【堅牢】トリップの新方式を考えてみませんか【互換性】
■ このスレッドは過去ログ倉庫に格納されています
現段階でのトリップの問題点などを考えつつ、 現行方式よりも堅牢なトリップの方式を考えてみませんか。 マルチバイト文字問題や互換性などの問題も出てくると思いますが、 そこは皆で妙案を出し合いつつ、新たな方式を頑張って考えてみましょう。 関係スレ 幸せサーバープロジェクト 「アイデア・技術のある人募集中」★3 http://qb5.2ch.net/test/read.cgi/operate/1241361889/ トリップ漏れて問題あるってのはインチキマネーのモリタポ絡みくらいか? 手を出したらオナワチョーダイ! 使ってる側からすりゃ、実際にリアルタイムで解析されて 晒されてもその場でちゃちゃっと変えるから問題無いよ。 コテ付けて語っても真似出来ないしね。 ラウンジでコテ漏らした真性ロリコンいたけど誰も真似しなかった。 堅牢制は然程気にしなくていいけど、数日で破られるようでは面倒 今くらいでいいんでね。CPUが追いついて来たら対応する感覚で。 漏れた人で個性や特徴無い人は、特徴ある人に乗っ取られるかもしれないけど トリップ漏れた人は、beとあわせて防いでるし然程心配することない じゃあキャップ漏れが常態化するようになるまではいいってことか あまりにも簡単に解析されたら面倒だろうけど今くらいなら不便してない。 解析する基地外もよっぽど恨みがあるとか、目的が無い限り 行為自体やらねーだろうしね。 3分で解析されたら考えようかね〜。 てか、考えてから行動するより、動いてから考えたほうが良いシロモノのような。 割られた当人はトリップ変えればいいだけの話だけど わざわざ割ろうとする人は悪意持ってたりするから 周りが混乱するんだよね というか既に騙り防止の意味は無くなってる 騙られたくないならBeつけろと 頻繁に破られると運用板が騒ぎになる気がする モリタポのログインもトリップでログインする訳じゃねえから 然程、あ!ポイント集める時割られてたら集められちゃうのか インチキマネーだからみなかった事にしておこう 最近はやりなのはパスワードを簡単な文字列に設定できないサイトがあったりするでしょ アルファベットだけとかそういう文字列は設定できないように最初からはじいちゃうの もし新しい方式にするのであればぜひとも導入してもらいたいね 上でも述べられてるけど ステートレスっていうのは大きなメリットなんだよね Beつけろって書いたけどBeって実にめんどいのさ トリップならログインとかいらないし楽なのだよ beはアイコンの自由が無いし コテになれない半端者が馴れ合う道具で使われてるからあんま好きじゃないね ひょっとしてmd5のmd5取るとあと5年延長できる? >>84 って書いたけどそうすると簡単な文字列は設定できないわけだから 解析するときその部分は走査しなくていいってことで かえって解析しやすくなっちゃうのかな? うーん難しい よっぽど目立つ奴じゃねえ限り解析なんてされやしねえよ。 普段遊んでる板で解析されて騒ぎになった奴なんてみたことないっしょ 実際割られた例を何度か目の当たりにしてるもので 人事じゃないなぁと 俺も解析されて晒されたけど今のは割られてない 全部アルファベットなのがマズかったみたい 割られた俺は、これならどうだオイ!割ってみろやオラ! くらいにしか思わなかったよ。 まぁとうぶん現状のシステムのままだろうし もうすこし困った人が増えてこないと移行という話にもならないと思う ただあらかじめ考えておくっていうのは割と楽しいのでありかなと あと簡単なパスだと割られますよ っていうのを周知したほうがいいとは思う トリップ付けてる人のほとんどはそんなこと意識して無いだろうし 割られて困ってからでは遅い アルファベット+IMEに入ってる漢字+AA用記号+ひらカタ以上の鍵空間は2chでは用いられないわけで 画像をうpしたらトリップになったりして。 サーバー側は変換し終わったら画像を捨てる感じで。 GCAのパス付書庫でキーファイル指定って機能があったね パスワードの代わりに特定のファイルを使うってやつ ttp://www.emit.jp/ >>96 割られてからでも全然平気だったよ。 割られたら自然に難しいトリップにするしさ。 解析に時間がある程度かかりゃそれでよし。 恨みでも買って解析されたら諦める。 ブラジルは知らん。てめーらで考えろと そうそうモリタポのことはブラジルが勝手にネットかければええ 一時的に捨てハンの要領で捨てトリを付ける奴は特にパスワードの管理に気をつけよう そういう場合騙られたら収拾つかなくなる トリップが本人確認の手段としての役目は終えて、 新たな本人確認手段のために作ったのがBeって話じゃないのか。 なんかわざわざ新方式を考える必要性を感じない。 割られたくない人が割られるのはアレだけど 簡単な単語とか割られたら面白いとかのことまで制限する必要ないな beは有料板のν速くらいで全然浸透しないし。失敗っしょ。 ブラジル的には数億円分流通してるて公称してんだっけ? 