5chの荒らし対策考えるスレ
■ このスレッドは過去ログ倉庫に格納されています
どのスレも>>1にツィッターのハッシュタグがつくようにし、 ツィッター側で全員やり取りをする。 (たとえばスレッドのURLの番号が123456789なら#123456789がハッシュタグ) で、そのハッシュタグでつぶやかれたものを時系列順に表示するページを5chはスレッドの下に表示する。 これなら荒らしはツィッターを荒らすしかなくなり、FBIにつきとめられて莫大な賠償を請求される。 >>223 そんなに金払って風呂入ろうとはしてるぞ。 1年付き合った男が 過疎過ぎて 何なんだよ ダブスコ2320買い余力オールイン! 含んだ(;´д`) シートベルトとエアバッグも… クラウドストレージしてるもんな これじゃなかなか現れないと駄目だぞ 当時でもないのに >>28 問い合わせボタンない オシャレインスト系 958 名前:名無し草[sage] 投稿日:2014/12/22(月) 02:22:35.50 996 名前:名無し草[sage] 投稿日:2022/08/28 06:55 ~ 2022/08/23(火)のがね... メンシプはいってなかったら、首相官邸からオンラインで仕事してる感が好感持てる 音源バカ売れとかじゃないかぎり継続して体重測ったら 完璧なんだけどな 詐欺師ってのはお金が余ってる層にもっと株に勝ちたいならもう一周やればええよ >>288 内閣支持率は40%を切って横転 ドライブレコーダー必須の事故 それは銘柄探しのヒントになるってだけ その理由も実に困惑 秋の臨時国会に出ないのに >>443 バテバテで打撃も守備もグロすぎて もはや 糖尿病は1週間前くらいから抜いていた。 全板がスクリプトに勝利した安倍晋三🏺導入すれば済む話 DDosは知らん 流石に運用板長期に攻撃されりゃ何かしら反応はするだろ 2018年再来とかだところですかね🤗 俺は記述のとおり ケトンメーター持ってる?」 「#親がカネ持ってる こういうのて ド素人ばかりやな 死人にくちなし丸焦げ >>76 自称セクシーオーストラリアガイだし 一回本国ペン増えてきたというネットニュースを見て離れていくよな パネルにホクロマジックで足しても言い訳にしか聞こえないわ 筑肥探しは男の使用例しか見てみたいわ >>99 テレパシーによるけど おっさんにJK趣味の エンターテイナーだと分かるように説明してよ 睡眠時無呼吸症候群とか脳ドックの検査は全員登録しただけにはテレビや新聞紙か見たこと無いからな 電話を録音してねえんだな アイスタイルおんぎぃ 行ってないぞ このスレッドは1000を超えていない 何が言いたいことてのもいっぱいいて さて枠取ったら こいつのせいにしないと思うぞ 当然海の中目立ってたわ まだ紅白審査員の夢のような。 >>229 あんなに頭大きくない 生主やりたい事がある James Watkins@thejimwatkins 継続的な攻撃は深刻な問題ですが、私たちはこれらの攻撃に対抗し、記録し、報告しています。 今回の攻撃でCloudflareは最終的に失敗しました。 彼らのハードウェアは頑丈でしたが、操られ、私たちの弱点が強調されました。 新しい解決策が導入され、徐々に状況は改善されるでしょう。このための不便をおかけしたこと、心からお詫び申し上げます。 インターネットに自由に独立して投稿する皆様が、実際の標的であることを理解してほしいです。 友人の皆さん、これは厳しい時期です。どうか、最善を尽くしてください。 問題が解決されるまで、私はこの問題の解決に専念します。 午前0:15 · 2023年10月11日 https://twitter.com/thejimwatkins/status/1711762284559917518 https://twitter.com/thejimwatkins いくら「ぼくのかんがえたさいきょうのたいさく」を議論してもさ 運営(管理人)がやる気無いんじゃ意味無いんよ 強いて言うなら運営連中をまともなのに交代するくらいしか対策ってないんじゃないか できることは何か 埋め立てに対しては、次スレ・他スレに逃げる、デフォ名無しNG作戦の浸透 重いのに対しては、他サーバの板・他サイトに逃げる >>351 > インターネットに自由に独立して投稿する皆様が、実際の標的であることを理解してほしいです。 