削除スクリプト開発スレ

削除スクリプト開発スレ (875ﾚｽ)
上下前次1-新
抽出解除ﾚｽ栞あぼーん

11: 名無しさん＠お腹いっぱい。 2011/01/07(金)20:15 HOST:116.82.83.44 AAS
>>3
それは秘密事項なんじゃ

>>7
そうですね。一応URLエンコードしてますが、復号できます。暗号化するならDigestか。
でも、自己署名証明書によるSSLでいいんじゃないすか。削除人や焼き人は２ちゃんねるを信用するということで。

16(1): 名無しさん＠お腹いっぱい。 2011/01/07(金)20:29 HOST:116.82.83.44 AAS
まず、testに置くのはbbs.cgiとread.cgi、offlaw.cgiなどの
一般利用者用CGIとそれらの動作に必要なファイルだけにしようぜ

いっそのこと削除やキャップ管理CGIは別ポートのhttpdにアクセスすることにして、
起動ユーザを分けるとか

19(2): 名無しさん＠お腹いっぱい。 2011/01/07(金)20:44 HOST:116.82.83.44 AAS
とりあえず何話し合うんだ
そこは削除の中を知っている人に出してもらいたい

・認証方式　Digest？Basic？CGI？
・削除人専用窓口へのアクセスの仕方　testの下に置いておいていいのか？

26(2): 名無しさん＠お腹いっぱい。 2011/01/07(金)20:54 HOST:116.82.83.44 AAS
>>21
一般側から管理側を覗かれることを防げますが、それでは意味ないでしょうかね。
スレストの処理をパーミッションでやってるみたいなので、
パーミッションは普通のdat666、スレスト555に今まで通りしておいて、
一般側ユーザと管理側ユーザを同じグループに入れるとかで対応できないでしょうか。

>>23
自己署名証明書じゃダメなんですか？多分タダだと思いますが。
ただし、「この証明書は信頼できません」と出ますが、そこは削除人には２ちゃんねるを信頼してもらうということで。

38(2): 名無しさん＠お腹いっぱい。 2011/01/07(金)21:24 HOST:116.82.83.44 AAS
>>34-35
いや、多分、透明削除時に削除されたレス以後のレスアンカーを変換するってやつでしょ

たとえばこのスレで、>>3と>>4が削除されたら、今俺が書いてるこのレスの冒頭の
「>>34-35」は「>>32-34」に変換される。
まぁ、削除時に膨大な負荷がかかるからダメだな

46(1): 名無しさん＠お腹いっぱい。 2011/01/07(金)21:35 HOST:116.82.83.44 AAS
>>45
オレオレ証明書でも、SSLの暗号化による、読み取りの難しさは得られたと思うけどなぁ
オレオレ証明書でできないのは、
・他のサーバーが２ちゃんねるのサーバーになりすましていないか、証明書を調べて確かめる
・信頼できる認証機関が発行する証明書を受けている機関は信頼できる
このぐらいじゃね？

50(1): 名無しさん＠お腹いっぱい。 2011/01/07(金)21:38 HOST:116.82.83.44 AAS
>>47
削ジェンヌが全部管理してるものと思ってたけど違うんかなぁ

あの人は２ちゃんねるのシステム的なことには疎かった気がする

58: 名無しさん＠お腹いっぱい。 2011/01/07(金)21:44 HOST:116.82.83.44 AAS
２ちゃんねるに置いてあるのは改竄されている可能性もあるので
あんまり信用できないんだけど
それにひょっとしたら、ひょっとしたら削除人が例の脆弱性で削除スクリプトについて
本来のスキル以上に知った可能性も。。。

72: 名無しさん＠お腹いっぱい。 2011/01/07(金)22:00 HOST:116.82.83.44 AAS
>>19
> ・削除人専用窓口へのアクセスの仕方　testの下に置いておいていいのか？
これはとりあえずhttpd分けること>>31にしようか

> ・認証方式　Digest？Basic？CGI？
さてどうするかね。とりあえずSSLで暗号化できるならBASICでいい気がするけど
BASICだと、追加情報を.htpasswdに埋め込めたよね。そこに権限情報を入れれば・・・
それともまさかこんどこそDBの出番かしら。
Apacheにも、DBの情報を使ってBASIC認証を行うようなモジュールもあった気がするし。

73(1): 名無しさん＠お腹いっぱい。 2011/01/07(金)22:00 HOST:116.82.83.44 AAS
>>70
Samba24のこと？あれってキャップで回避できるはずだけど

76: 名無しさん＠お腹いっぱい。 2011/01/07(金)22:05 HOST:116.82.83.44 AAS
>>74
あ、今現在の話を言ってるのね
今議論してる、開発中の削除スクリプトについての話かと思った。

127(1): 名無しさん＠お腹いっぱい。 2011/01/07(金)23:47 HOST:116.82.83.44 AAS
>>126
お止め組統合はむしろお止め組側の都合なんです

今まではお止め組キャップパスと作業パスが一緒でした
そのためキャップパスを漏らすと次から次へとスレが止められてしまいます
そこで、削除システムに組み込むことで、キャップパスと作業パスを分けて安全性の向上を図るものです

131(1): 名無しさん＠お腹いっぱい。 2011/01/08(土)00:14 HOST:116.82.83.44 AAS
少なくとも、お止め組によるスレストと、削除人によるスレストを区別する仕組みがある
datファイルの末尾を見て判断しているだけかもしれないけど

削除人スレストとお止め組スレストは権限が別であるから、スクリプトも別だろう。

137(1): 名無しさん＠お腹いっぱい。 2011/01/08(土)00:25 HOST:116.82.83.44 AAS
>>132
今回、漏れたスクリプトは確かにいろんな機能を搭載していましたが、
他のスクリプトのソース取得や芋掘り、ウイルス仕込み、グルーポンへのジャンプを仕込まれる、
果てには板作成までされてしまうに至ったのは、
「スクリプトの機能」を悪用されたのではなく、「なんでもできる穴」があったためです
「なんでもできる穴」とは、送られてきた命令をそのまま実行してしまうというもので、
「これこれを表示せよ」「このファイルをどこどこに移動せよ」「フォルダの中身を表示せよ」「削除せよ」「作成せよ」など
という命令をなんでも実行してしまうものでした。このような機能は本来搭載されていません。

ある攻撃者は、２ちゃんねるには様々なスクリプトが散らばっている、中にはしっかりと作られていない物未完成な物が
あって、これらをしっかりと管理すべきだった、みたいなことを言っていました。
省1

146(1): 名無しさん＠お腹いっぱい。 2011/01/08(土)00:42 HOST:116.82.83.44 AAS
>>142
> 一つにしておくと怖いな、というのが私の意見のつもり
> なんですが、同じ事をおっしゃられています？
あ、結論を全く逆に書いてしまいました　＜（＾o＾）＞ﾅﾝﾃｺｯﾀｲ
今回原因となったスクリプトが一つにまとまっているからといって、
バラバラにスクリプトを作れば大丈夫とは言えないのではないでしょうか・・・

189: 名無しさん＠お腹いっぱい。 2011/01/08(土)09:57 HOST:116.82.83.44 AAS
旧システムのキャップ設定のスクリプトを見ると、特にアカウントの記述はなく、
URLを知っている＝設定権がある、ということみたいだったけどそれでいいのかしら

あと板設定変更はどうしましょうか

上下前次1-新書関写板覧索設栞歴

ｽﾚ情報赤ﾚｽ抽出画像ﾚｽ抽出歴の未読ｽﾚ AAｻﾑﾈｲﾙ

ぬこの手ぬこTOP 1.584s*