手続き煩雑で俺もvipのスレ覗いて説明聞いてとりあえずつけたってだけで ν速でスレ立てない意外は糞の訳にもたたん。 わけのわからんモリタポに登録して更にbeは別で登録してポイント移行には ブラウザのパスワード管理ソフト使ってでもかったりーしな。 こんなもんがどうなろうとそんなの関係ねーシュッシュッシュ そういえば上で簡単なパスは割られるよって書いたけど 簡単じゃないパスでも粘着な人は割るんだよね すさまじい執念 でこのスレどうすんだろ あんまり困ってる人いないみたいだし スレを建てるまでもないことだったんじゃね? どこかの板にひろゆきトリップを割ろうと躍起になってた奴がいたな・・・。 狙われるのひろゆきくらいだろ。 有名な人が割られてもすぐ割れトリップってわかるし 特徴ってのは簡単に真似出来ない。 俺わったってお前ら真似できねーだろ? >>1 はどうしてスレを立てたいと思ったんだろう。 誰かに狙われてるのかな。 ブラジルのネタをこっちでただ働きさせる 差し金だったんかな。 俺も>>75 と同意見なんだけど、 近い将来か遠い将来か知らん時のために、 新しいトリップのノウハウを蓄積しておくって事でいいんじゃね。 なつかしいねぇ、usubonだっけ? 今も呪われてるのかしら・・・ 実際、今の検索速度の向上が続くと1、2年内に9完が1年以下になりそうなおかん。 ということで、このスレなんだと思ってた。 Beに関しては異論もあるけどw とりあえず、Beですらめんどくさい2ちゃんねらが多い・・・というか匿名がウリの2ちゃんねるじゃ beぐらいの手間ですら流行らない。 基本的には、キー空間を拡大して総当たりの難易度をあげるか解析されにくい(変換の情報を公開しない?) ぐらいになるのかなあ? 2ちゃんじゃ後者はないか。 >>110 ブラジルが慌てるんだったらそっちでやりゃいいし 2ちゃんが困ってないならゆっくりでいいよな tasukeruyoが今ぎりぎりできていたとして酉が長く成ったら 名前長杉で書けないことになる (ISPによっては今も酉付きで書けない所も有る) >>114 そこは板の設定を変えるなりすればいいだけの話じゃん >>116 割れて困るのって、俺が誰かがくれた モリタポ集める時にトリップ入れねーといけないんだよ。 俺のとリップ解析されてたら、誰かがくれたポイント横取りできねーか? 2ちゃんは困らないけどブラジル困るから絡めてみた。 割るまでも無いトリップの山がここにある ttp://trip-table.com/ となるとブラジルはトリップとモリタポを切り離すべしってことに? モリタポの受け渡し方法は別のやり方にしると +っぽくすればこのスレは削除されて>>1 はブラジル社員で 謝罪すべきである。あくまで我々は戦う。 そんでコピペ合戦が続くだろ。 アホか そういやキャップ付けて名前長杉で書けない人がいたなぁw 別にブラジルは気にしなくていいんじゃね?向こうが困ったら受け渡しをメルアド限定にすりゃいいんだしー 勿論ブラジルは気にしなくていいさ。 ドメサカの実況絞めあげてたとき自分で設定して キャップ入らなくてワロタ。 コソアンに自分の振込み用アンケかレスを置いておくといいんじゃ この話、どこがゴールなんだよ。wwwwww つーか、誰が決定権を握ってるんだ。wwwww もういいから、 http://qb5.2ch.net/test/read.cgi/operate/1067245837/3 を採用してくれ。 これでキー空間と夢がひろがりんぐなんだよ! ウヒヒヒヒヒ >>127 >>1 の関係スレで鳥割られた奴が出現したので、★もってた>>1 が とりあえずスレ立てたまでの話であって、まだ実現性がどうのこうの以前でっせ。 > つーか、誰が決定権を握ってるんだ。wwwww 最終的には狐さんか代理人1号あたりだと思うが、そこまでの道程は 果てしなく遠い。 どちらも何度も鳥割れてるけど、別のに変えるだけで今まで済ましてきたしw >>127 鳥割れた => トリップって大丈夫なん? がスタートなので、 もうだめBe使えが結論でとりあえず終了っぽい感じ。 あのトリは以前から割ってたんだよ んで、たまたま野次馬スレでこの人エライの?って聞いてきたから これで君も彼になれるよってバラシただけさ まぁ,思い立ったらとりあえずやってみる,といういい加減さも 2ch らしい“良い加減”ではあるのかもですね. ......と無責任に言ってみる. チクショウ 俺の純情をもてあそんだだけってことか! 期待だけ持たせて! ひどい人たちっっっ!うに>m<うに どうでもいいが、俺が前使ってたこれも割られてるぜ。wwwwww 早い話、トリップ関連を弄れる人をその気にさせるスレかな?w キー空間を広げれば、きっとそこにはドットの10連があるんだ! 夢を見させてくれよ。wwwww 円周率πは1兆2215億8771万5177桁目から1兆2215億8771万5188桁目まで 6が12個並ぶらしいからトリップも長くすればいずれ純10連出てくると思うお 歴史は繰り返されるのかな? 