facebook twitter hatena line google mixi email
★お気に入り追加


  • 1
  • 2001/07/14(土) 13:38
最近、プロクシ特有の環境変数を付加しないproxyが巷で流行ってます。
当然、匿名プロクシはプロクシ規制を素通りします。
しかも、個々のプロクシを一個一個止めても、世界中で1日に数千もの匿名プロクシが誕生しています。
事実上、プロクシの規制は不可能・・・。
なんか、いい方法知りませんか?

下の環境変数なんて、もう役に立ちましぇん。
なんか、画期的な方法を知っている方、教えてください。

HTTP_CACHE_CONTROL
HTTP_CACHE_INFO
HTTP_CLIENT_IP
HTTP_FORWARDED
HTTP_PRAGMA
HTTP_PROXY_CONNECTION
HTTP_SP_HOST
HTTP_TE
HTTP_VIA
HTTP_X_FORWARDED_FOR

ここまで見た
  • 62
  •  
  • 2001/10/14 19:06
イヤ、漏れは有ると思うね
ただORDBとかと違ってhttpの中継は被害?が小さいのがネックだろう
それでも解ってて何時までも設定直さないようなrootへの警告には
なるだろう。彼等は何かが出来なくなる事をとても嫌うからね

ここまで見た
  • 63
  •  
  • 2001/10/14 19:19
しかしこういう原始的な串規制方法だと、
規制できる串は世界中に存在する串のせいぜい1割かそれ以下だろう。
串は毎日大量に生まれては死んでいくからね。
2chみたいに書き込みの際にポートスキャンする方が
はるかに高確率で串を弾けるよ。

ここまで見た
  • 64
  • 62
  • 2001/10/14 19:24
うーん、効率と言うより警告の意味合いかなあ
こう言う事をやってる団体?が有るからそこに登録されちゃうと
にっちもさっちも行かなくなるよー と言うお話で・・・
JAPUもそんな感じで言ってるんじゃ無いかな
でもSMTPと比べると被害が少なそうだよねぇ・・・・

ここまで見た
  • 65
  • 62
  • 2001/10/14 19:25
お!思いっきり呼び捨てにしてしもた  ^^;
s/JAPU/JAPUさん/;

ここまで見た
  • 66
  •  
  • 2001/10/14 19:38
一気に低レベルな話題になるけど
KENTとか大手の配布サイトのスクリプトに
このopen-proxyチェックを組み込んでもらって
ばしばし串をはねさせると、そこのプロバイダユーザ経由で
サーバ管理者への圧力が増すかもー?
(1ヘクトパスカルぐらい)

ここまで見た
  • 67
  • KENT
  • 2001/10/14 19:44
>>66
こんな信頼性のないチェックプログラムはさすがに組み込めないね。

ここまで見た
  • 68
  •  
  • 2001/10/14 19:47
実際に串を通してみている点に関しては、2chよりも
信頼できるんじゃないかなぁ。

以前の(今も?)2chのチェックって、connect()
できるか否かだけで判断してたと思う。

ここまで見た
  • 69
  • 63
  • 2001/10/14 20:00
>>68
2chはオープンでない串まで必要以上に規制してるけど、
それでもかなりの高確率でオープンな串を弾ける。
でもここで提案されてるような串を人手で登録していくという原始的な方法だと
登録されていない串の方が圧倒的に多くなる。
掲示板で書き込む際にこういう串データベースを参照して串を弾く方法は
以前から行われていたけど、
結局この方法だとほとんど対応し切れなくて
串規制の方法としては流行っていないのが現状だ。
そういう現状から、2chがデータベースを参照するのではなくて
ポートスキャンによってを串規制をする手法を取り入れたという事実がある。
つまりデータベースで串規制するのはナンセンスなんだよ。

ここまで見た
  • 70
  •  
  • 2001/10/14 20:04
だから64の意見が(以下無限ループ

ここまで見た
  • 71
  • JAPU@
  • 2001/10/14 20:26
ただいま。

えーと人手に頼る手法は〜云々に関しては
「今までそれぞれが勝手にやってきたから、有効な数だけ集まらなかった。でも、この方式で一つのリストをみんなで維持してみんなで使っていけばそれなりの品質は維持できる」
ってのが答えになるでしょうか。ダメ?

指摘のように結局うまくいかなくて終わっちゃうかもしれないし、もしかしたらうまくいくかもしれない。まぁ、とりあえずやってみましょう的な実験的要素のでかい試みだと思ってください。(即座に実用になることを求めちゃダメよん。)

2chで使うようになるとかいう話なら2chの方でもセカンダリ持ったりと協力してほしいなぁ。

# とりあえず生暖かい目で見守ってください。(笑)

ここまで見た
  • 72
  •  
  • 2001/10/14 20:28
ジャプてふ← イイ(・∀・)!

ここまで見た
  • 73
  •  
  • 2001/10/14 20:28
>>70
警告したければ直接言わなきゃわかんないよ。

ここまで見た
  • 74
  •  
  • 2001/10/14 20:34
64はORDBと比べてるのでは? ORDBから警告は来ないでしょ?
ORDBに付いては省略 w
何れにしても遠い道のりで有る気はするけど

ここまで見た
  • 75
  •  
  • 2001/10/14 20:40
>>71
>この方式で一つのリストをみんなで維持してみんなで使っていけばそれなりの品質は維持できる

それは甘いね。
そんな面倒なこと誰も協力しないよ。
利用者から金を取って商売にすれば?

ここまで見た
  • 76
  •  
  • 2001/10/14 20:44
(´-`).。oO(批判屋さんがいるな・・・出来れば改善案のポインタなんかが欲しいな・・・・)

ここまで見た
  • 77
  •  
  • 2001/10/14 21:41
SPAMの第三者中継を許すサーバをリストアップするプロジェクトもあったね。
あとこれとか。
『Nimda』や『コード・レッド』を捕らえる簡単ツール(上)
http://www.hotwired.co.jp/news/news/technology/story/20010920301.html

ここまで見た
  • 78
  •  
  • 2001/10/14 21:42
これは確実に悪用されるな・・・。
こういうプログラムは一般に公開しないほうがいいぞ。>JAPU

ここまで見た
  • 79
  •  
  • 2001/10/14 21:55
>>78
JAPU氏は情報を悪用するやつより、無能な管理者がきらいっぽいから
そんなこと言っても無駄。彼のサイトのSecurity Advisary見れ。
警告して猶予期間がすぎてなお改善しないCGIスクリプトは
容赦なく晒されている。

ここまで見た
  • 80
  • 79
  • 2001/10/14 21:58
あれ?プログラム自体の公開ってことか。
そりゃそうですね。すんません。>78

ここまで見た
  • 81
  •  
  • 2001/10/14 22:04
まずはZDなどのニュースサイトに取り上げられないとな。

ここまで見た
  • 82
  •  
  • 2001/10/14 22:18
スパムの場合、実際不正中継によって真っ当なサーバのスプールが爆発したりとか
被害も大きいからね、その分DBを参照する意味がある。
httpだと精々BBS荒らしたりする位だから、参照される側にどれだけ広まるかが問題だよね
でもいい加減こう言う機関が出来てもいい、、気がする

ここまで見た
  • 83
  •  
  • 2001/10/14 22:28
プレスリリースはいつ流すの?

ここまで見た
  • 84
  •  
  • 2001/10/14 22:34
ttp://www.ansi.co.jp/tech/cgi/security/
>より安全なCGIプログラムを作成するための手引き
こんな誰にでもポートスキャンを許すようなCGIを公開している人間が
セキュリティを語るなんて、JAPUってホントに笑わせてくれるね。
某鯖でポート番号1からポートスキャンしてみたら
すっごく時間かかったけどちゃんとできたよ。
今後も使わせてもらうね>JAPU

ここまで見た
  • 85
  •  
  • 2001/10/14 22:37
あと ANSI CGI Program Security Advisoriesに自分のCGIも追加しといてね。>JAPUちゃん

ここまで見た
  • 86
  •  
  • 2001/10/14 23:00
お前森●だろ!   w

ここまで見た
  • 87
  •  
  • 2001/10/14 23:22
>>86 居たなぁそんなのも(w

ここまで見た
  • 88
  •  
  • 2001/10/15 01:13
良く覚えてるな (笑

ここまで見た
  • 89
  • 2001/10/15 01:22
ポートスキャンを許すCGI?

ここまで見た
ポートスキャンCGIなら「大人のCGIスクリプト」に載ってます!!!
他にもtelnetを使った生IP抜き、コマンドCGIなど、
超UGなスクリプトが盛りだくさん!!!周りの厨房に差をつけちゃおう!!!
売り切れ店続出!!!お早めにお買い求め下さいっ!!!

ここまで見た
  • 91
  •  
  • 2001/10/17 23:40
ポートスキャンCGIなんか、Soket理解してたら「大人の・・・」なんか
使わんでも書けるだろ。

ここまで見た
  • 92
  •  
  • 2001/10/20 00:09
>>84
.....。普通、セキュリティツールを公開するのは
セキュリティに「関心があるから」公開するわけです。

ポートスキャンってのは、セキュリティツールですよね。
何を笑っているのか、意味が分かりませんなあ。

ここまで見た
  • 93
  •  
  • 2001/10/20 01:30
>>92
言い訳がましいやつだな。
ポートスキャンがネットの倫理上「悪」だという認識がない人間が
セキュリティを語るなよ(藁
セキュリティツールだと思っているならアングラサイトで宣伝しまくってみろ。
どう使われるかは想像力があれば明らかだがな。

ここまで見た
  • 94
  •  
  • 2001/10/20 01:45
(´-`).。oO(じゃ nmapもアングラツールなのか・・・・セキュリティースキャンも駄目だな・てレベル低ぅ・・)

ここまで見た
  • 95
  •  
  • 2001/10/20 01:48
そういえば何年か前に他大学の鯖をポートスキャンしてた大学生が停学処分になってたな。

ここまで見た
  • 96
  •  
  • 2001/10/20 01:52
>>93
お話になりませんな。

ここまで見た
  • 97
  •  
  • 2001/10/20 01:56
(´-`).。oO(ITオヤジってこんな感じだよね、何を使ったかより何の為に使ったかの方が倫理上問題なんだけどね。。)

ここまで見た
  • 98
  •  
  • 2001/10/20 02:13
>ポートスキャンってのは、セキュリティツールですよね

これは非常に珍しい認識だ。

ここまで見た
  • 99
  • ちたん(ぴーたーぱそしょうこうぐん
  • 2001/10/20 05:57
ポートスキャンするとなにがわかるの?

ここまで見た
  • 100
  •  
  • 2001/10/20 06:41
open proxyか否かしか調べられないものを
ポートスキャンツールと呼ぶことはどうなのか?
ただ、実際見に行ってる以上、被験サイトからポートスキャンと
見なされる可能性はある。被るのはJAPUさんだよ?
その辺のリスク、対策についてはどう考えてるの?

ここまで見た
>open proxyか否かしか調べられないものを
ポートスキャンツールと呼ぶことはどうなのか?

いや、それはある意味ポートスキャンツール以上のことができるよ。
もちろん串探しに使える串厨房御用達ツールになるだろうけどね。

ここまで見た
  • 102
  • ちたん(ぴーたーぱそしょうこうぐん
  • 2001/10/20 14:34
串探すのにシンドローム使ってるようじゃ
まだまだ甘いの?

ここまで見た
  • 103
  •  
  • 2001/10/20 14:58
上げるな

ここまで見た
  • 104
  •  
  • 2001/10/21 03:07
逆に、登録されている串鯖が匿名串だということを
告知できるという意味を考えるとどうなんだろうか

DNS サーバに query 投げたらすぐわかるよな……

ここまで見た
  • 105
  •  
  • 2001/10/21 11:34
それ以前にJAPUが威力業務妨害で訴えられる可能性があるが、
そのリスクを負ってまで告知する意味があるのかね?
このまま登録用CGIを公開しておくとセキュリティ厨房と言われても仕方がないよね。

ここまで見た
  • 106
  • JAPU
  • 2001/10/21 16:29
えーと、とりあえず現状どうなっているかというと、以下のように1週間で大
半が無効 (deleted = t) になっています。Open-proxy なサーバは思ったより
早く無効になっているようで、この点について、ちと見通しが甘かったのは事
実です。

deleted | count
---------+-------
f | 143
t | 1528

Open-proxy からのアクセスをブロックするにはちと方法を考え直す必要があ
りそうなので、サイトはとりあえず閉鎖します。

# この手のサービスやツールを公開することはセキュリティホールに関する情
# 報の公開などと同様の問題点があることは承知のうえです。時間の無駄なの
# で議論には参加しません。

----
>>100
結果が分からない (たとえそのポートが開いていても、単に "not an open
proxy" と表示されるだけ) とは言え、サーバ側からみたら full-open なポー
トスキャンと見做されるような使い方をされる可能性はあります。なので、き
ちんとログは取ってあります。

----
>>105
威力業務妨害??

ここまで見た
  • 107
  •  
  • 2001/10/24 02:35
うちのプロバイダってTelnetサービスについて何にも触れてないのよ、
んで、無理かな〜糞って思いながら、ノックしたら開いてるのさ、
んで、ユーザー掲示板とサポートにメールで聞いたさ、
んで、OKだと、使えと、古くから居る人間は使ってると、
んで、俺は犯罪者?ノックしたのは悪?

ここまで見た
  • 108
  •  
  • 2001/10/30 10:01
よく、例えられるよね。
ある家(自宅、友達宅、他人宅)の窓がしまっていないか?
鍵がかかっていないか?
その事を調べる事は、犯罪ではない。
その事実(鍵がかかっていない事等)をどう利用するかが問題だって。

ここまで見た
  • 109
  • 108
  • 2001/10/30 10:02
うわ!!!!!!すんません、
サゲ

ここまで見た
  • 110
  •  
  • 2001/10/31 14:01
匿名串を使って、アフォなCGI探してる奴がいるそうな。
.jpなんていう串もあって鬱だ。
http://www.incidents.org/diary/october01/102901.php#5

ここまで見た
  • 111
  •  
  • 2001/12/31 14:23
匿名プロキシを防ぐにはこのbbs.cgiみたいな
仕組みにするのが良いんじゃないの?

ここまで見た
  • 112
  •  
  • 2001/12/31 15:33
ホスト名を割り出せないものをはじくのはやめてほしいなー
予備で使っているFREECOMの東京のアクセスポイントはホスト名を割り当てていないんだよ。

ここまで見た
  • 113
  •  
  • 2001/12/31 16:55
>>111
age荒らしは氏ね。

フリック回転寿司
フリック回転寿司
ここまで見た

★お気に入り追加

このページを共有する
facebook twitter hatena line google mixi email
おすすめワード