはSIDに含まれるIDも
更に暗号化しちまおうって話でそ?
SIDを復号しても有効期限と「"暗号化された"ID」しかわからんく
なると。
でで、「"暗号化された"ID」を復号できるのはTora3だけで、
2chはユーザのID=メールアドレスはわからんくなると。
おしまい。
そして見ちゃったのねん、更に公開しちゃったのねん。
ってことじゃないかなーと思っていたり。
で、嘘かほんとか知らないけど、今度からはSIDに含まれるIDも
更に暗号化しちまおうって話でそ?
SIDを復号しても有効期限と「"暗号化された"ID」しかわからんく
なると。
でで、「"暗号化された"ID」を復号できるのはTora3だけで、
2chはユーザのID=メールアドレスはわからんくなると。
おしまい。