[過去ログ] 看板ロゴ・背景・名無し・1001等設定変更議論★10 (1001レス)
上下前次1-新
このスレッドは過去ログ倉庫に格納されています。
次スレ検索 歴削→次スレ 栞削→次スレ 過去ログメニュー
30: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/04(金) 06:22:42 ID:ADlZDxvh0(1)
看板とjavascript,cgiについて
2chスレ:operate
31: garnet ★ [sage] 2011/02/04(金) 21:04:16 ID:???0
さてさて今回のJS禁止のお話なんですが、まずはそもそもの始まりからー。
つい先月にあるCGIからセキュリティホールが見つかり、
2chのサーバに保存されている情報が全て閲覧可能だったことは、
皆さんご存知だとおもいます。
その結果ソースコードを読んだり、削除アカウントを不正に利用したり、
もちろん設定変更スクリプトなんかも操作可能な状態でした。
そこで一旦全てのスクリプトを実行出来なくした上で、
掲示板の動作に最小限必要なスクリプトのみ動作させました。
停止させたスクリプトはセキュリティを強化するべく、
あるものは1から作り直したり、別のあるものは修正を施したりとしています。
省5
32: garnet ★ [sage] 2011/02/04(金) 21:16:11 ID:???0
つづき。
ようやくどうにか動くようになったものの、
また同じようなことになってしまっては作り直した意味が無いので、
スクリプトの場所や、使用方法がバレても困らないようにしよう、
というのが今回の作り直すキッカケになります。
今回の変更スクリプトが取り扱う物:
板設定・・・http://***.2ch.net/板/SETTING.TXT
ローカルルール・・・http://***.2ch.net/板/head.txt
1001・・・http://***.2ch.net/板/1000.txt
作り直す時に、最悪の自体が何なのかを考えました。
省7
33: garnet ★ [sage] 2011/02/04(金) 21:34:26 ID:???0
つづき。
JSを禁止したのはいいんですが、今現在でJSが
導入されている板が結構あることを作り直した後に知りました。
それが、ローカルルールと、看板だったというわけです。
JSは使いたくない、けどJSがないと動かない、
じゃぁ何かいい方法は無いものだろうかというのが今回の趣旨です。
例えば、看板をローテーション(ランダムだったり、日時指定だったり)するのであれば、
JSを使わない方法もあります(あくまで方法だけね)。
フラッシュを表示するには、画像と違って複雑な指定と、
swfファイルの内容を確認しないといけません。
省5
34(1): garnet ★ [sage] 2011/02/04(金) 21:45:09 ID:???0
つづき。
スクリプトでJSを許可するのを img.2ch.net (又はそれ相応の場所)のみ
ということであれば、img.2ch.net が乗っ取られなければ大丈夫であろう、
img.2ch.net が乗っ取られるぐらいだと、それ以上の影響が出るので、
それについては今回の件とは別に考えるということにしました。
それで最初に思いついたのが img.2ch.net に置くという案でしたが、
この方法だと変更人さんがチェックをしなければならず、
大変になってしまうという欠点がありました。
2つ目に思いついたのが、JSのテンプレートを予め幾つか作成しておいて、
用意されたテンプレートを使うのであれば img.2ch.net に置いても良い
省10
35: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/04(金) 21:56:25 ID:Uvnrk0gQP(1)
・一つの板に対し複数の看板を預かってもらえる
・看板をランダムにしたい場合、自分で鯖を用意する必要がなくなった
と
36(1): 名無し娘。 </b>◆iLoGoA.H/M <b> [sage] 2011/02/04(金) 22:47:50 ID:MYpxlLzx0(1/2)
狼板の看板管理してる者です。
狼板では1日限定看板なるものをやってまして
外部リンク[html]:mor001.aki.gs
前日申請で5年以上続けてやってます
2chスレ:zurui
申請して直ぐ変更人さんに対応してもらうのは不可能なので
板住人で管理してる形です
看板ファイルをimg.2ch.netで管理するって事はそこに変更人さん経由で
その都度ファイルを置いてもらわないといけないんですよね?
