セキュリティースレッド (262レス)
上下前次1-新
61: 名無しさん@お腹いっぱい。 01/09/02 18:05 ID:EuE1F3p.(2/2) AAS
今読み返してみたけど、良く考えたらsuidされないって事は
誰のスクリプトで同じgid.uidで動いてる(httpとか?)んだから
無理に決まってますね、何をトチ狂った事言ってるんだろ。。
サーバー屋さんにもポリシーとか有ると思うんですけど、
suidしないでCGI走らせてるのは、何か意味があるのかな
一昔前はsuidする事で色々不具合が有ったとか聞きましたけど
62: 名無しさん@お腹いっぱい。 01/09/03 13:04 ID:q4PFiNww(1) AAS
上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
+環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが
63: 名無しさん@お腹いっぱい。 01/09/03 13:04 ID:5EXVIAGY(1) AAS
上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
+環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが
64: 名無しさん@お腹いっぱい。 [0] 01/10/07 17:57 ID:??? AAS
perlCGIでセッション管理の良い方法は有りますか?
今は生パスをhiddenで吐いてるんですが、色々有って辞めたいんです
65: 名無しさん@お腹いっぱい。 01/10/07 18:52 ID:??? AAS
Apache::Session
66: こんなのはどう? [(・∀・)♪] 01/10/08 01:17 ID:??? AAS
nobodyな駄目鯖でもそこそこ安心になって欲しいと思って昔書いた
I/F的にどうしてもGETを使いたかったから。
パス合致でセッション開始→ランダムKEY作成(KEY1)→暗号化(CRYKEY1)
session.txtにCRYKEY1を保存、→session.txtのstat[8](KEY2)を取得→
これを暗号化(CRYKEY2)してクッキーに焼く
KEY1をGETで渡すパラメータに使う
後は全部合致ならOK、
クッキーに焼いた最終アクセス時が合致しなかったら(だれかがCGIで覗いたら)バイバイ
KEY1照合して駄目でもバイバイって感じ
更にExpireを短めにしたり、hostとかも記録してたなあ、、
省3
67(1): [0] 01/10/08 01:52 ID:??? AAS
そんな事より66よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
昨日、鏡見たんです。鏡。
そしたらなんかめちゃくちゃ不細工な奴がっ映ってるんです。
で、よく見たら、いや、よく見なくても、それ俺なんです。
もうね、アホかと。馬鹿かと。
俺な、不細工にも程があるだろうが、ボケが。
超不細工だよ、超絶不細工。
なんか頭も薄くなってるし。デブ、ハゲ、オクメ、ニジュウアゴの4重苦か。死にて―よ。
子供が見たら泣き出すの。もう生きてらんない。
俺な、こりゃ人間の顔じゃねえぞ。猿だぞ。
省17
68: 名無しさん@お腹いっぱい。 01/10/09 22:42 ID:eV573JsY(1) AAS
adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
省10
69: 名無しさん@お腹いっぱい。 01/10/09 23:04 ID:??? AAS
>>67
バクショウシタ(w
70: 名無しさん@お腹いっぱい。 01/10/14 19:20 ID:G+Oqantk(1) AAS
PKIをやってる会社もこんなもんか。
外部リンク[html]:www.st.ryukoku.ac.jp
71: JAPU ◆JAPUTeX. [japu@REMOVE-THIS-PART.ansi.co.jp] 01/10/19 14:46 ID:??? AAS
/FYI/
PHP variables passed from the browser are stored in global context
外部リンク:www.kb.cert.org
何でもデフォルトではURLで渡された値がグローバル変数に入る。
この動作を変更しておかないと外部から様々な操作される危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
ってことで合ってる?
# メイドさんベストも買ってきたことだし、寝るー
72: 名無しさん@お腹いっぱい。 01/10/19 15:37 ID:??? AAS
ちゅうか、PHPってTaintチェックとかは無いの?
73(1): 名無しさん@お腹いっぱい。 01/10/20 01:07 ID:??? AAS
メイドさんベストって何だ〜〜〜〜〜〜〜〜〜!?
74: JAPU ◆JAPUTeX. 01/10/20 01:17 ID:??? AAS
>>73
外部リンク:www.hobibox.co.jp
しかしこれを買うと次から店員にマークされるという危険 (以下略)
75: ちょっと遅いけど一応 01/11/21 02:57 ID:/hKlGx5U(1) AAS
ActivePerlにバッファオーバーフロー問題が発覚
外部リンク[pl]:slashdot.jp
76: 名無しさん@お腹いっぱい。 01/12/13 23:03 ID:zgPJrrI6(1) AAS
これ、ここの人なら前から気付いてたんじゃない?
DLしちゃうんだよなぁ・・・・
外部リンク[pl]:slashdot.jp
77(1): 名無しさん@お腹いっぱい。 [0] 01/12/17 16:48 ID:??? AAS
あほがpostバグ付いてるね age
78(1): 名無しさん@お腹いっぱい。 01/12/17 18:01 ID:??? AAS
>77
裏2chの事?(笑
ちょっと見たけどスクリプト使ってるみたいだね。
取り合えずJavascript関連全てOFFを呼びかけるしか無いんじゃないかな
実際問題そろそろ2chにも認証コードが必要な段階だと思う。
IEにはもう一つこわ〜〜ぃ仕様が潜んでるからね(笑
こっちはセキュリティーレベル関係無いし・・・
79(1): 名無し 01/12/18 04:45 ID:??? AAS
>>78
罠が起動するのはIEだけだよ。
NetscapeやOperaじゃJavaScriptのイベントが起動しないので
書き込まれない。ってこの部分はWeb制作板だーね。
80: 仕様書無しさん 01/12/18 06:16 ID:??? AAS
>79 問題なのはIEだと静的なhtmlで同等の事が出来てしまう所だ
78もその辺りを言ってるんだと思う。
何時か来るとは思ってたが、こう言う事する奴はそのうち気が付いて
しまうからね。
上下前次1-新書関写板覧索設栞歴
あと 182 レスあります
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.626s*