【規制議論板】質問でも雑談でもOKのスレッド★200
●には以下の認証のための情報がある。
・User ID・・・普通メールアドレス
・パスワード・・・User IDと組のパスワード
・セッションID・・・有効期限付きで●認証鯖から発行される。bbs.cgiとofflaw.cgiに投げる。
・暗号化●ID(非公式名)・・・2ちゃんねるの規制人が●を規制するためのもの。
●の仕様文書によれば、●を使うには次のような手順をとる。
UserIDとパスワードを●認証鯖にSSL通信で送ってセッションIDを得る。ここは暗号化されてて読まれない。
セッションIDをbbs.cgiとofflaw.cgiに送る段階では暗号化してないのでセッションIDを読まれる可能性はある。
問題は、セッションIDを盗まれることは危険か、ということだ。
俺の考えでは、セッションIDは●認証鯖にアクセスしたIPアドレスからのみ利用可能などとなっていれば
例えセッションIDを読まれたところでそれほど問題はないはずである。
ただし、罠串の中の人には●を不正使用されてしまう。自分の串を通して取得されたセッションIDを読み取って、
同様に自分の串で使えば何ら問題ない。
セッションIDには有効期限があるが、私の経験ではそれは12時間くらい(長くとも24時間)であり、
京都府警などの専門の捜査機関や、或いはニートなどの暇人が罠串を設置しているとすれば、
簡単に悪用されてしまだろうと考える。
●を信頼できない串を通して使うのは危険だと考える。
2ちゃんねるができる解決策はbbs.cgiとofflaw.cgiにSSL経由でアクセスできるようにすること、
セッションIDの有効期限を短くすること、認証方法を問題ない方法に根本的に変えること、ぐらい。
>>288
不正アクセス禁止法に抵触する気がする。ソースはない。
・User ID・・・普通メールアドレス
・パスワード・・・User IDと組のパスワード
・セッションID・・・有効期限付きで●認証鯖から発行される。bbs.cgiとofflaw.cgiに投げる。
・暗号化●ID(非公式名)・・・2ちゃんねるの規制人が●を規制するためのもの。
●の仕様文書によれば、●を使うには次のような手順をとる。
UserIDとパスワードを●認証鯖にSSL通信で送ってセッションIDを得る。ここは暗号化されてて読まれない。
セッションIDをbbs.cgiとofflaw.cgiに送る段階では暗号化してないのでセッションIDを読まれる可能性はある。
問題は、セッションIDを盗まれることは危険か、ということだ。
俺の考えでは、セッションIDは●認証鯖にアクセスしたIPアドレスからのみ利用可能などとなっていれば
例えセッションIDを読まれたところでそれほど問題はないはずである。
ただし、罠串の中の人には●を不正使用されてしまう。自分の串を通して取得されたセッションIDを読み取って、
同様に自分の串で使えば何ら問題ない。
セッションIDには有効期限があるが、私の経験ではそれは12時間くらい(長くとも24時間)であり、
京都府警などの専門の捜査機関や、或いはニートなどの暇人が罠串を設置しているとすれば、
簡単に悪用されてしまだろうと考える。
●を信頼できない串を通して使うのは危険だと考える。
2ちゃんねるができる解決策はbbs.cgiとofflaw.cgiにSSL経由でアクセスできるようにすること、
セッションIDの有効期限を短くすること、認証方法を問題ない方法に根本的に変えること、ぐらい。
>>288
不正アクセス禁止法に抵触する気がする。ソースはない。
|
|
|