前スレ
規制人より 埋め立て荒らしには負けないぞ ∩( ・ω・)∩ 芋130本目
http://qb5.2ch.net/test/read.cgi/sec2chd/1277234214/
□案内用URL(他スレテンプレ等用)
規制議論板 規制人 規制活動関連スレッド 芋
http://find.2ch.net/?STR=%B5%AC%C0%A9%BF%CD%A1%A1%B0%F2+board%3A2ch%B5%AC%C0%A9%B5%C4%CF%C0&TYPE=TITLE
□雑談して怒られたら、または当板関連各種質問は以下のスレッドへどうぞ〜!
【規制議論板】質問でも雑談でもOKのスレッド★
http://find.2ch.net/?STR=%BC%C1%CC%E4+%BB%A8%C3%CC+board%3A2ch%B5%AC%C0%A9%B5%C4%CF%C0&TYPE=TITLE
規制人より boo乗っ獲るよ〜♪ のお知らせ ∩( ・ω・)∩ 芋131本目
レス数が950を超えています。1000を超えると書き込みができなくなります。
1名無しの報告
NGNG975もんぷち ◆rnrnE/E005wG
2010/07/16(金) 22:19:10ID:/OqHTpSI0 ●鯖は、正規ユーザーからの認証であった場合は
「●ID、認証クライアントIP、鍵1」を鍵2を使って暗号化(処理負担が小さいもの)
して、生成された文字列をセッションIDとして返す。
2ちゃんねるに●を用いた書き込みがあった際は、
まず鍵2を用いてセッションIDを復号化する。
そして鍵1が含まれていたら改ざんされていないと判断し、
IPをチェック。認証時のIPと●使用時のIPが異なっていたら拒否。
┌──────┐(1) 認証. ┌────┐
│. クライアント1├──────→│ ●鯖 │
│. (IPアドレス1)│←──────┤ tora3.net│
└──┬───┘(2) セッションID └────┘
↑ │
(4).│ │(5)●使用
OK│ │読み書き
│ │
│ ├─────→[盗聴] [クライアント2](IPアドレス2)
│ │(6) 盗聴 │
..┌┴-┴─-┐ │(7) セッションハイジャック
..│ .2ch │ × ←──────┘
..│ (bbs.cgi) │ 認証時とIPが異なるので拒否
..└────┘
鍵1と鍵2は定期的に変更する。
これがそのままセッションIDの有効期限になるし、
また鍵2を総当りで突破された場合でも
定期的に鍵が変わるので被害は少ない。
┌──┐
│鍵1 │(3) 鍵の同期
│鍵2 │←────────────┐
└──┘ │
↑(1) 12時間ごと(セッションID │
│の有効期限ごと)に更新. │
┌────┐. ┌──┴─┐
│ .2ch │(2) 鍵の変更通知. │ ●鯖 │
│ (bbs.cgi) ├───────→│ tora3.net│
└────┘. └────┘
この方法のメリット
・VivaSambaが不要になるのでその分のリソースが空く
・2chサーバーで必要な処理が一度の復号化とIP、鍵1の比較のみと
処理負担が今と比べても増えない
・何度か問題になっていたセッションハイジャック(セッションIDを盗んで成りすまし)を防げる
・総当りに対して強い
(今まではセッションIDの仕組みがバレたら書き換えし放題だった。
この方法ならそれができるのは鍵が変わるまでの間のみ)
「●ID、認証クライアントIP、鍵1」を鍵2を使って暗号化(処理負担が小さいもの)
して、生成された文字列をセッションIDとして返す。
2ちゃんねるに●を用いた書き込みがあった際は、
まず鍵2を用いてセッションIDを復号化する。
そして鍵1が含まれていたら改ざんされていないと判断し、
IPをチェック。認証時のIPと●使用時のIPが異なっていたら拒否。
┌──────┐(1) 認証. ┌────┐
│. クライアント1├──────→│ ●鯖 │
│. (IPアドレス1)│←──────┤ tora3.net│
└──┬───┘(2) セッションID └────┘
↑ │
(4).│ │(5)●使用
OK│ │読み書き
│ │
│ ├─────→[盗聴] [クライアント2](IPアドレス2)
│ │(6) 盗聴 │
..┌┴-┴─-┐ │(7) セッションハイジャック
..│ .2ch │ × ←──────┘
..│ (bbs.cgi) │ 認証時とIPが異なるので拒否
..└────┘
鍵1と鍵2は定期的に変更する。
これがそのままセッションIDの有効期限になるし、
また鍵2を総当りで突破された場合でも
定期的に鍵が変わるので被害は少ない。
┌──┐
│鍵1 │(3) 鍵の同期
│鍵2 │←────────────┐
└──┘ │
↑(1) 12時間ごと(セッションID │
│の有効期限ごと)に更新. │
┌────┐. ┌──┴─┐
│ .2ch │(2) 鍵の変更通知. │ ●鯖 │
│ (bbs.cgi) ├───────→│ tora3.net│
└────┘. └────┘
この方法のメリット
・VivaSambaが不要になるのでその分のリソースが空く
・2chサーバーで必要な処理が一度の復号化とIP、鍵1の比較のみと
処理負担が今と比べても増えない
・何度か問題になっていたセッションハイジャック(セッションIDを盗んで成りすまし)を防げる
・総当りに対して強い
(今まではセッションIDの仕組みがバレたら書き換えし放題だった。
この方法ならそれができるのは鍵が変わるまでの間のみ)
976もんぷち ◆rnrnE/E005wG
2010/07/16(金) 22:20:01ID:/OqHTpSI0 ×2ちゃんねるに●を用いた書き込みがあった際は、
○2ちゃんねるに●を用いた書き込み・読み込みがあった際は、
○2ちゃんねるに●を用いた書き込み・読み込みがあった際は、
977もんぷち ◆rnrnE/E005wG
2010/07/16(金) 22:21:05ID:/OqHTpSI0 メリット追加
・読み込みに関しても●を共有することができなくなる
・読み込みに関しても●を共有することができなくなる
レス数が950を超えています。1000を超えると書き込みができなくなります。
