bbs.cgi再開発プロジェクト４

**桃太郎 ★** · 04/12/02 19:52:43

peko鯖の稼動によりﾎﾞﾄﾙﾈｯｸの一つである事がより明らかになった
bbs.cgi作り直しプロジェクトです。

開発環境の工事現場
また挑戦。＠2ch掲示板http://dso.2ch.net/myanmar/

関連は>>2-

**動け動けウゴウゴ２ちゃんねる** · 04/12/14 19:29:10

日付が変わったときに$FOX->{MD5DATE}を更新してないような気がする。

**FOX ★** · 04/12/14 19:32:22

おおっ

**FOX ★** · 04/12/14 19:34:04

>>848のbbs.cgi が呼ばれるたびにの部分を変更

$FOX->{$GBX->{FORM}->{'bbs'}}->{MD5NUMBER} = &foxCheckMD5id(
$GBX->{FORM}->{'bbs'},
$GBX->{MD5DATE},
$FOX->{$GBX->{FORM}->{'bbs'}}->{MD5NUMBER},
$FOX->{MD5DATE});
$FOX->{MD5DATE} = $GBX->{MD5DATE};

**FOX ★** · 04/12/14 19:34:27

あつっ

これじゃまずいか。。。

**FOX ★** · 04/12/14 19:37:04

ん?
そうでもないか?

なんか今日は調子悪いなぁ
こんな日は飲んだくれるに限るか、

>>855 になってます
おかしいとこ指摘よろしく～

**FOX ★** · 04/12/14 19:55:01

ex9 にいれてみるー

今晩、観察しててね

**動け動けウゴウゴ２ちゃんねる** · 04/12/14 19:57:18

>>858
つ[ﾍﾊﾟﾘｰｾﾞ]

いってらっしゃ～い。

**動け動けウゴウゴ２ちゃんねる** · 04/12/14 22:27:28

日付が変わったら無条件でmd5.cgiを作り直すのは
マズいような気がしてきた。

**動け動けウゴウゴ２ちゃんねる** · 04/12/14 22:32:17

sub foxCheckMD5id
{
my ($bbs,$md5date,$num,$dateFox) = @_;
if($dateFox eq $md5date)
{
return $num;
}

my $md5datefile = "../$bbs/md5.cgi";
if(open(MD5FILE, "<$md5datefile"))
{
my $md5line = <MD5FILE>;
close(MD5FILE);
my ($a, $b) = split(/<>/, $md5line, 2);
if ($a eq $md5date) {
return $b;
}
}
return &foxCreateMD5id($bbs,$md5date);
}

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 00:05:56

http://dso.2ch.net/test/read.cgi/myanmar/1101908313/291-296

日付の変わり目でIDが不安定になる模様。

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 00:11:05

日付が変わってもＩＤが変わらないんですが仕様でしょうか

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 00:15:25

ex7も日付の変わり目にIDが2回変わりました

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 00:38:51

ex9の格闘技板ですが、日付変わってもＩＤ変わってません。

**FOX ★** · 04/12/15 05:37:18

さて
どこに隙があるんだ?

ex7は旧来のままなんで「気のせい」ということで
よろしく

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 10:29:18

>>866
どうせまたおまいがやったんだろ。
正直に言っちゃえよ、楽になるぞ。

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 10:48:46

かつどん、食うか？

鏝 · 04/12/15 14:18:29

　1)０時付近で変わっても気にしない
　2)自作自演昨日として宣伝
　3)Bananaはmaido3まで

**FOX ★** · 04/12/15 14:22:30

>>861
ふむふむ

これにして今晩観察@ex9

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 16:10:11

旧式のID機能でも
23:59:59以前 -> 0:00:00ジャスト -> 0:00:01以降
で変化したことなら目撃したことあるよ

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 17:15:52

>>871
それは/dev/urandom から取ってきたのを保存するファイルにロックをかけてないからでしょ？

**某ソレ47** ◆ap/yuix/tw · 04/12/15 17:33:45

「IDは日付が変わるぐらいに変わります」でいいと思うけどな。

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 17:44:55

・FreeBSD 5.xなら/dev/urandomよりも/dev/randomのほうが良いかも

・種ファイルをhogehoge_date "+%Y%M%d"という感じであらかじめ23:55ぐらいに自動生成してもいいのかも
日付が変わる時のロックがいらない。

・ロックファイルを作るときに、openした直後にunlinkするというTipsがある。
プロセスが異常終了したらOSによりunlinkされるし、動作中はunlinkされないので便利。
ttp://ns1.php.gr.jp/pipermail/php-users/2004-November/024120.html

