bbs.cgi再開発プロジェクト5

[1 動け動けウゴウゴ２ちゃんねる 04/12/20 07:38:07 ID:KYFJjC4V]

peko鯖の稼動によりﾎﾞﾄﾙﾈｯｸの一つである事がより明らかになった
bbs.cgi作り直しプロジェクトです。

【開発環境の工事現場】
また挑戦。＠2ch掲示板　　http://dso.2ch.net/myanmar/
また挑戦２。＠2ch掲示板　http://dso.2ch.net/yangon/

関連スレなどは >>2-5 くらい

[850 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 15:58:14 ID:XXp1gcFk0]

公開してません

[851 動け動けウゴウゴ２ちゃんねる NG NG]

>>848
まじで　ありがとう

[852 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 18:05:32 ID:GYAqFC5r0]

そうか，それは残念
unix板のwizard連中に見せればなにか妙案も思いつくとおもったんだけどね。

[853 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 19:01:08 ID:mUKcFXhr0]

>>852
実名明かしたメールをひろゆきに送れば１年後に検討してもらえるかもしれない

[854 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 19:13:01 ID:K4xFvBIh0]

live16のbbs.cgiがしょっちゅう反映されなくなる
そのたまカキコ数に波が出る

[855 未承諾広告※ ◆TWARamEjuA 2005/03/23(水) 19:57:07 ID:rINnBQm50]

>>853
１年以上経過したけれども何の音沙汰もありません♪

[856 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 20:06:40 ID:GYAqFC5r0]

ほんとは外部設計書みたいなのあればいいんだよね。
セキュリティ上明らかにできない機能はブラックボックスでいいから。

[857 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 20:49:21 ID:DFmJZ9n+0]

やっつけ仕事なので人に見せられるレベルでないとかなんとかｗ

[858 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 20:57:19 ID:PCjFHoWk0]

見せる義理もないしね

[859 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 21:19:04 ID:IxC783Ix0]

いろいろと荒らしがでるとかいってたんだけど。
「ソース隠すことはセキュリティ対策にはならない」と論破されてからは特に有効な反論も出なくて
のらりくらりと話をスルーしている。

[860 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 21:23:17 ID:GYAqFC5r0]

見せる義理。たしかにないですね。
ではbbs.cgi再開発がんばってください。

[861 未承諾広告※ ◆TWARamEjuA 2005/03/23(水) 21:23:53 ID:rINnBQm50]

Through a way to you.

[862 動け動けウゴウゴ２ちゃんねる 2005/03/23(水) 21:34:53 ID:13AuSSJy0]

見てやる義理のある方々に任せておけばいいでしょう。

[863 動け動けウゴウゴ２ちゃんねる 2005/03/29(火) 23:02:53 ID:uBBKa7tH0]

ID非表示の板でもIDってだけ表示されるな・・・

[864 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 11:48:29 ID:CtJFqi/w0]

IDの後ろに投稿回数の表示とか出来ないかなぁ…ID:xxxxxxxx0 (このIDによる投稿は12レス目)
みたいな…
そうすれば専用ブラウザに一定回数以上のIDを荒らしと見なして自動あぼーんする機能とか
出来そうでいいなぁとか思ってみたり。

[865 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 11:49:58 ID:3Li1OIZq0]

そんなに連投多いですか？
個人的には、ちょっとうるさいな、と感じたら
手動であぼーんするだけで十分足りるような気がするけど

[866 動け動けウゴウゴ２ちゃんねる NG NG]

別に表示しなくても専ブラで出来るような気がする。

[867 動け動けウゴウゴ２ちゃんねる NG NG]

ふとSETTING.TXT見たら

BBS_BG_SOUND=

なにこれ変態じゃないの？

[868 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 12:56:26 ID:zJufOWE90]

■ テーマソング設定変更依頼スレッド1
http://qb5.2ch.net/test/read.cgi/operate/1112281219/

[869 ひろゆき＠どうやら管理人 ★ NG NG]

「ソース隠すことはセキュリティ対策にはならない」
これって神話でしょ。

[870 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:22:42 ID:m2OEyL300]

そのとおり。
そうとも言い切れないから。

[871 未承諾広告※ ◆TWARamEjuA 2005/04/02(土) 13:27:39 ID:Yr9H18/b0]

をを！とうとう公開しちゃうのかな？o(^-^)o ﾜｸﾜｸ
お掃除ならやってみたいかもかも。

[872 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:28:01 ID:3Li1OIZq0]

