【仕様】荒らし対策掲示板【実装】 [sc] | レス138-189

★お気に入り追加

■ このスレッドは過去ログ倉庫に格納されています

1

nobodyさん

2003/08/22 02:57

考えないか？

ここまで見た

138 2003/08/28 19:37: MIDIファイル生成させて
ドレミファソラシドをﾗﾝﾀﾞﾑで選んで
鳴った音を選択とかなら実用的かも。

音階チェック。

ここまで見た

139

nobodyさん

2003/08/28 19:38: この掲示板は人の音感を試すのかっ

・・・どんどんわけわからん方向にいってるな

ここまで見た

140 2003/08/28 19:41: >>139
ダメだな。耳が悪い人が排除される差別的な掲示板になってしまう(´Д｀)
視覚的な問題なら、そもそも見えなかったら掲示板利用できないから問題無いんだが。

ここまで見た

141

nobodyさん

2003/08/28 20:08: >>140
読み上げブラウザ使ってる人もいるから、
問題無いと言い切ってしまうのはちょっと。

ここまで見た

142 2003/08/28 20:35: >>141
なるほど。そう考えると画像ﾁｪｯｸｺｰﾄﾞもダメだな。
画像の中身までは読み上げてくれない。つか、無理だ。

ここまで見た

143

nobodyさん

2003/08/28 20:39: クッキーを使うのは？

BBSのトップを表示しないと、書き込み許可のクッキーは発行されない。
かつ、クッキーに投稿時間を書き込んでおけば？

ここまで見た

144 2003/08/28 20:54: >>143
それも>>4で既出。
2chとかその方法とってるっぽい。

thebbsでも、ﾁｪｯｸｺｰﾄﾞを二つに分けて
一方をhiddenに、もう一方をｸｯｷーに入れておいて
投稿時に二つを足した値を、ﾁｪｯｸするって方法が提示されてた。

ここまで見た

145

112

2003/08/28 21:42: >1
画像でパスワードが一番めんどくさくないと思うんだが。
たかだか、2-4程度の英数字を入力するのって、そんなにめんどくさい？
もちろん画像は、フォーム入力画面を表示のたびに「pass.jpg」とかを自動生成。
スクリプトは完璧に防げるでしょ。
不安だったら画像にグラデーションでもかけたらさらに耐久性UP!

>143
クッキー扱うのはスクリプトにとって簡単だよ。

ここまで見た

146

nobodyさん

2003/08/28 21:52: 画像パスワードは昨年末の第三次TIME誌投票祭りで
２４時間以内に破られているので、薦めるだけ無駄。

ここまで見た

147 2003/08/28 22:09: >>145
既存の、ｽｸﾘﾌﾟﾄは防げてもﾂｰﾙは防げない罠。
今のところ、ｸｯｷー読み取りつつ連投するﾂｰﾙは無い。

ここまで見た

148 2003/08/28 22:12: ｸﾞﾗ-ﾃﾞｰｼｮﾝ・ﾉｲｽﾞ等も既出だな。
最近じゃ、画像ﾁｪｯｸｺｰﾄﾞがただの飾りになってる掲示板も多い。

ここまで見た

149

112

2003/08/28 22:25: >146
TIME誌って、あのアメリカの？

>147
すんごい疑問なんだけど、どうやって画像パスをやぶるの？
画像解析しちゃうツールがあるの？厨房にも使いこなせるのかな？

ここまで見た

150 2003/08/28 22:32: >>149
stormっていう厨房ﾂｰﾙ知らないの？

確か、連結GIFイメージを分割して各画像ごとに分て
予め用意してある画像と比べて、画像ﾁｪｯｸｺｰﾄﾞを突破する。

ここまで見た

151

112

2003/08/28 22:41: なるへそ。
>連結GIFイメージを分割して各画像ごとに分て
漏れが言ってたのは連結GIFじゃなくて、単一の画像ファイルにランダムの
パスワードを生成することを言ってたのよ。なので、ファイルサイズと見た
目はいろいろになっちゃうけど、ファイル名はいつも一緒だよ。