以前は確かbbs.cgiスレッドで展開されていたような。 酉屋さんによる種拡張他もろもろ あくまで“実験”ということで...... dso 鯖限定でこんな感じにしてみました. # 本格導入については,とりあえず期待はしないで下さい. if (length $handle_pass >= 12) { use Digest::SHA1 qw(sha1_base64); $GB->{TRIPSTRING} = substr(sha1_base64($handle_pass), 0, 12); } else { # 従来通り } 従来形式との切り替えを ## とか $ で判別するなどの方法も提案されてましたが, キーの中に # や $ が含まれていた場合を考えると,長さで判別するのが 一番影響が少ないかな,ということでキーが 12 バイト以上の場合に新方式としました. Digest::SHA1 が入っていたので,とりあえずそれを使用. トリップの長さは最長で 27 にまでできますが,とりあえず 12 にしました. >>126 コソアンのポボタンだと送った時点で決済されるので強制的に送れるし(無視や拒絶がない) 受け取り側がキーを入れて回収する手間もない >>141 一体何を"実験"したいのかさっぱりわからないんですが >>143 単に「試しにやってみるだけ」という意味で捉えてもらえばと. まぁ綿密に考えた上でやってるわけでもないので,鯖を限定した上で 「本格導入については期待しないで」と前置きもしてあるということで. トリップの意味も目的も問題点も何一つ理解してない癖に何言ってんだか なんでお前のオナニースクリプトに2chが付き合わないといけないんだよ せめて>>39 の項目全部に対して元管理人と同じ答え出せるくらい把握してやれよ屑 >>141 ついでに、16バイト以上のときに、 http://qb5.2ch.net/test/read.cgi/operate/1067245837/3 の付加機能案(2)で。 チクショウ却下だろ、わかってるさ。 負荷的にはどうなのよ。 >>146 SHA の場合には salt というもの自体がないですが, 16進表記のキーとして受け入れるという扱いなら可能かもです. >>148 え?別に論点ずらすとかそんな意図は無く純粋に聞いてみただけなんだよ 試しにやってみるだけって言ってるのに、なんでそんなに怒ってるのかなぁって >>148 1) 本人かどうか 2) ほぼ達成しているが解析ツールや既出DBの悪影響がないとも言えない 3) 今のところのたんぺの遊具を増やすため 4) 両立する 5) シラン >>151 お前の無知さ加減なんて誰も聞いてねえよ お〜、bbs.cgiいじれる人が来てる〜ためして〜けど仕事だ〜 トリップなんぞ他と識別出来りゃいいんだー、深く考えると沈みまっせ♪ 改訂版 if (length $handle_pass >= 12) { use Digest::SHA1 qw(sha1_base64); if ($handle_pass =~ /^#([[:xdigit:]]+)$/) { $handle_pass = pack 'H*', $1; } $GB->{TRIPSTRING} = substr(sha1_base64($handle_pass), 0, 12); } 16バイト以上でも16進表記でない形で指定したい場合もあるかもということで, 12バイト以上でかつ「##16進文字列」形式で指定された場合に16進表記として 扱うようにしてみました. 初質でかれこれン年トリップを回してる検索人です。 >>46 は私です。 >>149 16進で指定できる生キーが望まれてるのは、新仕様(SHA1とか)についてではありません。 >>146 で言及してるのは、従来のDESトリップに対しての機能追加要望です。 (件のスレは私も関わってたし…) これを機会に、生キー実装を試してもらえませんか? 私からもお願いします。 様式としては #<16桁の16進数>{Salt(省略可能)} にて、先頭16桁が16進数に見える物を扱う対象とします。 ツールに吐かせたキーで、Shift_JIS(CP932)文字コードで表せないものを 入力したり、2chNGワード置換に引っかかって回避不可能なキーを入力したいのです。 ホンネ。もし、10連のような神トリップが出せたとき、 キーボードから入力できないキーだったら すごく悔しいんです! トリップ職人を救ってくれ!!! 実装例(現bbs.cgiに合わせたつもり) if ($handle_pass =~ /^([0-9A-F]{16})(.*)$/i) { $handle_pass = pack('H16', $1); $change_salt = "$2.."; } else if (length $handle_pass >= 12) { # 実験仕様 } else { # 従来通り $change_salt =~ tr/\x3A-\x40\x5B-\x60\x00-\x2D\x7B-\xFF/A-Ga-f./; } 生キーについては、トリップ受渡所にも実装してみました。 