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 17:47:23

>874
あー間違えた。
date -v+1d "+%Y%M%d"のフォーマットで。という意味ね。
Perlで書き直す必要はあるけど。

**動け動けウゴウゴ２ちゃんねる** · 04/12/15 20:23:42

自動生成するんなら、シェルスクリプトにしてcronすればいい

**ひろゆき＠どうやら管理人 ★** · 04/12/16 01:29:06

headad.txtを読み込んでいない気がします。
http://life7.2ch.net/mental/index.html

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 01:46:13

そりゃあてぇheada

**FOX ★** · 04/12/16 05:59:16

>>887
更新してからのタイムラグがあるという事ではなくて
実際に全然反映されていないですか?

もしタイムラグ(最大10分の設定)だったら
我慢できませんかねぇ?

全く反映されていない場合はなおすですー
でも今みると反映されているような、

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 06:00:52

未来レスﾊｹｰﾝ!!

**FOX ★** · 04/12/16 06:01:57

あっちゃ

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 08:05:42

ﾄﾞﾝﾏｲ

◆MOMOwomoIk · 04/12/16 08:29:08

887のレスに弊社の社運を感じる。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 11:43:24

>850
my $idnum = md5_hex($tane);
$md5->add(substr($idnum,-4));

substrの-4って何だろう
IDの種類を制限するためのものだろうか

**未承諾広告※** ◆TWARamEjuA · 04/12/16 12:35:25

>>884
65536種類に限定しているので、ごく希に違うホストなのに同じIDが出てアタフターな事が起こっているようなのです。

04/12/16 14:01:03

>885
もしIDが(1日,1板で)65536種類に限定されているとするならば、
2つの別々のホストから同じIDが出る確率は(1日あたり)次の通りとなる

住人数確率
2: 0.0015%
50: 1.8523%
100: 7.2784%
150: 15.6881%
200: 26.2109%
250: 37.8447%
300: 49.6112%
400: 70.4809%
500: 85.1681%
1000: 99.9529%

…………到底 'ごくまれ' とはいえないな
単に '気づかないことが多い' だけだったのか

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 14:17:41

>>877へ

**FOX ★** · 04/12/16 14:20:53

ID 生成部変更するなら今がチャンス　!!
この機械を逃がすと・・・　二度と変更されないかもだ

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 14:24:02

マッシーン

**某ソレ47** ◆ap/yuix/tw · 04/12/16 14:25:05

perl分からないよう。
この際IDの桁数を増やすとかどうでしょ。

**▲ 某ソレ511** · 04/12/16 14:56:50

s/a/あ/g;

ごめんなさい冗談ですすいませんで

**▲:/usr/local/bin/ch2 -o i686** ◆P8fXJj6wwo · 04/12/16 15:02:14

890=891?

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 16:35:56

IDをIPの上位から生成するのはどうだろう。
繋ぎ換えでは変え難くなるし、ご近所さんが判って楽しい。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 17:46:11

>>ﾔｸｻﾞ
いや、同じになったら意味ないでしょ。凄いことになっちゃうぞ。

IDは12桁ぐらいがいいかなぁ。長すぎてもあれだし。
あとついでだから日付だけじゃなくて年月も入れようぜ。

**FOX ★** · 04/12/16 17:52:30

ちなみに
毎月同じ日にちの日は同じIDになるという噂があるど、

本当なの?
そして、なぜそうなるの?