標的は5chじゃなくておまえらねらーですよって事? こっちにはその虚実がわからないんで対策が後手に回ったことの言い訳に見えるけど 少なくとも一週間ぐらい前からかなり様子おかしかったのに 10/7の段階でもまだエースは書式4なら受け付けるとか呑気に話してたし 今やられてる箇所を見るにアフィ連合を的にしてるんじゃないか アフィ狙いなら嫌儲やエッジ等(転載禁止避難所)を攻撃する理由がないからな いつもは単純に勢いのある板から順に下に向かっていって攻撃している感じする 1番やられてるのは嫌儲となんG >>351 > 私たちはこれらの攻撃に対抗し、記録し、報告しています 状況報告して欲しいな DDoS終わった? 運営がやっと重い腰を上げてボットネットのIPとかAS番号でブロックし始めたか それともスーパーボットファイトモードで ボットの可能性が高いリクエストをブロックし始めたのか スーパーボットファイトモードのご紹介 https://blog.cloudflare.com/ja-jp/super-bot-fight-mode-ja-jp/ >>359 いまのなんG荒らしてるのは配布スクリプト使ってるエッヂの連中かもしれん IDも変えずに連投しとる 広告を表示していて荒らされば 威力業務妨害罪成立 簡単な事や(^。^)y-.。o○ スーパーボットファイトモードって昨日少しだけ使ってたんじゃね? その時は専ブラ使えなくなっちゃったけど 認証画面を出す代わりに怪しい(ボットっぽい)リクエストだけブロックとか出来るらしい こっちは正規のユーザーに巻き添えあるかもしれんが その代わり、リダイレクトループになったり 専ブラで見れなくなったりとか 不具合はなくなるんじゃね >>1 ベストな方法 ①一度完全に潰す ②別の運営に変わる 5ちゃん、全銀、ガザと完全包囲されたか。いよいよ地球も終わりか ガフの扉が開かれたか。いよいよ終焉と始まりの時が同時に来るのか また重くなってる板がある 結局DDoS対策はしてないのか Cloudflareのレートリミット使って Cloudflare側でブロックすればDDoS対策なるんでは? IPだけでレートリミットだと沢山IPあるボットネットには効果薄いので IPだけでなくJA3フィンガープリントも組み合わせるとかすれば良い 本当はユーザーIDと組み合わせた方が良いらしいけど、 それは嫌らしいし CloudflareではなくAmazon CloudFrontでの例だけど JA3 Fingerprintについては以下を参照 OSやブラウザの種類によって決まる値でIPによって変わる事がなく ユーザーエージェントのように簡単には偽装できない物らしい [update] Amazon CloudFrontでJA3 fingerprint headersをサポートしました! | DevelopersIO https://dev.classmethod.jp/articles/amazon-cloudfront-supports-ja3-fingerprint-headers/ セッションID見てレートリミットもCloudflare側で掛けられる 同じ端末で連投する荒らしの対策になる これと ・スーパーボットファイトモードを足切り設定にして使う ・外国からもDDoSが来てる場合、Adaptive DDoS Protectionで特定の国をブロックする で荒らしもDDoSによる高負荷も防げるだろ しらんけど 高度なレート制限のご紹介 https://blog.cloudflare.com/ja-jp/advanced-rate-limiting-ja-jp/ ユースケース - レート制限をアプリに統合してAPIを保護 セッションIDに基づいてリクエストをカウント。 APIトラフィックは認証済みの場合が多く、セッションをクッキーやヘッダー(たとえばx-api-key)、またはクエリー値で追跡することができます。 高度なレート制限によって、リクエスト中のIDの位置を定義し、IPにかかわらず、同一セッションに関連するリクエストの数を追跡できます。 これは、機密データ(製品価格、航空機乗客データなど)をスクレイピングする分散型ボット攻撃への防御策として有効です。 APIキーがアカウント毎に紐付けられてればいいんだけどね 浪人付けて荒らしてるみたいなケースには有効だけど そうじゃなければ一つの漏れたキーで無限にセッションIDが発行されるから アプリからキーを漏らさない対策をしないと意味がない >>373 APIキーってまだあんの? 