そのとおり。
正しいのは
「ソース隠せばセキュリティ対策は万全」

[873 未承諾広告※ ◆TWARamEjuA 2005/04/02(土) 13:29:26 ID:Yr9H18/b0]

あ、そなのか♪

[874 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:29:30 ID:3Li1OIZq0]

>>872
ひろゆきの言いたい事は、ソースを隠すことには
セキュリティの観点から見てそれなりの利点がある、ということでしょ

[875 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:30:07 ID:fFhRAxc50]

そんなことよりおまいら、mozillaのソースコードが流出したらしいですよ。

ttp://www.hyuki.com/tf/?20040401145329

[876 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:30:19 ID:0v055weI0]

HTTPサーバの動きとかCGIの起動原理とかまでひっくるめてまで隠せるんならな。

[877 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:30:33 ID:3Li1OIZq0]

何自分にレスしてるんだろう。。。

[878 ひろゆき＠どうやら管理人 ★ NG NG]

１「ソース隠すことはセキュリティ対策になることもある」
２「ソースオープンにすることはセキュリティ対策になることもある」

んで、まだ動いてないシステムであれば、２の可能性はありますが、
既に動いてるシステムであると１の可能性が高いのですな。

オープンしたとたんにソースを見なければわからない脆弱性で
いきなり攻撃される可能性もあるわけです。

[879 ◆MIPS.kHN86 2005/04/02(土) 13:33:55 ID:SO0VkQYZ0]

これは、つまり公開しないってことですよね。
それはそうと、書き込み時間の取得のタイミングを変更する
ことは無いですかね？あまり実益が無いですけど、書き込み時刻と
スレ番号がずれることがなくなると思うのですが。

[880 動け動けウゴウゴ２ちゃんねる NG NG]

みんなbbs.cgiのソース見たいだけだよ。何に使うのかは知らんが。

[881 ひろゆき＠どうやら管理人 ★ NG NG]

実益のないことにリソースを使ってもしょうがないような、、、

[882 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:36:29 ID:0v055weI0]

漏れが言いたいのはセキュリティ対策に「万全」「完璧」など存在しないということ。
永遠に努力を強いられる過酷な問題です。

ここの場合、ソース隠してもCGI仕様に則ってるので少なくともインタフェース仕様は公開されているも同然。インターフェースのみ分かっているブラックボックスのセキュリティホールをどうやって見つけられるかというとこに焦点が集まる。

[883 ひろゆき＠どうやら管理人 ★ NG NG]

永遠に見つからないセキュリティホールはセキュリティホールではない。

[884 未承諾広告※ ◆TWARamEjuA 2005/04/02(土) 13:39:24 ID:Yr9H18/b0]

永遠に出てきちゃうから楽しいんだよね♪

[885 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:40:25 ID:0v055weI0]

永遠に見つからない保証はないよ？

で、話戻すとインターフェースのみ分かってるブラックボックスの突付き方はまずいろんなアクセスを試みること。なので次にやらなければいけないのは外部からのアクセスの監査になります。それはやってるのかな？

[886 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:41:18 ID:3Li1OIZq0]

>>882
ソース隠せば、2ちゃんのセキュリティホールをわざわざ解析してまで
攻撃しよう、と思うハッカーが少なくなるんじゃないか、ということではないでしょうか

まあ、2ちゃんがどの程度セキュリティ対策を重視しているのか
甚だ疑問ですけどね。そんなに大事なら、サーバ別負荷の統計とか
狐さんの実験とか、全部やめさせてしまえばいい。もっと安全になりますよｗｗｗ

[887 ◆MIPS.kHN86 2005/04/02(土) 13:44:46 ID:SO0VkQYZ0]

>>881
確かにそうですね。遊べるし、困っているわけでも無いですし。
こんなことが出来て面白いので。

[888 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:47:23 ID:91CxJlkm0]

>>878
アバウトなアーキテクチャぐらいは公表してもいいかと思います。

ログ記録部分とか秘密にしなければならない部分は非公開が鉄則です。

まあそれでも見せたくなければNDAでも結んで見てもらうっていう手もありますがね
某有名RMSが激しく抗議しそうですがw

[889 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:52:51 ID:0v055weI0]

もともとセキュリティ対策ってのは実益が無いのに注力しないといけない類の活動ですよ。

[890 ひろゆき＠どうやら管理人 ★ NG NG]