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 18:03:13

中の人がわからんでどうする（＾＾；

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 18:04:27

そういやなぜだろう……。
日替わり乱数が入ってるはずなのに。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 18:06:41

固定IPだと毎月同日同板は同じIDになることあります。なんどか体験しました。

**FOX ★** · 04/12/16 18:08:36

自分で書いたコードでさえ・・・なのに
いわんや・・・おや

t522193.ipgw.phs.yoyogi.mopera.ne.jp ◆arc/U573Xw · 04/12/16 18:43:41

>>895
規制議論でYahooの人のIDが一ヶ月前と一緒だった記憶がある。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 19:29:40

乱数の初期化が怪しいと思われ。
ちゃんとseed渡してるの？
（渡してないと毎回同じ乱数しか出ないかも）

と思ったら/dev/randomか・・・

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 19:35:49

IDとトリップについて馬鹿の俺が天才な君達に質問
http://science3.2ch.net/test/read.cgi/math/1091321525/

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 19:43:16

固定IPで同じ板に毎日かいてて、IDにUDだしたことある人は、毎月1台UD用PC追加・・・？
うそーんｗ

**未承諾広告※** ◆TWARamEjuA · 04/12/16 22:39:23

sub Make_ID($$$){
# 引数は・・・
# 板名
# time 値
# IPアドレス
# 返り血はID文字列
use Digest::MD5;
my ($BBS_name, $time, $IP_Address) = @_;
my $ID_2ch = Digest::MD5->new();
$ID_2ch->add(qx|uname -v|); # 鯖固有の文字列とか。
$ID_2ch->add($BBS_name); # 板のディレクトリ名ね。
$ID_2ch->add(int($time/86400)); # 純粋に日を基準単位に。
$ID_2ch->add($IP_Address); # 丸ごと豆乳。
return substr($ID_2ch->b64digest,-9,8); # ちょんぎるして戻るり。
}

・/dev/random にアクセスしないのでHDDにも優しいかな？
・uname -v の値を知っている人は、★の中の人「だけ」だと思うし。
・IDが被る確率は、遙かに少なくなっていると思うし。
・なんてったってアイドルだし（はぁと）

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 22:42:37

>>904
逆算しやすそうですね。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 22:49:36

>>904
それだとわからないのはuname -vだけ
（自分のIPやら日付やらpathやらはわかる）
だからIPからuname を総当りで求めて
検証が終わったらば他の人のIPも求まるだろう。
32ビット整数ぐらい割といける。

そのためのrandomですよ。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 22:58:05

$time/86400 て必ず余らない時が00:00:00なの？

**未承諾広告※** ◆TWARamEjuA · 04/12/16 22:58:06

>>906
> だからIPからuname を総当りで求めて
総当たりって！？うちの林檎機でもこれだけの文字列が出てくるけれども、、、

Macintosh:~ root# uname -v
Darwin Kernel Version 7.6.0: Sun Oct 10 12:05:27 PDT 2004; root:xnu/xnu-517.9.4.obj~1/RELEASE_PPC

あんぽんたんにでもわかりやすい解説ｷﾎﾞﾝﾇですm(_ _)m

**未承諾広告※** ◆TWARamEjuA · 04/12/16 22:59:28

>>907
UTC だから、+ 9 * 3600 かもですm(_ _)m

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 23:33:09

uname -v だと公開してしまうと
ある程度書式がありますよね。

FreeBSDなら
FreeBSD 5.1-RELEASE-p8 #0: Sat Sep 27 11:17:53 GMT 2003
見たいな感じで

頭から言うと
FreeBSDは変わらないし、
バージョンだって10.20とかないし、
RELEASEでないとしてもSTABLEとかあるていどきまってるし、
年月日では
月はAprとかDecとかしか入らないとか
曜日はSunとかMonだとか
などと考えると組み合わせの数は現実的になりますよ。
そうするとOS頻繁に変えるとかいうんでなければ解析は可能でしょう。

んでunameが割れると今度はそっちにあててIP解析もできるんじゃないかなぁと。

っと長い割には判りにくいかもです。すいません。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 23:34:41

>>909
そこは足したり引いたりすればいいのか。

>>908
rootの中の人がうっかりuname -aの結果を書いたら祭り始まりの合図。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 23:37:54

まぁなんというか
静的な鍵の秘匿は難しいということで。

**root▲ ★** · 04/12/16 23:43:50

>>911
うわ。

**動け動けウゴウゴ２ちゃんねる** · 04/12/16 23:52:59

>911
unam -a は、かなりの頻度で後悔されてます。

http://www6.big.or.jp/~beyond/bbsnews/proxy/operate/1093068260/
の215とか

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 00:31:03

uname -aなんてホストごとの有効な違いが40bitぐらいしかないんじゃないの？

1024bitぐらい豪快にランダムのシードを用意しないとダメ。
パソコン数台で解析できる。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 00:38:35