それだと今まで続けてたものが出来なくなって困ってしまいます。。
省9
37: 名無し娘。 </b>◆iLoGoA.H/M <b> [sage] 2011/02/04(金) 23:20:42 ID:MYpxlLzx0(2/2)
同じような事書きますがすいません。。
板それぞれの雰囲気や歴史や文化的なものって板の住人さんが育てて来たものだと思います。
多分板のトップにある看板とかもその中のひとつなんじゃないかなあって思ってます。
最近「自治」って言葉あんまり聞かないよーな気がしますが
板の事はその板の住民さんが管理するのが基本だったような気がします。
セキュリティを完璧に近づけるなら一元的にコントロールするのがいいんだと思いますが
板の文化的なものも大切にして頂けたらいいなーと思います。
38: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 00:07:44 ID:JB4j5o5T0(1/2)
熱烈な応募と厳正なる審査とちょっとした気まぐれと手違いの結果勝ち残った選ばれし板の看板管理者たちだけに、
看板画像アップローダー権を付与するとかいかがでしょう>がねさん
39(1): garnet ★ [sage] 2011/02/05(土) 00:08:04 ID:???0
ちょっと書き足し。。。
そもそもの一つに、なんでこんな面倒なことやってるのかというと、
削除スクリプトを作るときに「これから作るものは試作品」という位置付けで、
自分の中で妥協しないように作ろうというところがモチベーションに繋がっているので、
半端なものを作るぐらいなら、スクリプトを捨てたほうがマシだと思ってます。
そういう意味で、
「動けば何でもいいなら、その辺のバグプログラマに書かせればいいじゃない。」
と書いたので、可能な限りいい方向に持って行きたいわけです。
既に削除スクリプトも、変更スクリプトも完成して2chに提供したので、
他の方が「garnetなんかほっとこーぜ」で改造しても何の問題もなかったり。
省3
40(1): garnet ★ [sage] 2011/02/05(土) 00:09:15 ID:???0
レスの返事は後ほど。。。
終電前に家路へと。
41: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 00:12:16 ID:JB4j5o5T0(2/2)
>>39
お忙しいのは重々承知の上で申し上げますが、
提案者が、言いたいことだけ言って去るのはちょっと卑怯かなと思います…。
妥協点着地点があるかもしれませんし無いのかもしれませんが、
なるたけ議論にはお付き合いいただきたく存じます。
42: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 00:57:53 ID:ngELIiHS0(1/4)
おちついて、自宅に帰ってきたらまたレスくれるよ
43: 名無し娘。 </b>◆iLoGoA.H/M <b> [sage] 2011/02/05(土) 01:00:08 ID:x4/yf66I0(1/5)
今までの現状維持(外部看板・外部JavaScript)の立場で書きます。
看板やJavaScriptを外部に置くのが問題っていうのは
1)看板管理してる人間の中に悪意をもって変なことする人がいるかもしれない
2)置いてる場所の安全性の問題
ってことなんですよね?
1)
悪意があれば★付きの人でも悪さする可能性があるわけで
そこは何かあった時の事後対処の2ch方式でやってくしかないと思います。。
先ほど私が書いたみたいに看板管理人は連絡のつくメアドを教えておくのはあってもいいのかもと思います。
2)
省7
44: garnet ★ [sage] 2011/02/05(土) 01:21:27 ID:???0
>35
要望かな?(現状そうはなっていないので)
>36-37
システム的な話を抜きに言うと、住人さんがやるというのはすごく賛成です。
元々2chのデフォルトの看板を、住人さんの意志で変えるわけなので、
任せてくれよというのも理解してます。
ただ、イコール問題がないというわけじゃないので、
何かいい方法がないものかと頭を悩ませているわけです。
>38
アップロードってimg.2ch..netにですかね?
省13
45(3): 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 01:24:31 ID:ngELIiHS0(2/4)
外部画像ファイル、内部スクリプトファイル、外部設定ファイルなら
外部画像ファイルの差し替えと外部設定ファイルの変更でなんとかならないですかね
外部設定ファイルで表示する画像を選択してランダムにしたり特定の画像だけ表示したりの変数を設定し
内部スクリプトファイルから外部画像ファイルと外部設定ファイルを参照して表示ってな感じで
内部スクリプトファイルのコードさえ確認とれればgarnet ★さんも安心できるんじゃないかしら
46: garnet ★ [sage] 2011/02/05(土) 01:25:01 ID:???0
よく読んでなかったのでもう一度。。。
>43
1) も 2) もありだと思います。
で、例えば img.2ch.net 以外でも、このURLなら変更させる、
というのもありです。ただ、頻繁に書き換えるのはできないので、
どういうとこならOKなのか、というところがこの場合のポイントになるかと。
47(1): まほら ★ [sage] 2011/02/05(土) 01:32:02 ID:???0
このお話をひろゆきさんとさせて頂いた際、
プロバイダメールでの申請制はどうかと提案したことがございました。
以下は、その際の会話です。
------------------------------------------------------------------------
ま 2004/01/31 20:29 今お話されておりますが、外部ファイルの管理者さんの選定には、
何らかの規定が必要かもしれませんね。
画像ファイルだけでも、結構勝手に変更しただの何だの問題が
あちらこちらで見られますので。
ひ 2004/01/31 20:31 そうかもしれませんねぇ、、
ま 2004/01/31 21:46 保険をかけますか?