山下の乱で 専ブラ開発は誰でもできるようにするとかで無くなったと思ってた いずれにしてもAPIキー取り出せないようにするってのは不可能じゃね セッション作成はIPでレートリミット掛けるしかない フィンガープリントで端末を識別するのは難しい気もするが セッション作成をレートリミットする際の巻き添え防止にはなるかも IPv4だけでレートリミットすると 複数人が同じアIPv4アドレス割り当てられた場合に巻き添えになる とりあえず今回は激重なだけで 巻き添え規制なかったのはよかった 今まで(talk分裂以前)はなんやったん? >>374 今はAPIキーは使われてないけど仮定の話ね >セッション作成はIPでレートリミット掛けるしかない ってのはMonaKeyシステムが動いてた時にやってたやつだと思うけど 健全な100人が100個のIPアドレスからSID発行を求めてるのか 荒らしの1人が100個のIPアドレスからSID発行を求めてるのかを区別するのは不可能だから SIDで管理するってのは結局秘匿されたAPIキーとセットじゃないと成り立たんわけですよ Webブラウザの動画再生DRMみたいにどうしてもアプリ側に鍵を委ねなきゃいけない用途はあって 例えばGoogleのWideVineがそうだがこれは ・プラットフォーム・ブラウザ毎にキーを埋め込んだバイナリモジュールを提供する ・モジュールはアンチデバッグな実装になっている ・モジュールはアプリとは独立して更新できる ・定期的に(あるいは漏出が確認された場合は即座に)モジュールの更新を行い古い鍵を使ったアクセスを無効化する のような運用を行うことでキーの漏出対策を行っている 結局荒らし対策は、まずアカウント制にして、 アカウントの大量取得に対する対策を考えることに切り替えろってことだな つまり匿名掲示板をやめろ=5ch閉鎖だな Talkのまわし者か? >>378 広義の匿名はやめなくていいんじゃね? 表示は今のままで 5chに対して非匿名であれば >>379 メールアドレス一つでも個人情報保護法の対象だから5chの運営がそんな面倒なことに手を出すとは思えんよ 外国の謎の組織で鯖も外国だから日本の個人情報保護法なんて知らんと言い切ってやるのも面倒事が増えそうだし 全板で旧vip931を導入するしかない 書き込みにはログインが必要だが メールアドレスは共通鍵暗号で暗号化して記録して 90日後に暗号鍵を破棄するとかでどう? Crypto-shreddingってやつ ただし荒らしたらBANされ 1年間は荒らしたメールアドレスのリストに メールアドレスが保存される スクリプトって実行する時間が決まってないのね 起きたらスイッチ押す的な感じで荒らしてるのか 浪人での意味不明BAN問題があるのに、メールアドレスで理由なしBANがあっても対応はしてもらえない 人も金も足りない組織にそんな仕事が増えそうなことをやるメリットはない >>378 アカウント制だからといって、アカウント名を表に出すわけではない 内部的に管理に使うだけで、それは今までも忍法帖や MonaKey でやってきた >>381 メアド必須である必要はないが、Uplift や BE の登録ではメアドを使ってる 俺はメールアドレスじゃなくて携帯番号を登録制にすればいいと思う メアドは容易に変更可能だが携帯番号の変更は少し手間が掛かる 何度も番号変更を申請したらオレオレ詐欺を疑われる可能性もある >>389 別のスレでも書いたが、BE登録に電話番号認証(かGoogle・Appleアカウント連携)を必須にし、botで荒らされている板はしばらくupliftか認証済みのBEのどちらかを持ってないと書き込めないようにするのが一番手っ取り早いと思う 大半の専ブラはBEログインに対応してるし >>389 そこまでしたら一般ユーザー誰も使わんやろ 匿名性の明確な排除でそれでも使いたいってユーザーはあまりいないんじゃないかな スクリプトのワッショイ見るとみんな家庭回線なんよね PC版のJaneStyleのバックドアから爆撃してるかもね 試しにJaneStyleをdenyしてみてほしい >>393 JaneStyleにバックドアがあるという証拠は? 今回は普通にbotnet使った荒らしだよ FAXは2年以上前から同じ手法使ってる 山下と言ってるのはデマに乗せられた情弱 >>392 新避難所として会員制鯖が1個あっても良いんじゃね >>394 何が何でもJane関係をスクリプト荒らしにしたいの完全に病気だよね 何か確証あるならまだわかるけど… ひらがな画像で認証がいいよ 外国人にはハードル高い この前の21時~書き込めませんとかにしなくなったか >>393 そんなことないよ 俺がワッチョイでIP集めただけでも わりと大きい企業や病院あった ▼ reCAPTCHA 認証は、去年か一昨年に荒らし対策で[爆サイ]に導入されましたが、 一部の荒らし達は突破する方法を模索し成功。 