っていうか、何でそんな逃げ方するんだろう

**FOX ★** · 04/12/17 01:16:42

そもそも現在のやり方が決まった経緯は知っておいてくださいー

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 01:19:13

>>917
教えてー

**マァヴ ★** · 04/12/17 01:37:16

おいらかな？(^_^;)もしかして

**マァヴ ★** · 04/12/17 01:41:24

１　旧IDはIPアドレスの特定が結構できてしまった
２　そこで新しくID生成ルーチンを作ろうと思った
３　しかしおいらにはそのスキルはなかった(^_^;)
４　どうせならルーチンを公開しても耐えられるもののほうがいいわけで・・・
５　スキルのある人よろしく・・・と公募した（ちょうどこのスレッドの展開みたいなもんですな(^_^;)）
６　で、32bit総当り検索に耐えるために
　　①非公開の鍵を使うことで、推定を難しくした（しかし、これだけではちと不安）
　　②IPアドレスが違っても、ある程度の数の同じIDが出るようにした（つまりIPアドレスは特定不能）
って感じだったように覚えてます(^_^;)

って、そういう話じゃなくて？(^_^;)

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 01:52:52

IP：IDを多対一対応にすることで一の側からの元IP特定を防いだんか

**マァヴ ★** · 04/12/17 01:55:47

>921
そゆことです(^_^;)なのである程度の重複は避けられないんだな。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 01:57:28

IDが同じになるのも別に悪いことじゃないと思います。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 01:58:39

ある程度っつっても相当稀なわけだし、構わないでしょ。
要は毎回呼ばれるような無駄な負荷を無くすのが今回の目的?

**マァヴ ★** · 04/12/17 02:00:22

>924
多分・・・
１　ファイルオープンがもったいない（負荷軽減）
２　異月同日に同じIDが出てしまうらしいバグ対策
の２点かと(^_^;)

**FOX ★** · 04/12/17 02:00:57

>>832 今回の目的
>>835 付随するお題

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 02:57:29

当時の話はこれか？
http://ton.2ch.net/gline/kako/999/999930171.html

**マァヴ ★** · 04/12/17 03:35:04

当時のおいらってなんか頭の回転よかったらしい(^_^;)
今や何を話しているのか理解できん

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 04:33:43

ひょっとして今起こっている「日付が変わってもIDが変わらない（ことがある）」ってのは
「異月同日に同じIDが出てしまうらしいバグ」の同工異曲かな？
今のIDルーチンには $md5->add(substr($DATE,6,2)); が入ってないから。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 04:42:47

ってことはたぶんmd5.cgiに日付だけ入ってて乱数部分が空っぽだったりすることがあるんじゃなかろうか。

**FOX ★** · 04/12/17 04:46:24

f1 , intro @ex9 を見てきたけど
md5.cgi の中は 2004_12_04<>xxxxxxx になっているようです

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 05:08:03

>>931
net@ex9は？

http://ex9.2ch.net/test/read.cgi/net/1101449147/645
http://ex9.2ch.net/test/read.cgi/net/1101449147/668

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 05:27:08

>IPアドレスが違っても、ある程度の数の同じIDが出るようにした（つまりIPアドレスは特定不能）

これって要するに
・まず自分のIPで書き込みをしてIDを出す
・出てきたIDと自分のIPでブルートフォース解析する
ってのに対処するため？

ブルートフォース耐性が最速のXeon Dual 1台で3年ぐらいの耐久度があれば多対1にする必要はないんじゃないかなぁ。
256bit AESあたりで落とし戸暗号化してしまえと。
IPアドレスは固定IPを持っている奴が解析するとして確定ずみ。
アルゴリズムも公知にしないと穴が怖い。

だから暗号鍵を256bitぐらいの大きさにしておけば良い、あらかじめ全部の暗号鍵をテーブル計算するのも難しいし。
なんだったら1024bit暗号にしておけば、世界中のHDDをあわせてもテーブル作れないし。