省8
48: まほら ★ [sage] 2011/02/05(土) 01:34:02 ID:???0
>>47の一番下は「ま」ではなく「ひ」ですね。
失礼致しました。
思えば、今まさにその「なんかおこったとき」なのですね。
49(1): garnet ★ [sage] 2011/02/05(土) 01:45:42 ID:???0
このレスが終わったら今日のご飯を食べようと思うんだ。。。
>45
しかめっ面で読んでみました。。。
例えば 外部リンク[js]:qb7.2ch.net があって(imgでもおk)、
どっかのサーバの設定を読んで画像を表示する認識であってます?
(kanban.jsじゃなくてもhead.txtや色々方法はあるとして)
それはありです。
どっちかというと、JSだけなら回避方法はあるのでそんなに心配はしていなくて、
swfをどうやって検証しようかというところが一番の悩みです。。
詳しい人カモーン
省4
50: garnet ★ [sage] 2011/02/05(土) 01:52:29 ID:???0
あ、あとこれもこの機会に。。。
結果的にスクリプトを作って動かして、いろいろ元に戻りつつありますが、
早く復旧したいがために完成するまで黙ってようというのは
一番良くないので言うべきところはちゃんとお願いします、
という話を、赤翡翠さんを巻き込んでしてあります。
表でやってなかったので見えてなかったと思いますが、そんな感じです。
51: 名無し娘。 </b>◆iLoGoA.H/M <b> [sage] 2011/02/05(土) 02:18:58 ID:x4/yf66I0(2/5)
私は特に問題がないなら「今までと同じ」が理想です
独自管理してる板のフラッシュやJavaScriptは各板の看板管理人の責任でチェックすればいいと思います。。
garnetさんのお話を見てると新しい変更スクリプトの仕様(JavaScript NGとか)ありきな気がするんですけど
そういうわけじゃないんです?
52: 名無し娘。 </b>◆iLoGoA.H/M <b> [sage] 2011/02/05(土) 02:22:50 ID:x4/yf66I0(3/5)
JavaScriptなんですけど
置いてあるサーバーに侵入されて書き換えられる以外に
今の形式だと
他にどんな悪さされる可能性があるんでしょうか?
53: まほら ★ [] 2011/02/05(土) 02:33:53 ID:???0
お話をぶった切って申し訳ございません。
>>4さん
申請は遠慮せずなさってください。
仮に本格稼動にある程度時間がかかったと致しましても、
ご申請がそれ以降であれば、
議論スレを拝読するのも自動的にそれ以降になってしまいます。
それ以前であれば、前もって議論スレを拝読して、
本格稼動直後に対応できるかもしれませんからね。
54: 名無し娘。 </b>◆iLoGoA.H/M <b> [sage] 2011/02/05(土) 02:55:46 ID:x4/yf66I0(4/5)
JavaScripの特定の命令に脆弱性があるのなら
それさえ使わなければいいのかな?って素人としては思ってしまいました
普通は看板のローテーションと時間管理さえ出来ればいいので
プログラム内でこういうの使っちゃダメとか
看板管理人さん向けにガイドライン的なものがあれば特にJavaScript禁止とかしなくてもいいのかなぁって思いました。
おやすみなさい。。
55(1): garnet ★ [sage] 2011/02/05(土) 03:30:09 ID:???0
>名無し娘。 ◆iLoGoA.H/Mさん
看板を置いてある方ではなくて、変更スクリプトからSETTING.TXTに反映する時の話です。
SETTING.TXTには「BBS_TITLE_PICTURE」の項目があるわけですが、
通常は BBS_TITLE_PICTURE=外部リンク[js]:example.com
のように看板が設定されています。
悪意のある人が変更スクリプトを操作すると、このURLが
外部リンク[js]:example.jp に変更することが出来てしまうので、
設置場所が安全なだけではダメなんですよ。
この悪意のある人というのは、変更人さんのことではなくて、
スクリプトを誤作動させたり、変更人さんのアカウントが流出したり、
省8
56(1): garnet ★ [sage] 2011/02/05(土) 04:07:59 ID:???0
>45さんの案は結構ナイスな気がするー。
FlashはPerlモジュールのSWF::Fileというのを見つけてみたので、
スクリプト的にチェックはできそう。もっと手軽な方法はないかなぁ。
てか、動画サイトでその手の扱っているはずなので方法はきっとあるよねぇ。
57(2): 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 05:16:20 ID:ngELIiHS0(3/4)
>>49
>>45はその認識で結構ですー
技術的なことはよくわからない4610なんでjsとswfでそんなに違うのかと思いました
それはさておき
設定変更スクリプトを掌握されると任意の外部スクリプトを設定できてしまうのなら
2ちゃんねる鯖に置くjs又はswfファイルの安全性を事前に検証したところで、全く意味がないような
となるとスクリプトを設定できる鯖を限定する>>34上案になるのか
>名無し娘。 ◆iLoGoA.H/Mさん他看板管理人さん方へ
スクリプト自体もちょこちょこ手直しするものなんでしょうか?
