【仕様】荒らし対策掲示板【実装】 [sc](★0)
-
- 128
- nobodyさん
- 2003/08/28 19:14
-
まあ、画像にしたって無駄だろ。
手間だから標的にされにくいだけで。
-
- 129
- 2003/08/28 19:14
-
>>127
他に手はないかな?
むしろ、逆に人が入力したと思えないモノを排除するとか。
-
- 130
- nobodyさん
- 2003/08/28 19:16
-
どうやって判別するんだか
-
- 131
- 2003/08/28 19:17
-
>>128
確かに、手間かければ懐石されるね。
某、Aさんが言ってたように
無圧縮で連結しないで
連結した後にGIFならGIFのフォーマットに乗っ取って連結すれば
かなーり懐石に手間かかるけど。
-
- 132
- 2003/08/28 19:19
-
>>130
それが問題です(´Д`)
-
- 133
- nobodyさん
- 2003/08/28 19:23
-
文字とかじゃダメだろうね。
人間の主観による判別手段が必要。
2つの写真を見せて、かわいい方をクリック、とか。
-
- 134
- nobodyさん
- 2003/08/28 19:26
-
で掲示板スクリプトはそれをどう判別して正解を決めるんだ
-
- 136
- nobodyさん
- 2003/08/28 19:31
-
問題と答えのセットが無限に必要になるぞ
つかクイズと変わらんな
-
- 137
- 2003/08/28 19:34
-
>>136
でも、文字でクイズ出したら
文字読み取られて、終わりじゃん?
まぁ、確かに効率的じゃないな(´Д`)
音で認識するとか。突然ヴォイス流れて
何言ってたか入力しなさいとか。
-
- 138
- 2003/08/28 19:37
-
MIDIファイル生成させて
ドレミファソラシドをランダムで選んで
鳴った音を選択とかなら実用的かも。
音階チェック。
-
- 139
- nobodyさん
- 2003/08/28 19:38
-
この掲示板は人の音感を試すのかっ
・・・どんどんわけわからん方向にいってるな
-
- 140
- 2003/08/28 19:41
-
>>139
ダメだな。耳が悪い人が排除される差別的な掲示板になってしまう(´Д`)
視覚的な問題なら、そもそも見えなかったら掲示板利用できないから問題無いんだが。
-
- 142
- 2003/08/28 20:35
-
>>141
なるほど。そう考えると画像チェックコードもダメだな。
画像の中身までは読み上げてくれない。つか、無理だ。
-
- 143
- nobodyさん
- 2003/08/28 20:39
-
クッキーを使うのは?
BBSのトップを表示しないと、書き込み許可のクッキーは発行されない。
かつ、クッキーに投稿時間を書き込んでおけば?
-
- 145
- 112
- 2003/08/28 21:42
-
>1
画像でパスワードが一番めんどくさくないと思うんだが。
たかだか、2-4程度の英数字を入力するのって、そんなにめんどくさい?
もちろん画像は、フォーム入力画面を表示のたびに「pass.jpg」とかを自動生成。
スクリプトは完璧に防げるでしょ。
不安だったら画像にグラデーションでもかけたらさらに耐久性UP!
>143
クッキー扱うのはスクリプトにとって簡単だよ。
-
- 146
- nobodyさん
- 2003/08/28 21:52
-
画像パスワードは昨年末の第三次TIME誌投票祭りで
24時間以内に破られているので、薦めるだけ無駄。
-
- 147
- 2003/08/28 22:09
-
>>145
既存の、スクリプトは防げてもツールは防げない罠。
今のところ、クッキー読み取りつつ連投するツールは無い。
-
- 148
- 2003/08/28 22:12
-
グラ-デーション・ノイズ等も既出だな。
最近じゃ、画像チェックコードがただの飾りになってる掲示板も多い。
-
- 149
- 112
- 2003/08/28 22:25
-
>146
TIME誌って、あのアメリカの?
>147
すんごい疑問なんだけど、どうやって画像パスをやぶるの?
画像解析しちゃうツールがあるの?厨房にも使いこなせるのかな?
-
- 150
- 2003/08/28 22:32
-
>>149
stormっていう厨房ツール知らないの?
確か、連結GIFイメージを分割して各画像ごとに分て
予め用意してある画像と比べて、画像チェックコードを突破する。
-
- 151
- 112
- 2003/08/28 22:41
-
なるへそ。
>連結GIFイメージを分割して各画像ごとに分て
漏れが言ってたのは連結GIFじゃなくて、単一の画像ファイルにランダムの
パスワードを生成することを言ってたのよ。なので、ファイルサイズと見た
目はいろいろになっちゃうけど、ファイル名はいつも一緒だよ。
>予め用意してある画像と比べて
そんな画像はどこにも無いので比べようが無い=セキュリティが高いってこと。
-
- 152
- 2003/08/28 22:51
-
>>115
(´∀`)?
>単一の画像ファイルにランダムのパスワードを生成することを言ってたのよ。
パスワードを画像で表示するって事じゃないの?