**FOX ★** · 04/12/17 05:44:11

>>932

net@ex9 も

0004_12_16<>xxxxxxx の形になっているようです

**FOX ★** · 04/12/17 05:45:13

>>933

～～をするためにってのも書いてもらえると
私にも理解できるかも知れません

**マァヴ ★** · 04/12/17 06:13:03

>933
むずかしいことはよーわからんのだけど(^_^;)現在のIDは
１　秘密鍵はハッキング等によって取得される可能性がある
２　秘密鍵があれば、どのような経路をたどったとしても2^32の試行で結果が一致するIPアドレスをはじき出せる
３　IDの生成ルーチンは公開に耐えるものにする。
という前提で作られています。
結果
１　毎日変わる不定値の種を使う（最悪でも１日分の解析しかできない）
２　多対一に均等劣化した情報でIDを生成する（IPアドレスを特定できなくする）
という２つの防御策を組み込んだわけです。

前提条件の１、３については当時IDからIPアドレスが推定可能であったという
２ｃｈとしては致命的な欠陥が露呈した反動で厳しく考えていたということもあるかもしれません。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 06:31:45

>１　毎日変わる不定値の種を使う（最悪でも１日分の解析しかできない）
えーと基本的には1は同意です。

2についてです。多対1をやめて暗号鍵のbit数を増やして1対1にすることで、
「別人なのに同ID」という不具合を回避できるのではないかと思っています。

>１　秘密鍵はハッキング等によって取得される可能性がある
についてですが、/etc/sshd/sshd_*_keyと同じ程度の危険性しかないと思います。
仮にハッキングに成功したとしても、24時間で更新されてしまうのであれば
IDからIPを現実的な速度で解析するチャンスはその日だけとも考えられますし。
（IP→IDへはSHAなりMD5なりのハッシュで一瞬のうちに計算できるが。
逆の方向はは2^32をすべて計算して一致するIDを求めるしかない。
そしてそのハッシュのシードは24時間で更新される）

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 06:41:54

それって不具合なの？
むしろ匿名性の保障だと思うんだけど。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 07:23:28

ひょっとしてバイナリデータを<>で読み込んでるせい？＞異月同日に同じIDが出てしまうらしいバグ
\nが混じってたらそこでちょん切れちゃうもんね。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 07:39:34

>938
解析できないぐらい強ければ「別人なのに同ID」を回避して、かつ匿名性を保障できると思います。

**未承諾広告※** ◆TWARamEjuA · 04/12/17 07:43:24

ふむふむ。。。
今日は忘年会なのでその最中に練ってみよう。こねこね。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 07:55:58

別な人なのに同じIDがあるほうが精神的に安心感があるんだけどな

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 08:44:55

>>940
「別人なのに同ID」を回避するってことは
IDによる発言者特定能力を向上させるってことで
つまりあなたは「匿名性を今より下げろ」と言ってるわけで。

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 08:48:32

自演がばれても強引に逃げ切れるからな

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 08:52:54

同一ID出たら
「同じIDｷﾀ━━━━(ﾟ∀ﾟ)━━━━ｯ!!」
でおｋじゃないのか(´･ω･｀)？？

**FOX ★** · 04/12/17 12:25:41

そのへんの話しは、、、
思想の問題ですからねぇ

別スレでじっくり話し合ってもらって
このスレでは実装の話しということで、

>>939
なのか?

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 13:13:02

ID生成サーバをつくってもいいかもしれないと言ってみるテスト

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 14:37:54

板ごとに何かわからない鍵の部分が必要って事でしょ？
サーバー毎になると同じサーバー内の板を「神のIDｷﾀｰ」とか言いながら
走り回る奴が出ると。

サーバーが落ちた時にIDが変わってもいいのなら、
メモリの上に置くのが現実的かなぁ。

**FOX ★** · 04/12/17 14:40:04

特に問題ないようなので
これで fix と、

次回は何年後かな?

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 14:42:48

i/oについても今のままでいいの？

**FOX ★** · 04/12/17 14:43:23

というと?

**動け動けウゴウゴ２ちゃんねる** · 04/12/17 14:46:01

i/oが前よりも減ったのかなと