>>34上案の欠点が、変更人がスクリプトコードのチェックをする負担、ということなら
省9
58(1): 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 05:33:44 ID:ngELIiHS0(4/4)
>>57
あ、swfってバイナリファイルなんですね
公開コードチェック後は2ちゃんねる側でコンパイルの必要ありかな
>>56
しかめっ面がえびす顔になってたらうれしーなー
59: 名無し娘。 </b>◆iLoGoA.H/M <b> [sage] 2011/02/05(土) 05:54:49 ID:x4/yf66I0(5/5)
色々考えてたら寝付けないです・・
看板管理してる者の立場から言いたいのは今まで出来てた事が出来なくなっちゃうのは困っちゃうなぁーって所です。。
セキュリティを厳しくすると自由度がなくなるし
難しいですね。。
>>45
外部設定ファイルの参照先ってやっぱりどこかで設定しなくちゃいけないんですよね?
その部分が乗っ取られたら今と同じじゃないのかなぁって思います。
スクリプト記述部分はなくなるかもしれませんが・・
>>55
そちら側の話でしたら私はよく分からないですけど
省16
60: garnet ★ [sage] 2011/02/05(土) 06:41:13 ID:???0
そろそろおねむ。。。
また夜きます。
>59
具体的な脅威については最近なにかと話題のflashの0-day attack問題と、
Gumblarについて調べてみるといいですよ。
もちろん、jpegで過去にもありましたし。
表示を崩すとか、でかいファイルとかそういうのでは無いんですよ。
61: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 08:55:58 ID:ogH84q7f0(1)
女★ばかりのスレに萌えます
62: がる ★ [sage] 2011/02/05(土) 13:48:18 ID:???0
>>58
swfファイルをコンパイルするにはFLASHを持っていないといけないですし、
FLASHのバージョンによってはうまくコンパイル出来ないこともあるわけです。
変更人さん全員にFLASHの最新版を買えというのも非現実的ですし、
フリーのswf作成ソフトを使うにしても、FLAファイルのバージョンによっては上手くコンパイル
出来ないことが多いので、どちらにしても非現実的です。
また、FLAを公開したくない職人さんも多いと思います。生のソースなので公開は恥ずかしいと
考えている方も多いでしょう。
また、ActionScriptの取り扱いをどうするのかとか考えると、swf禁止というのもあるかもですが、
元々js対応した経緯は、FLASH板だから看板もFLASHにしたいという純粋で素朴な
省4
63: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 14:26:56 ID:JOJI797C0(1/2)
新しく強力な js.2ch.net とかの鯖を狐さんに作ってもらって、
garnet ★さんがその鯖を管理して、、、、
設定人さんが必要なら管理を手伝うって形がいいんじゃないの?
(設定人さんが手伝わなくてもいいかもしれんけど、garnet ★さんが
一人でやるのが無理なら、そこは協力をお願いすればいいでしょう)。
64: ト [マス ★[sage] 2011/02/05(土) 18:21:29 ID:???0
質雑スレに古いURLで書いてしまったので改めてこちらに・・js看板の板一覧です
2ch板:bakanews
2ch板:bizplus
2ch板:dqnplus
2ch板:femnewsplus
2ch板:moeplus
2ch板:wildplus
2ch板:news5plus
2ch板:sake
2ch板:zoid
省13
65: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 22:10:37 ID:o0q3n+SwP(1)
今まで問題になってないとこはOK(既得権益化)して、
新規分だけ一切禁止にするというのはどうだろう
66(1): garnet ★ [sage] 2011/02/05(土) 22:15:42 ID:???0
>57-58
jsもswfも任意のスクリプトを実行できてしまうところは同じですが、
jsファイルの場合CGIを使用したり、設定として外部テキストにするなどの
方法で対応できそうな気がするのでハードルが下がったと思っています。
swfファイルの場合がるさんが仰っているような問題もあるので、
何かいい方法があればいいんですが、、、
今思いつたアイディア。
パラメタで外部画像を指定するswfファイルを2chで用意して、
swf表示はそのswfファイルを経由してもらうという方法なら、
自由度は下がりますが、表示はできるかも。
省1
67(2): garnet ★ [sage] 2011/02/05(土) 22:18:02 ID:???0
>63
サーバを用意するのはいいんですが、
誰かに依存する形で仕組みを作ってしまうと
その人がいないと回らなくなってしまうので、
出来ることなら誰でも簡単にが理想ですねぇ。
最初の動くところまでは頑張りますよー。
68: garnet ★ [sage] 2011/02/05(土) 22:20:58 ID:???0
う、間違えて書き込みボタンを押してしまう。。。
>64
どもどもですー。
質雑スレので十分助かりましたよん。
>65
一切禁止にはしたくない方向です。
69: garnet ★ [sage] 2011/02/05(土) 22:30:02 ID:???0
全く4610な質問で申し訳ないのですが、
フラッシュで使われているアニメーションって、
gifとかなんでしょうかね?