アーキテクチャは公表してもいいんじゃないですか？
ただ、ソースを読める人がアーキテクチャをいちいち書くのを
嫌がらなければの話ですが、、、

RMSってなんですか？

[891 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 13:56:11 ID:91CxJlkm0]

>>890
RMS=個人名イニシャルです。むむむさんあたりなら確実にぴんと来るでしょう。

＞ただ、ソースを読める人がアーキテクチャをいちいち書くのを
＞嫌がらなければの話ですが、、、

そんなにむずかしいことじゃないはずですよ。

整形する
datにかく

なんてことをかいていけばいいので。

[892 FOX ★ 2005/04/02(土) 14:05:35 ID:???0]

アーキテクチャって bbs.cgi でいうと何ですか?

[893 ◆MIPS.kHN86 2005/04/02(土) 14:06:22 ID:SO0VkQYZ0]

そうそう、時間のことは結局下記のようなことです。
だからどうしたと言われたらおしまいなのですが。
とりあえず、故意に時間がずらせると言うことだけです。

http://qb5.2ch.net/test/read.cgi/operate/1111551639/749-751

[894 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:06:33 ID:0v055weI0]

アーキテクチャはいきあたりばったりでソース主導で書いたと吐露されても困るな。ｗ

[895 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:15:20 ID:pMcvTIuz0]

ストールマンのことか！

[896 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:15:49 ID:91CxJlkm0]

>>892
どーゆー手順で処理しているか、ということです

アルゴリズムといったほうが正しかったかもしれない。

[897 FOX ★ 2005/04/02(土) 14:16:50 ID:???0]

それは既に流出しているような
それも何回も、

それ以来変わっていません。

[898 FOX ★ 2005/04/02(土) 14:20:43 ID:???0]

再度書いて見ました


２ちゃんねる bbs.cgi アーキテクチャ

1) 始まり
↓
2) 各種パラメータ取得
↓
3) パラメータチェック(この処理超巨大) →　byebye
↓
4) dat書き込み
↓
5) index.html subject.txt subback.html 更新

[899 ひろゆき＠どうやら管理人 ★ NG NG]

>>893
おぉ、どうやるんですか？

[900 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:25:24 ID:eTnuj2dr0]

各鯖ごとの/dev/random先頭16byteを公開して下さいお願い

[901 動け動けウゴウゴ２ちゃんねる NG NG]

>>900
それ公開したら、書き込む前にID分かるようになるんだっけ？

[902 動け動けウゴウゴ２ちゃんねる NG NG]

っていうかIDの算出方法そのものも教えて下さい＞＜

[903 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:27:57 ID:pMcvTIuz0]

>>900
そこはだめよん　見ちゃ駄目えっちぃ

[904 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:31:26 ID:Ocdke76A0]

ついでに彼女の作り方も教えてください

[905 FOX ★ 2005/04/02(土) 14:32:25 ID:???0]

>>902
そんなの公開されてるでしょ
というかスレ上で公開でみんなでわいわいやったんだから

[906 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:33:25 ID:pNLZJZ+30]

>>904
ヒント：http://ex10.2ch.net/news4vip/

[907 ◆MIPS.kHN86 2005/04/02(土) 14:33:35 ID:SO0VkQYZ0]

>>899
故意と言っても数分程度しかずらすことは出来ないのですが、先ほどの内容で説明しますと・・・

まず、サーバに接続して、HTTPのヘッダ情報を送ります↓

POST /test/bbs.cgi HTTP/1.0
Host: qb5.2ch.net
Content-length: 129
Referer: http://qb5.2ch.net/operate/
User-Agent: Monazilla/1.00
Cookie: PON=****.***.co.jp; expires=Friday, 01-Jan-2010 00:00:00 GMT; path=/
Connection: close


↑ここまで送ると書き込み時間が決定します。
その後、↓の内容を時間をかけて送信すると、その時間差が生じて書き込まれてしまう。

bbs=operate&key=1111551639&time=1104688508&submit=%8f%91%82%ab%8d%9e%82%de&FROM=&mail=sage&MESSAGE=%82%b1%82%f1%82%c8%8a%b4%82%b6

ただ、↑の情報を送信している間に誰かが書きこまないと、時間がずれているか分からないです。
とりあえず、これだけのことなんですが。

[908 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:33:51 ID:iH9/6ZL10]

ひろゆきおすすめのエロゲ

[909 ひろゆき＠どうやら管理人 ★ NG NG]

コネクションを引っ張るんですかぁ。

[910 桶屋 2005/04/02(土) 14:36:22 ID:0teWHclu0]

