セキュリティースレッド (262レス)
セキュリティースレッド http://medaka.5ch.io/test/read.cgi/php/995032597/
上
下
前
次
1-
新
通常表示
512バイト分割
レス栞
1: 名無しさん@お腹いっぱい。 [] 2001/07/13(金) 22:56 ID:E2ZAzpeM ウェブプログラミング関係のセキュリティー関連スレッド http://www.japu.org/sa/ http://www.lac.co.jp/security/information/Cgisecurity/ http://www.w3.org/Security/faq/001031wwwsfj.ja.sjis.html http://www.cert.org/tech_tips/cgi_metacharacters.html http://www.w3.org/Security/ http://medaka.5ch.io/test/read.cgi/php/995032597/1
2: ひろゆき [sage] 2001/07/13(金) 23:06 ID:??? ニヤリッ http://medaka.5ch.io/test/read.cgi/php/995032597/2
3: age [age] 2001/07/18(水) 20:49 ID:??? セッション管理の脆弱性 http://www.japu.org/cgi/security/session_vulnerability.html 刑事告発 or 民事訴訟? http://www.japu.org/sa/ http://medaka.5ch.io/test/read.cgi/php/995032597/3
4: 名無しさん@お腹いっぱい。 [] 2001/07/19(木) 09:03 ID:CQZNnuRk http://www.small-j.com/small/ |また、某ホームページで記載されている件ですが |「不正アクセス行為の禁止等に関する法律」 |(2000/02/13施行) |の一部に該当するおそれがあると思われます。(不正アクセスを助長する行為) わざわざ自分の馬鹿さ加減を世界に公開しなくてもいいのに。 http://medaka.5ch.io/test/read.cgi/php/995032597/4
5: ななし [] 2001/07/19(木) 20:31 ID:0JFzIhxU これはさらしageOK? http://medaka.5ch.io/test/read.cgi/php/995032597/5
6: 名無しさん@お腹いっぱい。 [sage] 2001/07/19(木) 21:04 ID:??? 厨房がソフトウェアを公開 ↓ セキュリティホール満載 ↓ 指摘 ↓ 逆ギレ ↓ ネタ(゚д゚)ウマー http://medaka.5ch.io/test/read.cgi/php/995032597/6
7: 名無しさん@お腹いっぱい。 [0] 2001/07/25(水) 10:48 ID:??? 終わったようだ・・・ http://medaka.5ch.io/test/read.cgi/php/995032597/7
8: 名無しさん@お腹いっぱい。 [sage] 2001/07/25(水) 11:15 ID:??? サイト自体があぼーんされたようだけど 素直に受け入れていれば良いものを、 http://medaka.5ch.io/test/read.cgi/php/995032597/8
9: 名無しさん@お腹いっぱい。 [] 2001/07/25(水) 11:40 ID:smbEF.cM 最高に・・・(・∀・)イイ!! http://kame.tadaima.com/2ch/ http://medaka.5ch.io/test/read.cgi/php/995032597/9
10: 加奈子 [0] 2001/07/25(水) 13:15 ID:??? セキュリティは重要よねん♪夏休みであらしさん多いし〜♪♪(はぁと) http://medaka.5ch.io/test/read.cgi/php/995032597/10
11: 名無しさん@お腹いっぱい。 [0] 2001/07/26(木) 23:39 ID:??? C-BOARD配布停止してたのね http://skully.lib.net/c-board.shtml http://www.nk.rim.or.jp/~t_kimata/cgi/ http://medaka.5ch.io/test/read.cgi/php/995032597/11
12: 名無しさん@お腹いっぱい。 [] 2001/08/23(木) 02:41 ID:FYJUZ71g ttp://php.s3.to/ What's NewでTHIS WEB SITE IS HACKED BY CHINESEと 出ているけど、マジかなぁ? http://medaka.5ch.io/test/read.cgi/php/995032597/12
13: 名無しさん@お腹いっぱい。 [sage] 2001/08/23(木) 02:44 ID:??? >>12 本当だとしても span が閉じてないのがへぼいな。 http://medaka.5ch.io/test/read.cgi/php/995032597/13