だとすると、jsの時と同じ方法がつかえるのかも。
で、フラッシュならではの必要な機能を盛りこんでおいて、
外部の設定ファイルで指定すると動く仕組みにするとか。。。
70: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 22:36:49 ID:JOJI797C0(2/2)
>>67
器を用意するところまで頑張れば、
あとは設定人さんも手伝ってくれると思うよ。
看板と同じというわけにはいかないけど。
チェックが必要になるから。
何となく落としどころはそんなところな気がする。
いまは転送量とか性能の問題もあるからimgでは受け
入れられなっぽいから、大きな器を作ればいいのかなと。
安全な。
71: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/05(土) 22:37:53 ID:+Osu7o/W0(1)
その前に、生存してる職人さんがどれほどいるんだか・・・
72(1): 動け動けウゴウゴ2ちゃんねる [] 2011/02/05(土) 22:58:06 ID:ZTz69aaK0(1)
酒板からの意見ですよ。
633 :呑んべぇさん:2011/02/05(土) 08:09:29
>>632
看板なんて要らないから廃止していいよ。
634 :呑んべぇさん:2011/02/05(土) 11:32:18
専ブラじゃ見ないけど需要どんだけあるのかな
635 :呑んべぇさん:2011/02/05(土) 11:41:35
うむ、初めて見たわぁw
画像リンク
色々切り替えるのが問題なんだろうけど
省2
73: </b>◆NAO/2MXDEk <b> [sage] 2011/02/05(土) 23:34:29 ID:fVM9YoHa0(1/2)
ランダムに表示かー
74: </b>◆NAO/2MXDEk <b> [sage] 2011/02/05(土) 23:47:14 ID:fVM9YoHa0(2/2)
Flash板だけ例外的にガネさんがレビューをかけるということで管理が出来るものとして、
後をなんか妙案で上手い事出来ればいいんでないかと言う事かなあ
75: garnet ★ [sage] 2011/02/06(日) 00:10:30 ID:???0
>70
imgの現状をよくしらないので、ちょっと教えてもらってみてきますかー。
>71
ですねぇ。。。
>72
わろたw
>74
例外は作らない方向でー。
全板で出来なきゃ意味が無いです。
76(1): </b>◆NAO/2MXDEk <b> [] 2011/02/06(日) 00:12:01 ID:d5reu7tE0(1/4)
ランダムにイメージを表示するテスト
外部リンク:happy.70.kg
更新してみてください。適当にランダムなはず。
規則的にも、頭使えば出来るよ。
ex. 日付、時間、曜日. etc...
んで、表示してる画像はこれ↓
画像リンク
単なる画像としてなら申請は容易にできるのかな?
77: garnet ★ [sage] 2011/02/06(日) 00:17:53 ID:???0
んと、なんか話がかみ合っていない気がするので、
もう一度スレを読みなおしてみてください。
78: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/06(日) 00:18:14 ID:OLxyMos1P(1/2)
ショボーンしか出ない…
79: 動け動けウゴウゴ2ちゃんねる [sage] 2011/02/06(日) 00:23:29 ID:OLxyMos1P(2/2)
Flashに対する需要と供給ってどんなもんなんですかね?
投稿動画サイトなんてモンが出てくる以前のFlash全盛期ならいざ知らず、
今となっては作り手も受け手もいないであろうものを、
特別に議論を侃々諤々してまでシステムに組み込む意味はあるのかなあ?
上下前次1-新書関写板覧索設栞歴
あと 922 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.189s*