>>907
低速回線環境(PHSなど)と高速回線環境(FTTHなど)が混じったときの
タイムマシーン現象に似せているわけですね。
少なくともこの現象は、もう何年も前からありました。

[911 桶屋 2005/04/02(土) 14:38:10 ID:0teWHclu0]

TCPのパケットを故意に分割して、タイムアウトするまで引っ張るという感じですね。

[912 ◆MIPS.kHN86 2005/04/02(土) 14:42:57 ID:SO0VkQYZ0]

>>909-911
そうです。ただ、これによって著しく不利益が生じるわけではないと
思うので、特に問題ではないですよね。

実際、この方法でコネクションを引っ張り過ぎるとエラーで
切断/書き込まれないようなので最高でも数十分？くらいかな。

[913 root▲ ★ 2005/04/02(土) 14:53:05 ID:???0]

コネクション引っ張る(= 受付嬢を占有する)のはサーバにとっては、コスト高いですね。
だって、受付の人数って決まっているし。

遅い携帯が受付を占領してhttpdがまずしくなるのと、おなじりくつかと。

というかそうか、こういう場合に遠慮なく切っちゃうようにタイムアウト入れるのは、
効果あるのか。

[914 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 14:53:54 ID:eTnuj2dr0]

>>913
今からやって遊ぼうと思ってたのに

[915 動け動けウゴウゴ２ちゃんねる NG NG]

切っちゃっていいんじゃないですか？
数十分も引っ張って迷惑するのは投票所ｗ

[916 root▲ ★ NG NG]

ちなみに、携帯系サーバは既にTimeout 5にしてあります。
相当効果あったと、記憶しています。

#
# Timeout: The number of seconds before receives and sends time out.
#
#Timeout 300
Timeout 5

[917 桶屋 2005/04/02(土) 14:58:03 ID:0teWHclu0]

(知っている人は気付いていたのだろうけど)この方法が公になったので、
同じ事を利用してリソースを食いつぶそうという愉快犯が出てくるかもしれない。

タイムアウトを設定する手段は準備しておいた方がいいと思われます。

[918 桶屋 2005/04/02(土) 14:59:30 ID:0teWHclu0]

失礼。いつでもコーイということでしたか。(;^ ^

[919 root▲ ★ NG NG]

>>917
まぁ、ステータスログは逐次的にとっているので、
問題になるようなら、ぼちぼち >>916 を掲示板サーバにも入れるってことで。

[920 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 15:02:57 ID:3Li1OIZq0]

重くなると十分単位で書き込みがずれたり
入れ替わったりするですね

[921 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 15:32:23 ID:eTnuj2dr0]

テスト

[922 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 18:33:01 ID:QzKCtFzJ0]

自作PC板の日付表示、ず〜っと、あのままですか？
いゃ、自分はｱﾑﾀﾞｰなんで今のままで良いんですけどね。

[923 動け動けウゴウゴ２ちゃんねる 2005/04/02(土) 21:20:35 ID:tusx0sm10]

>>917
時間ずらしは前にもテストスレで(◆MIPS.kHN86さんが？)実験してたから
知っている人は多そう。(少なくとも、自分はそれを見て気付いた。)

[924 ◆MIPS.kHN86 2005/04/02(土) 22:06:27 ID:SO0VkQYZ0]

>>923
2週間くらい前のでしたらきっと自分です。テストスレで試していました。
実況では時間がずれることはよくあるので、この現象自体は皆さん
知っていると思います。
しかし、実際のところ、これには少し準備が必要なわりに反応が鈍いせいか
やってる人を見たことないですね。

[925 【沈黙-ω-】 ◆.0e0wEv5W6 NG NG]

sage

[926 動け動けウゴウゴ２ちゃんねる 2005/04/04(月) 22:26:14 ID:M3OteeGL0]

低負荷時にindex更新頻度を上げるってのはできないんだろうか？

[927 動け動けウゴウゴ２ちゃんねる NG NG]

ってゆうか、
「3分以上古かったらindex更新」とかにしたら？
index生成って結構処理おっきいと思うんだけど。

[928 動け動けウゴウゴ２ちゃんねる NG NG]

index作成はbbs.cgiから切り離して、index作成cgiをcronで動かす。

[929 動け動けウゴウゴ２ちゃんねる 2005/04/05(火) 00:21:52 ID:oilIE2a90]

cronでもコストが大きいからdaemonにしちゃうとか。
タイマとキューを使って細かく制御できればベター

[930 動け動けウゴウゴ２ちゃんねる 2005/04/07(木) 11:15:48 ID:lCPZLnn30]

index と subject.txt はどう違うのでしょうか?