>予め用意してある画像と比べて
そんな画像はどこにも無いので比べようが無い＝セキュリティが高いってこと。

ここまで見た

152 2003/08/28 22:51: >>115
(´∀｀)？

>単一の画像ファイルにランダムのパスワードを生成することを言ってたのよ。
ﾊﾟｽﾜｰﾄﾞを画像で表示するって事じゃないの？

連結GIFっていうのは、ﾗﾝﾀﾞﾑな数字のﾊﾟｽﾜｰﾄﾞの場合だったら
０〜９の画像を用意して、発行された数字をもとに
それに対応する数字画像を連結してひとつの画像にして表示するって事です。

＞そんな画像はどこにも無いので
別にファイルのバイナリを比べてるわけじゃ無いので
まったく同じ画像じゃなくても、
パターンがわかれば、エミュレートできます。

ここまで見た

153 2003/08/28 22:51: ﾚｽ版間違えた。
>>151ですた。

ここまで見た

154

nobodyさん

2003/08/28 22:53: 画像内の文字(チェックパス)を 1-3文字程度のランダムな文字列にし、画像内である程度ランダムに
配置するようにする（と言っても、文字の順番まで入れ変わるのは×）。フォントもランダムにすれば更にＯＫ。
hidden で、その文字列を crypt したものを埋め込んでおき、書き込まれたときに
チェックパス（を crypt したもの）と比較して、一致すれば許可、一致しなければ破棄。
こんな感じではどうだろうか。

PHP では実装は簡単だな。Perl はｼﾗﾈ

ここまで見た

155 2003/08/28 22:57: >>154
だから、hiddenの値を読みとって、送られたらおしまいでは？；

ここまで見た

156

154

2003/08/28 23:02: >>155
crypt されたものは不可逆なので、読み取られても痛くとも何とも無いわけで。

あ、そういえば、書き込みフォームをするときにフォームのIDでも振っておいて、
サーバ側ではそのIDと、チェックパスを crypt したものを記録しておかないといかんな。

ここまで見た

157

154

2003/08/28 23:03: >>156
書き込みフォームをするときに → 書き込みフォームを出力するときに

ｺﾞﾒｿ

ここまで見た

158

112

2003/08/28 23:06: >152
>ﾊﾟｽﾜｰﾄﾞを画像で表示するって事じゃないの？
そうだよ。そのとおり。

>連結GIFっていうのは、
連結GIFを使わないのよ。

>０〜９の画像を用意して、
この画像がパターン化しちゃうからばれちゃう恐れがあるじゃん。

>パターンがわかれば、エミュレートできます。
そうなのね。じゃーいかにその厨房ツールのエミュレートロジックから
外れられるか？という事なんじゃないかな？
外国製だったら、明朝で表示とか。適当な画像でパスワード画像の上から
アルファかけるとか。

>154
>画像内である程度ランダムに配置するようにする
位置を崩せばそのツールをだませるって事？

>フォントもランダムにすれば更にＯＫ。
なるへそ。

>hidden で、その文字列を crypt したものを埋め込んでおき、
サーバー側がパスをわかってれば十分じゃない？

ここまで見た

159

154

2003/08/28 23:08: あああ、なんか混乱してる。

>>158
> サーバー側がパスをわかってれば十分じゃない？

そう、その通り。訂正thx

ここまで見た

160 2003/08/28 23:09: 総当りでcyriptした値と同じになる文字列検索するとか。

それ以前に画像ファイルは連結じゃないとするとどうやって作るの？
予め、文字列が描いてある一枚の画像を用意するんだったら
無限枚用意しないとパターン化されるよ？
ｱﾌﾟﾚｯﾄかなんかで描画するとか？

ここまで見た

161

154

2003/08/28 23:10: PHP には ImageString という便利な関数があるわけで。

ここまで見た

162 2003/08/28 23:12: >>158
>連結GIFを使わないのよ。
だから、何使うの？；

>この画像がパターン化しちゃうからばれちゃう恐れがあるじゃん。
０〜９のセットを複数用意して、ﾗﾝﾀﾞﾑで選択とか（himicodeの場合）

>外国製だったら、明朝で表示とか。適当な画像でパスワード画像の上から
アルファかけるとか。
別に、画像の中身で判断してるわけじゃ無いからﾌｫﾝﾄとかあまり意味無いと思うのですが。

