2ちゃんねるブラウザ「JaneView」 Part82
まだ新旧の仕様を調べているだけで実装して試していませんが、ざっと動作を再確認してピックアップした●の問題点。
開発室へは最低限、開発版で動作を確認してから行きます。
●仕様の問題点(新旧とも)
セッションIDが平文で流れているので、過去ログ取得/書き込みをプロキシを経由して行うとプロキシからはSIDが丸見えで、
プロキシの管理人は●をセッションハイジャックできる。対策するならダイジェスト認証やHTTPSが必要。
Janeの実装の問題点
Jane2ch.iniの隠しオプションとして、ホストが2ch内かどうかを判断する基準となるドメインをBBSMENUセクションの
2chServersに設定できる。(2chに新ドメインが追加された場合の、Janeのアップデートまでの暫定対応用?)
Janeはここにあるドメインのサーバへの書き込みや過去ログ取得で●のセッションIDを送る。
ここに、外部板でのJaneの動作を変えるために2ch以外のドメインを追加している人がおり、
そのような場合にはセッションIDが2ch以外のサイトに送られる可能性がある。
1番目の●の仕様が今まで問題にならなかったのも不思議なので、既に結論の出た話だったり、なにかこっちが勘違いしてるのかもしれません。
開発室へは最低限、開発版で動作を確認してから行きます。
●仕様の問題点(新旧とも)
セッションIDが平文で流れているので、過去ログ取得/書き込みをプロキシを経由して行うとプロキシからはSIDが丸見えで、
プロキシの管理人は●をセッションハイジャックできる。対策するならダイジェスト認証やHTTPSが必要。
Janeの実装の問題点
Jane2ch.iniの隠しオプションとして、ホストが2ch内かどうかを判断する基準となるドメインをBBSMENUセクションの
2chServersに設定できる。(2chに新ドメインが追加された場合の、Janeのアップデートまでの暫定対応用?)
Janeはここにあるドメインのサーバへの書き込みや過去ログ取得で●のセッションIDを送る。
ここに、外部板でのJaneの動作を変えるために2ch以外のドメインを追加している人がおり、
そのような場合にはセッションIDが2ch以外のサイトに送られる可能性がある。
1番目の●の仕様が今まで問題にならなかったのも不思議なので、既に結論の出た話だったり、なにかこっちが勘違いしてるのかもしれません。
|
|
|