[931 動け動けウゴウゴ２ちゃんねる 2005/04/07(木) 13:53:31 ID:KD+yhJ8u0]

>>930
http://qb5.2ch.net/operate/index.html
http://qb5.2ch.net/operate/subject.txt
みたままですけど。

[932 動け動けウゴウゴ２ちゃんねる 2005/04/07(木) 18:06:21 ID:wAvc+1hz0]

>>898

2) 各種パラメータ取得
↓
3) パラメータチェック(この処理超巨大) →　byebye

これを順番を適切にするだけでかなり違うような希ガス

・軽くて重要なチェック(たとえばBBQ)を前に
・重くてあまりはねる確率の少ないものを真ん中に
・統計用を最後に

といったかんじで。
で、ぜんぶOKになってはじめてdatをひらく、と(もっともこれは既にやっていると思いますが)。

[933 動け動けウゴウゴ２ちゃんねる NG NG]

1) 適切ってのが具体的にわからない。
2) わかったとしても、順番を並び替えるとたぶん動かないだろう。。。

という二重苦だったりします

BASIC (80年代初頭) で組んであると思ってください。

[934 動け動けウゴウゴ２ちゃんねる NG NG]

BASIC......ですか、なにもかもなつかしい。

[935 動け動けウゴウゴ２ちゃんねる 2005/04/07(木) 19:00:07 ID:Ji76zELC0]

ベーマガ

[936 動け動けウゴウゴ２ちゃんねる 2005/04/07(木) 19:17:44 ID:iL5f+QSR0]

1から書き直した方が早かったりするんだろうな

[937 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 04:15:58 ID:osk4Ld7X0]

Fortran77
C（78年）
ADA（79年）

[938 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 04:27:25 ID:pGOw/V+90]

Gmen 75
Carmen 77

[939 動け動けウゴウゴ２ちゃんねる NG NG]

Konnichiwa 70

[940 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 04:35:04 ID:w82M2zah0]

FOX★風邪治った？

[941 動け動けウゴウゴ２ちゃんねる NG NG]

歌いまくったら
また喉が・・・

[942 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 04:39:35 ID:hyNjrlD30]

>>939
三波春夫ですかー！

[943 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 04:41:07 ID:w82M2zah0]

じゃあプロフ直しておけよｗ

[944 (^-^)犬 ◆VET4349ZB. 2005/04/08(金) 11:12:51 ID:kewcw1IJ0]

>>940
やべ、「風俗治った」に見えた。

[945 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 12:01:14 ID:TtyT++Tv0]

彼の風俗は直りません。。。

[946 930 2005/04/08(金) 13:22:31 ID:a0Y6OuW80]

>>931

subject.txt は、更新順(sage考慮)に並べてある。
index.html はその上位 10 個を HTML 化した、トップのページと。

bbs.cgi は Perl で書かれている。

こんなところであっていますか?

[947 Why? ◆ouWMQKaTMk NG NG]

全部白紙に戻すような話だけど、
xmlで全掲示板を構成すれば、鯖の負担も少ないし(2ch程度の大規模サーバーだからの話ですが・・・)、容量も負担しない。
上手くいけば、今のdatの3/4の容量削減が出来ると思われ。
read.cgiの再開発プロジェクトの住民に悪いが、read.cgiもいらなくなる。
WebProg板とWeb製作板の住民に協力を依頼すれば、たくさんの住民が食いついてくるし・・・
ひろゆき・root両氏の降臨ｷﾎﾞﾝﾇ
>946多分あってる。

[948 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 17:46:04 ID:AQwRoo140]

その論理はちょっとおかしい気が
xmldb(?)で〜
ならまだわかるけど

[949 動け動けウゴウゴ２ちゃんねる 2005/04/08(金) 17:51:04 ID:+8zeIhpi0]

高度なネタですね

[950 Why? ◆ouWMQKaTMk NG NG]

まぁdatや、subject.txtにある、<>が必要なくなるのでｗ
subject.txtのsubject.csvに変えて<>→,にすれば無問題。
>949氏等へ
専門的な話をしてｽﾏｿ。

root氏やFOX氏なら直ぐに話が分かるような気がしますが・・・
とりあえず、管理団の回答を待ってます。