ここまで見た

163 2003/08/28 23:14: >>161
あぁ、なるほど。
PHPはちょっといじっただけで全然知らない(´Д｀)
ｽﾏｿ。

ここまで見た

164 2003/08/28 23:16: >>160
cyriptってなんだろう？(´Д｀；)
cryptですた。

ここまで見た

165 2003/08/28 23:19: >>156
>あ、そういえば、書き込みフォームをするときにフォームのIDでも振っておいて、
>サーバ側ではそのIDと、チェックパスを crypt したものを記録しておかないといかんな。
発行済みﾁｪｯｸｺｰﾄﾞのリスト作っておいて、その中のものと比較すればフォームIDはいらないと思う。

ここまで見た

166

154

2003/08/28 23:22: >>165
それだと、リロードしまくって発行済みコードの数を増やし、あとは総当りでどうにでも
なっちまうと思うんだが。

ここまで見た

167 2003/08/28 23:25: >>166
リストに記録する数を制限すればいい。
追記型で、古いものから消えてくように。
そんなにｱｸｾｽ無い場所なら30個ぐらいにしとけば
突破されても被害少ないぞ。

ここまで見た

168 2003/08/28 23:26: つーか、フォームIDはやっぱりhiddenに入れとくの？

ここまで見た

169

nobodyさん

2003/08/29 00:29: http://www.claraocr.org/
文字はやめとけ。

ここまで見た

170

112

2003/08/29 00:47: >167
パスワードはそのときその人だけの一回コッキリで使うのが最強だよ。
わんたいむぱすが一番。

>168
フォームIDって何のために使うの？
同一ユーザーかどうか知りたいんだったらセッションで管理でしょ。

ここまで見た

171 2003/08/29 01:41: >>170
仕様済みﾁｪｯｸｺｰﾄﾞはﾘｽﾄから消すよ、もちろん。

ここまで見た

172

nobodyさん

2003/08/29 01:54: 結局画像で落ち着いたのか？

ここまで見た

173 2003/08/29 02:10: >>172
落ち付きませんよ(´Д｀；)

ここまで見た

174

nobodyさん

2003/08/29 02:37: もう教えて君の相手するのやめろよ
こういうやつ次々現れてキリないぜ

ここまで見た

175 2003/08/29 02:54: >>174
教えて君って俺？

ここまで見た

176

nobodyさん

2003/08/29 02:58: >>175
他にいるか？

ここまで見た

177 2003/08/29 03:07: >>176
そうか、残念だ。

ここまで見た

178

nobodyさん

2003/08/29 03:07: とりあえずなんか作ってみろ
理屈だけコネててもすすまんぞ

ここまで見た

179 2003/08/29 03:14: >>178
それは十分解るんだが。
何を作ろうか迷ってるところだ。
プロテクト掲示板は意味無いって結論でたし。
入力する必要無い画像ﾁｪｯｸｺｰﾄﾞ掲示板は実現不可って結論でたし。
｡･ﾟ･(ﾉД`)･ﾟ･｡

ここまで見た

180

nobodyさん

2003/08/29 03:16: んだな。
大まかに方向性は決まってるんだから、とりあえずつくっちまえ。
細かい仕様なんて後でもできるよ。

変化を抱擁せよ

ここまで見た

181 2003/08/29 03:20: >>180
大まかな方向性というと・・・？

>>81で出た結論って事ですか？

ここまで見た

182

nobodyさん

2003/08/29 03:40: とりあえずでもいいから思いついた機能を列記してみろよ。
そしてそれぞれをサブルーチンでもいいから書いてみれ。
未だに1行もコード書いてないだろ。
どんな機能を思いついたってコード書けなきゃ意味ない。

ここまで見た

183 2003/08/29 03:52: >>182
Ok

ここまで見た

184

nobodyさん

2003/09/01 03:35: 二日たったわけだが

ここまで見た

185 2003/09/02 00:13: >>184
とりあえず、ここ二日、仕事が忙しくてｽｸﾘﾌﾟﾄいじってる心のゆとりが無いんだが(´Д｀)

ここまで見た

186 2003/09/02 00:16: とりあえず、なんか参考になりそうなｽﾚ

匿名プロクシは、止められないのか・・。
http://pc2.2ch.net/test/read.cgi/php/995085528/l50

新しい掲示板の仕様を考える
http://pc2.2ch.net/test/read.cgi/php/995359658/l50