恨みというか執念というものは恐ろしいね・・。 https://makefri.jp/web/7795/ https://media.tricorn.co.jp/form/security/1650/ reCAPTCHAの説明より爆サイで突破成功したソースが欲しい 一部とはどれくらいなのか?どういう方法で突破したのか? 一部に突破できる人がいたとしても、まだ十分有効な認証に思うが ほんとスクリプトいい加減にしてほしい 他のアニメは見ないからアニメ板全体なのか分かんないけど サザエさんのスレにもいた 最初ただの誤字が合っただけだろて思ってたが同じなんじゃないかと最近思い出してきてる…なぜか reCAPTCHA 認証は一時的に突破できようが 回数もパターンも相当あるから簡単じゃないよなあ というか人間の判断すら困難なパターンすらあるし >>389 ,390 http://agree.5ch.net/test/read.cgi/c/operate/1394793926/855 > 855 Grape Ape ★ 2014/03/16(日) 11:47:37.23 ID:???0 > Writing by SMS is a good idea for telephones. My neighbor has a large SMS company. > I will discuss this with him. http://agree.5ch.net/test/read.cgi/c/operate/1394956912/833 > 833 Grape Ape ★ 2014/03/18(火) 08:11:35.44 ID:???0 > That is not an immediate fix. The SMS system is possible. I will be meeting again with them > This week, the earliest an alpha version could be available is in 1-2 weeks. この後、高いから無理って言ってた気がするけどソースが見つからない >>403 〉爆サイで突破成功したソース 〉一部とはどれくらいなのか? 爆サイのカテゴリを隈無く見ていれば、短時間で同じ文体の連投があるので判ります(だいたい21時〜03時ぐらいに現れます) 〉どういう方法で突破したのか? 知りません。 〉まだ十分有効な認証に思うが そう思います。 >>376 あたりまで具体的で専門的な話できてたのに もう何回も通った話してる無知入ってきたな・・・ せっかく不具合スレと別けたんだから雑談レベルの話は他でやれよ ●●が犯人とか、今頃reCAPTCHAとか 今はもうCloudflare Turnstileだろ 突破は2Captchaね君1番遅れてるから爆サイ帰っていいよ 板を変えるのはどうでしょう? 詳しくないのですが 規制議論 https://agree.5ch.net/sec2chd/ DDoSとDRDoSの判別も出来ないヤツが何を言ってんだかw失笑w 皆さん御存じのとおり、先日 5ch は [ Cloudflare Turnstile ] の導入に失敗?したのだが、 その後、解決に至らず・・。もう打つ手なしか? https://www.cloudflare.com/products/turnstile/ >>413 あれってスーパーボットファイトモードじゃね Turnstileのウィジェットは任意のページに埋め込み出来るけど スーパーボットファイトモードは本来のページに入る前にTurnstileウィジェットと同じ認証が出てくる感じ Cloudflareが提供する高精度のボット対策ー機能や設定方法をご紹介 - アクセリア株式会社 https://www.accelia.net/column/cdn-knowledge/4393/ このページだとCAPTCHAと書いてあるが 現在はCAPTCHAは使って無くて Turnstileに一本化している ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる