facebook twitter hatena line google mixi email
★お気に入り追加


■ このスレッドは過去ログ倉庫に格納されています

  • 1
  •  
  • 2003/08/22 02:57
考えないか?

ここまで見た
  • 150
  • 1
  • 2003/08/28 22:32
>>149
stormっていう厨房ツール知らないの?

確か、連結GIFイメージを分割して各画像ごとに分て
予め用意してある画像と比べて、画像チェックコードを突破する。

ここまで見た
  • 151
  • 112
  • 2003/08/28 22:41
なるへそ。
>連結GIFイメージを分割して各画像ごとに分て
漏れが言ってたのは連結GIFじゃなくて、単一の画像ファイルにランダムの
パスワードを生成することを言ってたのよ。なので、ファイルサイズと見た
目はいろいろになっちゃうけど、ファイル名はいつも一緒だよ。

>予め用意してある画像と比べて
そんな画像はどこにも無いので比べようが無い=セキュリティが高いってこと。

ここまで見た
  • 152
  • 1
  • 2003/08/28 22:51
>>115
(´∀`)?

>単一の画像ファイルにランダムのパスワードを生成することを言ってたのよ。
パスワードを画像で表示するって事じゃないの?

連結GIFっていうのは、ランダムな数字のパスワードの場合だったら
0〜9の画像を用意して、発行された数字をもとに
それに対応する数字画像を連結してひとつの画像にして表示するって事です。

>そんな画像はどこにも無いので
別にファイルのバイナリを比べてるわけじゃ無いので
まったく同じ画像じゃなくても、
パターンがわかれば、エミュレートできます。

ここまで見た
  • 153
  • 1
  • 2003/08/28 22:51
レス版間違えた。
>>151ですた。

ここまで見た
  • 154
  •  
  • 2003/08/28 22:53
画像内の文字(チェックパス)を 1-3文字程度のランダムな文字列にし、画像内である程度ランダムに
配置するようにする(と言っても、文字の順番まで入れ変わるのは×)。フォントもランダムにすれば更にOK。
hidden で、その文字列を crypt したものを埋め込んでおき、書き込まれたときに
チェックパス(を crypt したもの)と比較して、一致すれば許可、一致しなければ破棄。
こんな感じではどうだろうか。

PHP では実装は簡単だな。Perl はシラネ

ここまで見た
  • 155
  • 1
  • 2003/08/28 22:57
>>154
だから、hiddenの値を読みとって、送られたらおしまいでは?;

ここまで見た
  • 156
  • 154
  • 2003/08/28 23:02
>>155
crypt されたものは不可逆なので、読み取られても痛くとも何とも無いわけで。

あ、そういえば、書き込みフォームをするときにフォームのIDでも振っておいて、
サーバ側ではそのIDと、チェックパスを crypt したものを記録しておかないといかんな。

ここまで見た
  • 157
  • 154
  • 2003/08/28 23:03
>>156
書き込みフォームをするときに → 書き込みフォームを出力するときに

ゴメソ

ここまで見た
  • 158
  • 112
  • 2003/08/28 23:06
>152
>パスワードを画像で表示するって事じゃないの?
そうだよ。そのとおり。

>連結GIFっていうのは、
連結GIFを使わないのよ。

>0〜9の画像を用意して、
この画像がパターン化しちゃうからばれちゃう恐れがあるじゃん。

>パターンがわかれば、エミュレートできます。
そうなのね。じゃーいかにその厨房ツールのエミュレートロジックから
外れられるか?という事なんじゃないかな?
外国製だったら、明朝で表示とか。適当な画像でパスワード画像の上から
アルファかけるとか。

>154
>画像内である程度ランダムに配置するようにする
位置を崩せばそのツールをだませるって事?

>フォントもランダムにすれば更にOK。
なるへそ。

>hidden で、その文字列を crypt したものを埋め込んでおき、
サーバー側がパスをわかってれば十分じゃない?

ここまで見た
  • 159
  • 154
  • 2003/08/28 23:08
あああ、なんか混乱してる。

>>158
> サーバー側がパスをわかってれば十分じゃない?

そう、その通り。訂正thx

ここまで見た
  • 160
  • 1
  • 2003/08/28 23:09
総当りでcyriptした値と同じになる文字列検索するとか。

それ以前に画像ファイルは連結じゃないとするとどうやって作るの?
予め、文字列が描いてある一枚の画像を用意するんだったら
無限枚用意しないとパターン化されるよ?
アプレットかなんかで描画するとか?

ここまで見た
  • 161
  • 154
  • 2003/08/28 23:10
PHP には ImageString という便利な関数があるわけで。

ここまで見た
  • 162
  • 1
  • 2003/08/28 23:12
>>158
>連結GIFを使わないのよ。
だから、何使うの?;

>この画像がパターン化しちゃうからばれちゃう恐れがあるじゃん。
0〜9のセットを複数用意して、ランダムで選択とか(himicodeの場合)

>外国製だったら、明朝で表示とか。適当な画像でパスワード画像の上から
アルファかけるとか。
別に、画像の中身で判断してるわけじゃ無いからフォントとかあまり意味無いと思うのですが。

ここまで見た
  • 163
  • 1
  • 2003/08/28 23:14
>>161
あぁ、なるほど。
PHPはちょっといじっただけで全然知らない(´Д`)
スマソ。

ここまで見た
  • 164
  • 1
  • 2003/08/28 23:16
>>160
cyriptってなんだろう?(´Д`;)
cryptですた。

ここまで見た
  • 165
  • 1
  • 2003/08/28 23:19
>>156
>あ、そういえば、書き込みフォームをするときにフォームのIDでも振っておいて、
>サーバ側ではそのIDと、チェックパスを crypt したものを記録しておかないといかんな。
発行済みチェックコードのリスト作っておいて、その中のものと比較すればフォームIDはいらないと思う。

ここまで見た
  • 166
  • 154
  • 2003/08/28 23:22
>>165
それだと、リロードしまくって発行済みコードの数を増やし、あとは総当りでどうにでも
なっちまうと思うんだが。

ここまで見た
  • 167
  • 1
  • 2003/08/28 23:25
>>166
リストに記録する数を制限すればいい。
追記型で、古いものから消えてくように。
そんなにアクセス無い場所なら30個ぐらいにしとけば
突破されても被害少ないぞ。

ここまで見た
  • 168
  • 1
  • 2003/08/28 23:26
つーか、フォームIDはやっぱりhiddenに入れとくの?

ここまで見た
  • 169
  •  
  • 2003/08/29 00:29
http://www.claraocr.org/
文字はやめとけ。

ここまで見た
  • 170
  • 112
  • 2003/08/29 00:47
>167
パスワードはそのときその人だけの一回コッキリで使うのが最強だよ。
わんたいむぱすが一番。

>168
フォームIDって何のために使うの?
同一ユーザーかどうか知りたいんだったらセッションで管理でしょ。

ここまで見た
  • 171
  • 1
  • 2003/08/29 01:41
>>170
仕様済みチェックコードはリストから消すよ、もちろん。

ここまで見た
  • 172
  •  
  • 2003/08/29 01:54
結局画像で落ち着いたのか?

ここまで見た
  • 173
  • 1
  • 2003/08/29 02:10
>>172
落ち付きませんよ(´Д`;)

ここまで見た
  • 174
  •  
  • 2003/08/29 02:37
もう教えて君の相手するのやめろよ
こういうやつ次々現れてキリないぜ

ここまで見た
  • 175
  • 1
  • 2003/08/29 02:54
>>174
教えて君って俺?

ここまで見た
  • 176
  •  
  • 2003/08/29 02:58
>>175
他にいるか?

ここまで見た
  • 177
  • 1
  • 2003/08/29 03:07
>>176
そうか、残念だ。

ここまで見た
  • 178
  •  
  • 2003/08/29 03:07
とりあえずなんか作ってみろ
理屈だけコネててもすすまんぞ

ここまで見た
  • 179
  • 1
  • 2003/08/29 03:14
>>178
それは十分解るんだが。
何を作ろうか迷ってるところだ。
プロテクト掲示板は意味無いって結論でたし。
入力する必要無い画像チェックコード掲示板は実現不可って結論でたし。
。・゚・(ノД`)・゚・。

ここまで見た
  • 180
  •  
  • 2003/08/29 03:16
んだな。
大まかに方向性は決まってるんだから、とりあえずつくっちまえ。
細かい仕様なんて後でもできるよ。

変化を抱擁せよ

ここまで見た
  • 181
  • 1
  • 2003/08/29 03:20
>>180
大まかな方向性というと・・・?

>>81で出た結論って事ですか?

ここまで見た
  • 182
  •  
  • 2003/08/29 03:40
とりあえずでもいいから思いついた機能を列記してみろよ。
そしてそれぞれをサブルーチンでもいいから書いてみれ。
未だに1行もコード書いてないだろ。
どんな機能を思いついたってコード書けなきゃ意味ない。

ここまで見た
  • 183
  • 1
  • 2003/08/29 03:52
>>182
Ok

ここまで見た
  • 184
  •  
  • 2003/09/01 03:35
二日たったわけだが

ここまで見た
  • 185
  • 1
  • 2003/09/02 00:13
>>184
とりあえず、ここ二日、仕事が忙しくてスクリプトいじってる心のゆとりが無いんだが(´Д`)

ここまで見た
  • 186
  • 1
  • 2003/09/02 00:16
とりあえず、なんか参考になりそうなスレ

匿名プロクシは、止められないのか・・。
http://pc2.2ch.net/test/read.cgi/php/995085528/l50

新しい掲示板の仕様を考える
http://pc2.2ch.net/test/read.cgi/php/995359658/l50

ここまで見た
  • 187
  •  
  • 2003/09/04 18:06
http://www.hansin.pos.to/minibbs7.cgi
ここが、AAとかコピペ荒らしを自動で弾くスクリプト使ってるみたいだけど

ここまで見た
  • 188
  •  
  • 2003/09/04 18:35
http://sirizamurai.s4.xrea.com/dq/r_board.cgi
ここの掲示板で荒らしが来たらみんなでやっつけるってのはどうかな

ここまで見た
  • 189
  •  
  • 2003/09/04 20:52
連投ツール系は外部JavaScriptファイルにチェックコードをhiddenで書いてたりしても突破する?
Javascriptダメって言われたらそれまでだけど

ここまで見た
  • 190
  •  
  • 2003/09/04 23:02
連結GIFの画像コードはツールがあるけど
ttp://aji.s1.xrea.com/
ここの画像コードなら大丈夫じゃないの?

ここまで見た
  • 191
  •  
  • 2003/09/05 01:39
>>189
*.jsファイル直接読まれてばれる
>>190
その掲示板はゴニョゴニョ・・・

ここまで見た
  • 192
  •  
  • 2003/09/05 01:50
お?ま…まさか

ここまで見た
  • 193
  •  
  • 2003/09/05 20:16
>>191
CGIでJSを出力する。

code.txt
unyanya

document.write('<INPUT type="hidden" name="code" value="unyanya">');
で、書き込み時にcode=unyanyaじゃなかったらじはじき、書き込めたらcode.txtをランダムに書き換えるってのは?

説明べたでスマソ

ここまで見た
  • 194
  •  
  • 2003/09/06 01:55
出力されるものは読まれる
それがHTMLだろうがJSだろうが
上のは
code.txt
function unyaya(){}

CGI_
document.write('<input type="hidden" name="code" value="'+ unyanya() +'">')

とかやりたいの?
毎回code.txtスクリプトに読ませりゃいいじゃん
ブラウザが読めるものはスクリプトも読める

ここまで見た
  • 195
  •  
  • 2003/09/06 02:03
あ、それとも
<input type="hidden" name="code" value="***">を
document.write()で出力するだけて意味なのかな?
まあ、どっちでも意味ねーべ
読まれる

ここまで見た
  • 196
  • 1
  • 2003/09/06 06:36
>>187
ひららか…
ぶっちゃけ、プロテクトBBSはそこからアイデア得たんだけどね。

>>188
ドラクエ?

>>190
Perl賢者か…
どっかで突破されてなかったっけ?

つーか、今、ライブラリ使わないで
あぷろだ書いてるんだけど
なんか処理とまる(´Д`)

ここまで見た
  • 197
  •  
  • 2003/09/06 07:56
あの板はごにょごにょのルーチンにごにょごにょ使ってるので
ごにょごにょ送ると画像無視できるわけですよ
まあ一番ひどいのはIMAC零式の改造版なわけですが・・・
ごにょごにょがおかしくなってるので同じものが何度でも使えたりします
つかデフォで使ってるとカル板時代からの穴のせいでタグ使い放題だからだめぽ

ここまで見た
  • 198
  •  
  • 2003/09/06 11:33
>>197
code.txtにはランダムな文字列が書かれてる

code.cgiは
open(F, "code.txt") or ....;
$code = <F>;
close F;

content-type: x-applicetion/javascript\n\n",
document.write('<INPUT type="hidden" name="code" value="'+$code+'">');
と吐く

で、BBSの書き込みフォームから
<SCRIPT src="code.cgi"></SCRIPT>

書き込み時に
code.txtの内容とparam('code')が一致しなければ弾く。
無事書き込めた場合はcode.txtをランダムな文字列に書き換える

code.cgi読む⇒POSTする の流れで連投されたらだめだけど、ガブリデュークくらいはふさげない?

ここまで見た
  • 199
  •  
  • 2003/09/06 11:45
わざわざJS使わなくても<input type="hidden" name="code" value="**">
で同等の効果が得られるのではないかという疑問がまずあるわけだが

つかガブなら英数字のみのカキコ弾けば防げる

ここまで見た
  • 200
  •  
  • 2003/09/06 12:06
ごにょごにょのとこ気になるよぅ
>ごにょごにょがおかしくなってるので
コレは知ってるのだが

ここまで見た
  • 201
  •  
  • 2003/09/06 12:19
>>198に補足
>>197」っていらんかった

>>199
そうですね。CGIからJS吐けば、リファラが書き込みフォームのところじゃなかったら弾くとかできるかなと、思ったんですが。

>つかガブなら英数字のみのカキコ弾けば防げる
ガブって日本語もポストできませんでした?

お絵かきランド
フリック回転寿司
ここまで見た

★お気に入り追加

このページを共有する
facebook twitter hatena line google mixi email
おすすめワード