規制人より boo乗っ獲るよ〜♪ のお知らせ ∩( ・ω・)∩ 芋131本目

[0001 名無しの報告 NG NG]

前スレ
規制人より 埋め立て荒らしには負けないぞ ∩( ・ω・)∩ 芋130本目
http://qb5.2ch.net/test/read.cgi/sec2chd/1277234214/

□案内用URL（他スレテンプレ等用）
規制議論板　規制人 規制活動関連スレッド　芋
http://find.2ch.net/?STR=%B5%AC%C0%A9%BF%CD%A1%A1%B0%F2+board%3A2ch%B5%AC%C0%A9%B5%C4%CF%C0&TYPE=TITLE

□雑談して怒られたら、または当板関連各種質問は以下のスレッドへどうぞ〜！
【規制議論板】質問でも雑談でもOKのスレッド★
http://find.2ch.net/?STR=%BC%C1%CC%E4+%BB%A8%C3%CC+board%3A2ch%B5%AC%C0%A9%B5%C4%CF%C0&TYPE=TITLE

[0975 もんぷち ◆rnrnE/E005wG 2010/07/16(金) 22:19:10 ID:/OqHTpSI0]

●鯖は、正規ユーザーからの認証であった場合は
「●ID、認証クライアントIP、鍵１」を鍵２を使って暗号化（処理負担が小さいもの）
して、生成された文字列をセッションIDとして返す。

２ちゃんねるに●を用いた書き込みがあった際は、
まず鍵２を用いてセッションIDを復号化する。
そして鍵１が含まれていたら改ざんされていないと判断し、
IPをチェック。認証時のIPと●使用時のIPが異なっていたら拒否。

┌──────┐(1) 認証.　　　　　┌────┐
│. クライアント１├──────→│　　●鯖　│
│. (IPアドレス１)│←──────┤ tora3.net│
└──┬───┘(2) セッションID　└────┘
　　↑　│
(4).│　│(5)●使用
OK│　│読み書き
　　│　│
　　│　├─────→[盗聴] [クライアント２](IPアドレス２)
　　│　│(6) 盗聴　　　　　　　　　　　│
..┌┴-┴─-┐　　　　　　　　　　　　　│(7) セッションハイジャック
..│　 .2ch　　│　× ←──────┘
..│ (bbs.cgi) │　認証時とIPが異なるので拒否
..└────┘



鍵１と鍵２は定期的に変更する。
これがそのままセッションIDの有効期限になるし、
また鍵２を総当りで突破された場合でも
定期的に鍵が変わるので被害は少ない。

┌──┐
│鍵１ │(3) 鍵の同期
│鍵２ │←────────────┐
└──┘　　　　　　　　　　　　　　　　　 　 │
　↑(1) 12時間ごと（セッションID　　　　　 │
　│の有効期限ごと）に更新.　　　　　　　 │
┌────┐.　　　　　　　　　　　 ┌──┴─┐
│　 .2ch　　│(2) 鍵の変更通知. │　　●鯖　│
│ (bbs.cgi) ├───────→│ tora3.net│
└────┘.　　　　　　　　　　　 └────┘

この方法のメリット
・VivaSambaが不要になるのでその分のリソースが空く
・2chサーバーで必要な処理が一度の復号化とIP、鍵１の比較のみと
　処理負担が今と比べても増えない
・何度か問題になっていたセッションハイジャック（セッションIDを盗んで成りすまし）を防げる
・総当りに対して強い
　（今まではセッションIDの仕組みがバレたら書き換えし放題だった。
　　この方法ならそれができるのは鍵が変わるまでの間のみ）

[0976 もんぷち ◆rnrnE/E005wG 2010/07/16(金) 22:20:01 ID:/OqHTpSI0]

×２ちゃんねるに●を用いた書き込みがあった際は、
○２ちゃんねるに●を用いた書き込み・読み込みがあった際は、

[0977 もんぷち ◆rnrnE/E005wG 2010/07/16(金) 22:21:05 ID:/OqHTpSI0]

メリット追加
　・読み込みに関しても●を共有することができなくなる