14: 名無しさん@お腹いっぱい。 [sage] 2001/08/23(木) 02:52 ID:??? しかし、ウェブプログラミングほどセキュリティーホール作りやすい物もないのに、その意識が低いのは何故かね? 重要度が低い物ばっかだからかな? http://medaka.5ch.io/test/read.cgi/php/995032597/14
15: 名無しさん@お腹いっぱい。 [sage] 2001/08/23(木) 03:26 ID:??? ところで、モナーとギコはlinux板で使われてるから・・ゾヌか! http://medaka.5ch.io/test/read.cgi/php/995032597/15
16: 15 [sage] 2001/08/23(木) 03:27 ID:??? すみませぬ・・誤爆 http://medaka.5ch.io/test/read.cgi/php/995032597/16
17: JAPU@このご時世、あゆ萌えとか言ってたらヤバイ? [AyuMoe@REMOVE-THIS-PART.JAPU.ORG] 2001/08/23(木) 05:26 ID:??? うぅ... 原稿書いていたらこんな時間に。 他と比べてセキュリティに関して書かれていることが少ないし、そもそもCGIプログラマの平均レベルが低いからでは。(もちろん、すごい人も多いんだけど。) やっぱ地道に啓蒙していくしかないのかな。 ---- WebProgとはちょっと外れるけど、こういうペーパー出てるので、読んでおくと良いかも。 Paper: HTML Form Protocol Attack http://www.remote.org/jochen/sec/hfpa/ http://medaka.5ch.io/test/read.cgi/php/995032597/17
18: 名無しさん@お腹いっぱい。 [sage ] 2001/08/23(木) 09:53 ID:??? 何これ? こええなー、がんばって読んでみよう (悲 あんがと>JAPUたん あゆ萌えはダメ! :-) http://medaka.5ch.io/test/read.cgi/php/995032597/18
19: JAPU@じゃ、スクルド萌えってことで。B-) [dsge] 2001/08/23(木) 20:36 ID:??? 簡単に言えば、悪意あるフォームから SMTP / NNTP / IRC などのテキストプロトコルに対して送信できちゃうってことです。 気をつけなくちゃいけないのは、サーバ・ブラウザの作者とユーザなんで、ちょっとWebProgとは外れちゃいますけどね。 http://medaka.5ch.io/test/read.cgi/php/995032597/19
20: 名無しさん@お腹いっぱい。 [sage] 2001/08/24(金) 02:10 ID:??? >>12 BBSに管理人のコメントがあったけど、レベルの低さに閉口だな。 いくつかスクリプト配布してるみたいだけど、あれも全部ダメなんだろうな。 http://medaka.5ch.io/test/read.cgi/php/995032597/20
21: 名無しさん@お腹いっぱい。 [sage] 2001/08/24(金) 04:45 ID:??? クッキーってクライアントが申告する物だから比較的簡単に自分で値を設定できると思うんですけど、この考えは間違ってますか? それ自体セキュリティーホールには成り得ないけれども、CGI等で認証後IDをクッキーで引き回してるだけのところとかあるんで大丈夫か?と思いまして。 http://medaka.5ch.io/test/read.cgi/php/995032597/21
22: JAPU@でも、最近は千影たんが気になるんです [AyuMoe@REMOVE-THIS-PART.JAPU.ORG] 2001/08/24(金) 05:23 ID:??? >>21 その考えて正しいです。 QUERY_STRING とか、クッキーの値はまず疑うことから始めなくちゃダメよん。いくらでも自由に設定出来ちゃうから。 http://medaka.5ch.io/test/read.cgi/php/995032597/22
23: 21 [sage] 2001/08/24(金) 06:05 ID:??? >>22 ですよね。 ありがとうございます。うやむやが解消されました。 でも、やっぱ巷にあふれるCGIってセキュリティー甘いですね。 どもです。 http://medaka.5ch.io/test/read.cgi/php/995032597/23
24: 名無しさん@お腹いっぱい。 [] 2001/08/24(金) 06:25 ID:ULL5uXLk >>20 俺も掲示板の管理人コメント見て藁った。 面倒くさかったら、GETメソッドはダメ、 POSTメソッドでもリンク元が自分のとこじゃ ないとダメとか自分のIP以外はダメとか 何らかの手段があると思うんだけどね。 http://medaka.5ch.io/test/read.cgi/php/995032597/24
25: 名無しさん@お腹いっぱい。 [age] 2001/08/24(金) 07:21 ID:??? すいません。 >>POSTメソッドでもリンク元が自分のとこじゃないとダメ これについて解決法が無くて困っています。 一般的にはHTTP_REFERERを見て自サイトかどうか確認しますよね? でもHTTP_REFERERはクライアント申告だから偽れますよね? なので困ってます。 昔はCookieで何とかなると思ってたんですけどクッキーもクライアント申告なんですよね。 REFERERとCOOKIEの実装で大概大丈夫だとは思いますが、中途半端な実装であることは間違いないですよね。 今まで中途半端な実装できたんですけど、解決策お持ちの方がいらっしゃったら教えてください。 http://medaka.5ch.io/test/read.cgi/php/995032597/25
26: 名無しさん@お腹いっぱい。 [] 2001/08/24(金) 17:56 ID:cjfCNev. >>20 今のページ、派手に書き換わってるな・・ 保存しとこ。 ttp://php.s3.to/ なぜかShift-JIS。 http://medaka.5ch.io/test/read.cgi/php/995032597/26
27: 名無しさん@お腹いっぱい。 [] 2001/08/24(金) 18:02 ID:cjfCNev. >>25 いたずら「しにくく」することは出来るけどね。。 完全な実装は無理だと思う http://medaka.5ch.io/test/read.cgi/php/995032597/27
28: 名無しさん@お腹いっぱい。 [] 2001/08/24(金) 18:41 ID:ULL5uXLk >>26 俺も保存した。ここまで来ると完全な犯罪だね(w >>27 すっげー面倒くさいが、 ログイン→認証成功→認証成功したメールアドレス宛に 本ログイン用URLを送信→本ログイン→書き込み 最初のログイン時にIPとセッションIDを作成して保存して、 そのセッションIDを含めたURLで本ログイン。 もちろん、最初のログイン時と本ログイン時のIPが 同一であるかどうかをチェック。 これでどうだろ? 俺はイヤだ・・・ http://medaka.5ch.io/test/read.cgi/php/995032597/28
29: 名無しさん@お腹いっぱい。 [sage ] 2001/08/24(金) 20:43 ID:??? 毎回hiddenでランダムキー吐き出して認証するとか ダサいなー。。 (-_- http://medaka.5ch.io/test/read.cgi/php/995032597/29
30: 名無しさん@お腹いっぱい。 [0] 2001/08/24(金) 21:00 ID:??? とりあえず、あれだけ派手にやられたってことで あのサイトの管理人のスクリプトは危険性大という ことでよろしいのでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/30
31: 名無しさん@お腹いっぱい。 [sage ] 2001/08/24(金) 21:18 ID:??? しかし、サーバー管理者ももう少し頑張って欲しいと思うね 適当にApache走らせてcgiに馬鹿みたいな権限与えてるサーバーが 何と多い事か、、、 しかも金取って運営してる有料サーバーだと言うから呆れてしまう そんなサーバーでは全ユーザーのファイルunlinkする事も簡単に 出来てしまうだろう。 そんな所は絶対使う気になれないよ http://medaka.5ch.io/test/read.cgi/php/995032597/31
32: 名無しさん@お腹いっぱい。 [sage] 2001/08/24(金) 23:49 ID:??? >>28, >>29 もうちょっとスマートで現実的な方法ないですかね? あきらめてbasic認証するか。 あんなページ書き換えて、なんか楽しいんですかね? 踏み台用にこっそりアカ持っとくってならわかるんだけど・・・。 あそこを書き換えるのが最終目標ってのがなんか気まぐれ犯行ですね。 練習ってのが妥当な解釈でしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/32
33: 名無しさん@お腹いっぱい。 [sage ] 2001/08/25(土) 01:49 ID:??? >>31 激同 あったかい管理人になると「ユーザー同士は信頼関係で成り立ってますから」 とか、ほんとポカポカしたメッセージをくれたりするんだが(俺が実際喰らった) こう言う鯖にはこれまたほんわかしたユーザーがevalてんこ盛りの ファイラー置いてたりして、後者の存在する確立は限りなく100%に近いんだよね こうなるとベーシック認証も糞もあったもんじゃ無くてテスト以外には とてもじゃないけど使う気にならない。 むしろCGI止めて欲しいよね。借りるの止めるけど w http://medaka.5ch.io/test/read.cgi/php/995032597/33
34: 名無しさん@お腹いっぱい。 [0] 2001/08/25(土) 01:57 ID:??? 今度は写真の色がちょっと変わったね。 自分のサイトに興味がないんだか・・・ http://medaka.5ch.io/test/read.cgi/php/995032597/34
35: 33 [sage ] 2001/08/25(土) 02:03 ID:??? 因みに中華鯖でUNIX互換使ってる所は(何故かNTが多いのだが w) ***非常に***そう言う所が多いです。 なま温かい目で見守ってやりましょう http://medaka.5ch.io/test/read.cgi/php/995032597/35
36: 名無しさん@お腹いっぱい。 [0] 2001/08/25(土) 02:38 ID:??? ↑ 知ったかぶり厨房が居るね プププ お前が気にする程管理人は馬鹿じゃ無いから言ってみな それとも薄っぺらい能書きがばれるのが嫌かい pupu http://medaka.5ch.io/test/read.cgi/php/995032597/36
37: 33 [sage] 2001/08/25(土) 02:57 ID:??? ん? 俺の事を言ってるのかい 残念ながら、ケビンニトミックに憧れている若き戦士に捧げる 戦術は僕にはにゃぃ ヽ(´ー`)ノ cgiのセキュリティーに付いて知りたいならJAPUさんのサイト(一番上を良く見てね :−D ) や他のコマンドや汚染チェックの方法なんかを調べてみれば良い 中華鯖と言ったのが解りにくなったなら、服務器、免費、空間、UNIX、(木富)案、上載 なんかのKEYで探してみるといい、彼等が色んなスクリプトを動かしてるのが解るだろう 実は俺も知ったかぶりしてるだけなんで、これ以上聞かないでくれ (わ http://medaka.5ch.io/test/read.cgi/php/995032597/37
38: 33 [sage] 2001/08/25(土) 03:01 ID:??? s/ケビンニトミック/ケビンミトニック/; 寝よ、、 http://medaka.5ch.io/test/read.cgi/php/995032597/38
39: 名無しさん@お腹いっぱい。 [sage] 2001/08/25(土) 07:08 ID:??? > ■ 2001/08/25(Sat) 05:25 > なんっつたりして。ネタです そして苦しいイイワケ http://medaka.5ch.io/test/read.cgi/php/995032597/39
40: 名無しさん@お腹いっぱい。 [sage] 2001/08/25(土) 08:55 ID:??? 暑いねえ まだセミが鳴いてるわ (ワラ 後1週間 か・・・ http://medaka.5ch.io/test/read.cgi/php/995032597/40
41: 名無しさん@お腹いっぱい。 [sage] 2001/08/25(土) 09:17 ID:??? 夏厨沸きまくりで2chも閉鎖らしいな あーなむなむ http://medaka.5ch.io/test/read.cgi/php/995032597/41
42: 名無しさん@お腹いっぱい。 [] 01/08/29 05:27 ID:1UTTw6kk ASPやPHP4はセッション管理が可能ですが、具体的にどのようにしているのでしょう? Cookieを使ってるのは分かるのですが、自分のクッキーを発行されるたびに見ててもいまいち理解できないです。 知ってる人がいたら教えてください。 http://medaka.5ch.io/test/read.cgi/php/995032597/42
43: 名無しさん@お腹いっぱい。 [sage] 01/08/29 05:37 ID:1UTTw6kk すいません。 PHP4やASPは言語レベルでセッション管理の機能が提供されているのですね・・・。 Cookieとの関連が分からないのはあたりまえで、そもそも関連が無いんですね。 セッション管理のような概念の物をCで実装するにはどのような仕組みを実装すればいいのでしょうか? ある程度セッションが正しく張れている保証が欲しいので単純なクッキーでは不安です。 良い方法は無いものでしょうか? http://medaka.5ch.io/test/read.cgi/php/995032597/43
44: 名無しさん@お腹いっぱい。 [] 01/08/29 06:17 ID:1UTTw6kk http://corn.2ch.net/test/read.cgi?bbs=php&key=990627898&ls=50 があるけど解決して無いですね。 http://medaka.5ch.io/test/read.cgi/php/995032597/44
45: 名無しさん@お腹いっぱい。 [] 01/08/30 23:22 ID:Nfn/L6PE ttp://php.s3.to/ 書き換えられている模様 ムーノーっぽくなっちゃってます http://medaka.5ch.io/test/read.cgi/php/995032597/45
46: 名無しさん@お腹いっぱい。 [0] 01/08/31 00:28 ID:ui51vdtk >45 これだけやられているのに全然防備しようという意識がないみたいですね。 これほどセキュリティーに鈍感な管理人なのに掲示板でオンライン 予約システムの構築を依頼している人がいて藁った。 自作自演だろうか? こんな管理人が作った予約システムなんて 個人データの流出が頻繁にありそうで怖いぞ。 http://medaka.5ch.io/test/read.cgi/php/995032597/46
47: 名無しさん@お腹いっぱい。 [sage] 01/08/31 01:27 ID:bQeiim3I >>45 あー、見れなかった。今みたらいつものTOPだった。 前の書き換えは管理人のジサクジエンってBBSに 書いてあったけど、また自分でやってんのかな・・・? それとも、マジハクされたのを言い訳してるだけ? あのページ、管理人がよく分からん。 http://medaka.5ch.io/test/read.cgi/php/995032597/47
48: 名無しさん@お腹いっぱい。 [] 01/08/31 02:10 ID:PZKcVyBA 最近見つけた面白い秘孔。 open(OUT,">./charalog/$in{'id'}.cgi"); で、北斗神拳スクリプト。 http://www8.tok2.com/home/onemu/ http://medaka.5ch.io/test/read.cgi/php/995032597/48
49: 名無しさん@お腹いっぱい。 [sage] 01/08/31 06:09 ID:xPEo4xH2 やっと気付いたみたいだな、、SSIもこええなー http://medaka.5ch.io/test/read.cgi/php/995032597/49
50: と言うか・・・・ [0] 01/08/31 07:05 ID:.jMWjKYg 方法も論ぜずに、php.s3.to/は糞だの、スクリプトもやばいねだの 言うのはここが2chだからか? それともスクリプトクレクレ君しか見てないのかこの板は・・・ こんなこと言うと降臨とか言われるんだよなー いやちょっと気になったんでね 鯛は無いです http://medaka.5ch.io/test/read.cgi/php/995032597/50
51: 名無しさん@お腹いっぱい。 [sage] 01/08/31 11:03 ID:pfDOYTd. ここで方法を論じたとしてその方法がここに書かれたら どうなるか想像できない? http://medaka.5ch.io/test/read.cgi/php/995032597/51
52: 名無しさん@お腹いっぱい。 [] 01/08/31 11:11 ID:D5v3hjIY php.s3.to管理人現る。 http://medaka.5ch.io/test/read.cgi/php/995032597/52
53: と言うか・・・・ [sage] 01/08/31 14:48 ID:xPEo4xH2 >>51 うん、まあ良く考えればそうよね。 ちょっとくらい漠然とした話でも出来ないかなと思ったからさ でも上の方読んで分かったよ w 結局この板を読んでる人はまともな人が多そうだけど 書き込むの批判屋と厨房とクレクレ君が圧倒的に多いんだよね しかしpass抜かれてるだろうに、余裕だね。。。 あ、もう辞めるっす (^^ http://medaka.5ch.io/test/read.cgi/php/995032597/53
54: と言うか・・・・ [sage] 01/08/31 14:52 ID:xPEo4xH2 オカマか漏れは。。。 =>そうだよね http://medaka.5ch.io/test/read.cgi/php/995032597/54
55: 名無しさん@お腹いっぱい。 [] 01/09/01 19:12 ID:O2LnlNbc >53 >しかしpass抜かれてるだろうに、余裕だね。。。 これなんだけど、 ttp://php.s3.to/simple/source.php このsource.phpのソース見てみると、(ttp://php.s3.to/simple/source.php?source.php) > if (ereg("^[^\.]*(\.php3?|\.inc)$",$QUERY_STRING)) { こんな感じで汚染チェックらしきことやってるんだけど、 先頭が "/"の場合を考えてないから、 絶対パス(/home/php/public_html/・・・)で指定すれば、 .phpであれば何でもソースが見れちゃうわけ。 で、 ttp://php.s3.to/simple/source.php?/home/php/public_html/update.php こんな感じで逝けば、ソースが・・・ なぜかパスワードは生だし。。 http://medaka.5ch.io/test/read.cgi/php/995032597/55
56: 55 [] 01/09/01 19:15 ID:O2LnlNbc 追記。 ttp://php.s3.to/simple/source.php?aaaa.php みたいに、存在しないものを開こうとすると、、 エラーが出る(ってこのあたりもエラー処理やってないし、ダサいけど) から、その中にフルパスが書かれてるし。 http://medaka.5ch.io/test/read.cgi/php/995032597/56
57: 名無しさん@お腹いっぱい。 [sage] 01/09/01 19:51 ID:EyspkUdI なんでそんな事を。。。 http://medaka.5ch.io/test/read.cgi/php/995032597/57
58: 名無しさん@お腹いっぱい。 [sage] 01/09/01 19:58 ID:qTmlYOPM こうして今日も名無しは人の為に無償で働くのであった。 http://medaka.5ch.io/test/read.cgi/php/995032597/58
59: 名無しさん@お腹いっぱい。 [sage] 01/09/01 20:02 ID:EyspkUdI 一応メールにて報告しておきました。 http://medaka.5ch.io/test/read.cgi/php/995032597/59
60: 名無しさん@お腹いっぱい。 [0] 01/09/02 00:13 ID:EuE1F3p. 少し上の方でも書かれてますが、同じサーバーのユーザー(と思われる) に困っています。初めは穴の有るスクリプトが原因と思われるファイルの 削除などの被害だったんですが、今はどうやらcgiでやられている様です しょうも無い閑古鳥サイトなのに。。。。 (鬱 それで、自分なりに色々考えてリンクを貼って本体は別のディレクトリに 置いたり、普段はパミを落しておいて書き換え時だけchmodしたりして みたんですが、決定的では無いです て言うか人のスペースを変なファイルでパンパンにすんなーー!! setuExecされて無いサーバーで、自分のファイルを守る手段は 無いでしょうか? 防御方法を話しませんか あ、そのしょうも無いWEBは現在安全なサーバーに引っ越したです ^^ http://medaka.5ch.io/test/read.cgi/php/995032597/60
61: 名無しさん@お腹いっぱい。 [sage] 01/09/02 18:05 ID:EuE1F3p. 今読み返してみたけど、良く考えたらsuidされないって事は 誰のスクリプトで同じgid.uidで動いてる(httpとか?)んだから 無理に決まってますね、何をトチ狂った事言ってるんだろ。。 サーバー屋さんにもポリシーとか有ると思うんですけど、 suidしないでCGI走らせてるのは、何か意味があるのかな 一昔前はsuidする事で色々不具合が有ったとか聞きましたけど http://medaka.5ch.io/test/read.cgi/php/995032597/61
62: 名無しさん@お腹いっぱい。 [] 01/09/03 13:04 ID:q4PFiNww 上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール) の管理方法は固そうじゃ無いですか? 入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key +環境変数色々で管理してる様です。よってクッキーも不要 昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から このシステムでした。個人的にかなり信頼してるんですが http://medaka.5ch.io/test/read.cgi/php/995032597/62
63: 名無しさん@お腹いっぱい。 [] 01/09/03 13:04 ID:5EXVIAGY 上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール) の管理方法は固そうじゃ無いですか? 入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key +環境変数色々で管理してる様です。よってクッキーも不要 昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から このシステムでした。個人的にかなり信頼してるんですが http://medaka.5ch.io/test/read.cgi/php/995032597/63
64: 名無しさん@お腹いっぱい。 [0] 01/10/07 17:57 ID:??? perlCGIでセッション管理の良い方法は有りますか? 今は生パスをhiddenで吐いてるんですが、色々有って辞めたいんです http://medaka.5ch.io/test/read.cgi/php/995032597/64
65: 名無しさん@お腹いっぱい。 [sage] 01/10/07 18:52 ID:??? Apache::Session http://medaka.5ch.io/test/read.cgi/php/995032597/65
66: こんなのはどう? [(・∀・)♪] 01/10/08 01:17 ID:??? nobodyな駄目鯖でもそこそこ安心になって欲しいと思って昔書いた I/F的にどうしてもGETを使いたかったから。 パス合致でセッション開始→ランダムKEY作成(KEY1)→暗号化(CRYKEY1) session.txtにCRYKEY1を保存、→session.txtのstat[8](KEY2)を取得→ これを暗号化(CRYKEY2)してクッキーに焼く KEY1をGETで渡すパラメータに使う 後は全部合致ならOK、 クッキーに焼いた最終アクセス時が合致しなかったら(だれかがCGIで覗いたら)バイバイ KEY1照合して駄目でもバイバイって感じ 更にExpireを短めにしたり、hostとかも記録してたなあ、、 勿論パケット拾われたら意味ないけど w でもサーバー時計狂ってるって信じられない某無料鯖が あったりで苦情殺到したんでムカついてGETで生パス垂れ流しに変更して配布辞めた w http://medaka.5ch.io/test/read.cgi/php/995032597/66
メモ帳
(0/65535文字)
上
下
前
次
1-
新
書
関
写
板
覧
索
設
栞
歴
あと 196 レスあります
スレ情報
赤レス抽出
画像レス抽出
歴の未読スレ
AAサムネイル
Google検索
Wikipedia
ぬこの手
ぬこTOP
0.016s