Waterfox Classic Part17 (658レス)
上下前次1-新
抽出解除 必死チェッカー(本家) (べ) 自ID レス栞 あぼーん
645: (ワッチョイW 0557-6W4p) 06/02(月)04:49 ID:UrYYefGd0(1) AAS
nonce値は、アクセス時に渡されるセキュリティコードと一致していれば、改ざんされていないと判断される。
通常は、nonce値=セキュリティコードは、そのファイルのjavascript全部を繋げたファイルに、unixtimeと、任意の異なる素数を異なる素数個入れた複数の配列の頭からunixtimeに従って順番に取り出した配列個数分の素数(この場合、使用した各配列の素数の個数の最小公倍数が周期になる)を全部掛け算したものにhash関数を適用したものになる。
unixtimeは.htmlに書き込まれているので、任意の素数を素数個入れた複数の配列と、スタート時点のunixtimeがわかれば、nonce値の再現は可能となる。checkプログラムは、これを定期的に行っているので、javascriptの改ざんがあると、正常な場合のnonce値の理論値と実値との乖離をチェックできる。
つまり、ブラウザ側では接続時に送られてきたセキュリティコードとファイル内のnonce値が一致しているかどうかしかチェックしておらず、改ざんがあったかどうかは、秘匿情報であるスタートタイムと素数配列を知っていて、それに基づくcheckプログラムを走らせている者だけとなる。
問題は、ユーザーに送られた.jsの真正性が確認できる状態なのに、再ログインを頻繁に要請していることである。nonce値による改ざんチェックが無かった時には、決済時には新鮮な認証情報が必要であるとするしか無かったが、nonce値による真正性の確認ができるならば、システムを監視する者以外は、再認証が不要になる。
技術の進歩の意図を理解できていないんだろうね。
上下前次1-新書関写板覧索設栞歴
スレ情報 赤レス抽出 画像レス抽出 歴の未読スレ AAサムネイル
ぬこの手 ぬこTOP 0.032s