連結GIFっていうのは、ランダムな数字のパスワードの場合だったら
0〜9の画像を用意して、発行された数字をもとに
それに対応する数字画像を連結してひとつの画像にして表示するって事です。
>そんな画像はどこにも無いので
別にファイルのバイナリを比べてるわけじゃ無いので
まったく同じ画像じゃなくても、
パターンがわかれば、エミュレートできます。
-
- 153
- 2003/08/28 22:51
-
レス版間違えた。
>>151ですた。
-
- 154
- nobodyさん
- 2003/08/28 22:53
-
画像内の文字(チェックパス)を 1-3文字程度のランダムな文字列にし、画像内である程度ランダムに
配置するようにする(と言っても、文字の順番まで入れ変わるのは×)。フォントもランダムにすれば更にOK。
hidden で、その文字列を crypt したものを埋め込んでおき、書き込まれたときに
チェックパス(を crypt したもの)と比較して、一致すれば許可、一致しなければ破棄。
こんな感じではどうだろうか。
PHP では実装は簡単だな。Perl はシラネ
-
- 155
- 2003/08/28 22:57
-
>>154
だから、hiddenの値を読みとって、送られたらおしまいでは?;
-
- 158
- 112
- 2003/08/28 23:06
-
>152
>パスワードを画像で表示するって事じゃないの?
そうだよ。そのとおり。
>連結GIFっていうのは、
連結GIFを使わないのよ。
>0〜9の画像を用意して、
この画像がパターン化しちゃうからばれちゃう恐れがあるじゃん。
>パターンがわかれば、エミュレートできます。
そうなのね。じゃーいかにその厨房ツールのエミュレートロジックから
外れられるか?という事なんじゃないかな?
外国製だったら、明朝で表示とか。適当な画像でパスワード画像の上から
アルファかけるとか。
>154
>画像内である程度ランダムに配置するようにする
位置を崩せばそのツールをだませるって事?
>フォントもランダムにすれば更にOK。
なるへそ。
>hidden で、その文字列を crypt したものを埋め込んでおき、
サーバー側がパスをわかってれば十分じゃない?
-
- 160
- 2003/08/28 23:09
-
総当りでcyriptした値と同じになる文字列検索するとか。
それ以前に画像ファイルは連結じゃないとするとどうやって作るの?
予め、文字列が描いてある一枚の画像を用意するんだったら
無限枚用意しないとパターン化されるよ?
アプレットかなんかで描画するとか?
-
- 161
- 154
- 2003/08/28 23:10
-
PHP には ImageString という便利な関数があるわけで。
-
- 162
- 2003/08/28 23:12
-
>>158
>連結GIFを使わないのよ。
だから、何使うの?;
>この画像がパターン化しちゃうからばれちゃう恐れがあるじゃん。
0〜9のセットを複数用意して、ランダムで選択とか(himicodeの場合)
>外国製だったら、明朝で表示とか。適当な画像でパスワード画像の上から
アルファかけるとか。
別に、画像の中身で判断してるわけじゃ無いからフォントとかあまり意味無いと思うのですが。
-
- 163
- 2003/08/28 23:14
-
>>161
あぁ、なるほど。
PHPはちょっといじっただけで全然知らない(´Д`)
スマソ。
-
- 164
- 2003/08/28 23:16
-
>>160
cyriptってなんだろう?(´Д`;)
cryptですた。
-
- 165
- 2003/08/28 23:19
-
>>156
>あ、そういえば、書き込みフォームをするときにフォームのIDでも振っておいて、
>サーバ側ではそのIDと、チェックパスを crypt したものを記録しておかないといかんな。
発行済みチェックコードのリスト作っておいて、その中のものと比較すればフォームIDはいらないと思う。
-
- 167
- 2003/08/28 23:25
-
>>166
リストに記録する数を制限すればいい。
追記型で、古いものから消えてくように。
そんなにアクセス無い場所なら30個ぐらいにしとけば
突破されても被害少ないぞ。
-
- 168
- 2003/08/28 23:26
-
つーか、フォームIDはやっぱりhiddenに入れとくの?
-
- 169
- nobodyさん
- 2003/08/29 00:29
-
http://www.claraocr.org/
文字はやめとけ。
-
- 170
- 112
- 2003/08/29 00:47
-
>167
パスワードはそのときその人だけの一回コッキリで使うのが最強だよ。
わんたいむぱすが一番。
>168
フォームIDって何のために使うの?
同一ユーザーかどうか知りたいんだったらセッションで管理でしょ。
-
- 171
- 2003/08/29 01:41
-
>>170
仕様済みチェックコードはリストから消すよ、もちろん。
-
- 172
- nobodyさん
- 2003/08/29 01:54
-
結局画像で落ち着いたのか?
-
- 173
- 2003/08/29 02:10
-
>>172
落ち付きませんよ(´Д`;)
-
- 174
- nobodyさん
- 2003/08/29 02:37
-
もう教えて君の相手するのやめろよ
こういうやつ次々現れてキリないぜ
-
- 175
- 2003/08/29 02:54
-
>>174
教えて君って俺?
-
- 177
- 2003/08/29 03:07
-
>>176
そうか、残念だ。
-
- 178
- nobodyさん
- 2003/08/29 03:07
-
とりあえずなんか作ってみろ
理屈だけコネててもすすまんぞ
このページを共有する
おすすめワード