http://t.pgr.jp/ 入力例はこんな感じ。 ◆yGAhoNiShI #020B0201020D0209 ◆yBEncckFOU #82D482E982B682E5 ◆ySd1dMH5Gk #82D482E982B682E5aI 神トリの頂を目指すか、堅牢性・永続性のある本人証明を目指すかって 彼岸ほど離れているような。 ◆(トリップ)+(外部が保証する本人証明)を名前欄に入れる方法でも 考案しないとダメなのかもなー。 とりあえず限定的に試してみる、 っていうのは、インターネット的で面白いすね。> SunOSさん で、どうせなら SHA-1 じゃなくて SHA-256 とかのほうがいいのかしら。 で、現行トリップの塩にユーザが何か突っ込めるようにする、 という話ですが、やるとしたらやっぱり、入力文字列の後ろのほうに配置する、 とかそんなかんじなんでしょうか。 で、塩に突っ込めるようにすることの、 メリットとデメリットってなんでしょう。 ユーザが塩を振れるほうが、現行トリップの強度が多少は増すのかしら。 >>155-156 なるほど,そういうことでしたか.では改めて...... if ($handle_pass =~ m|^#([[:xdigit:]]{16})([./0-9A-Za-z]{0,2})$|) { $GB->{TRIPSTRING} = substr(crypt(pack('H*', $1), "$2.."), -10); } elsif (length $handle_pass >= 12) { use Digest::SHA1 qw(sha1_base64); $GB->{TRIPSTRING} = substr(sha1_base64($handle_pass), 0, 12); } else { # 従来形式 } 「##(16桁の16進文字列)(0〜2桁のsalt)」で指定された場合に ご所望のものが出るようにしてみました. >>157 確かに,遊びの要素と本人証明とでは目指す方向は違うのでしょうね. >>158 そうですね. >>159 Digest::SHA が入っていればそれを使えるんですが, 入ってなかったのでとりあえず SHA1 でやってます. >>161 ヤッター!!!!! これで三方丸く収まるね。 1. 従来方式も使える。 2. 力技対策の SHA-1 も使える。 3. トリップオタクねんがんの生キー(塩指定つき)が使える。 >>160 塩が簡単に特定できる今の状態よりは、はるかに強度はあがりますぜ、ダンナ。ウヒヒッヒ >>161 http://search.cpan.org/dist/SHA/ /home/ports/security/p5-SHA を入れればいいのかな。 dso.2ch.net = banana3254 = root 権限なし ですか。 私が今すぐ入れるのは難しいかも。 (有用なら入れてもらうことはできるかも) で、root 権限ありで遊べそうな小規模なやつは、、、。 ipv6 ぐらい? ううむ。 >>162 > 塩が簡単に特定できる今の状態よりは、はるかに強度はあがりますぜ、ダンナ。ウヒヒッヒ 塩っていうぐらいで、そうでしょうね。 塩を指定して生成する機能は純粋に追加になるので、 動作自体は今までのトリップの上位互換、ということになるのかな。 新方式のフールプルーフはあるの? つまり、旧式鯖で新酉入れちゃって漏れる心配ない? >>163 そうですね......まぁ今はただ試してるだけという段階なので, すぐにやってもらう必要性は高くないかもですが. >>165 単にキーの先頭8バイト分だけ用いた従来形式のトリップになるだけかと. というか,こっちか...... http://search.cpan.org/ ~mshelor/Digest-SHA-5.47/lib/Digest/SHA.pm 違う書き方考えてたら、いつの間にか実験が始まってました >>167 なるほど、それだと、 /usr/ports/security/p5-Digest-SHA ですね。 > DESCRIPTION > Digest::SHA is written in C for speed. If your platform lacks a C compiler, > you can install the functionally equivalent (but much slower) Digest::SHA::PurePerl module. ほう。 新方式トリップも10桁だと現行トリップと新方式トリップの表示がかぶることもありそうななさそうな。 鳥の人がすでにいいもん作ってたけど、暇なんで一服中に作ってみた。こうであってる? http://trickbox.70.kg/trip/ ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる