2ch.net専用ブラウザの開発者の皆さまへ ★5at SOFTWARE
2ch.net専用ブラウザの開発者の皆さまへ ★5 - 暇つぶし2ch834:名無しさん@お腹いっぱい。
15/02/20 09:50:31.71 ddyo03to0.net
>>821
どう考えても広告表示でしょ
クロールは技術じゃなくて法律でやるつもりだろうね
Janeのdat取得をシミュしたアプリ作るのは簡単
でも配ったやつ、それを使ったやつどちらも法的リスクある

835:名無しさん@お腹いっぱい。
15/02/20 09:51:16.62 xPyHwxED0.net
>>821
いや、そんなのが無くても今まで通り匿名での登録させてればいいんだし
今回の件がなんでこんなにおかしくなったの?って、山下が自分の功名心満たす為か「登録には個人情報必須だ!!」とか言い出したからってだけよ

836:名無しさん@お腹いっぱい。
15/02/20 09:53:29.96 3iu6gg5f0.net
>>805
なにこれAPIの脆弱性でも突かれたの?

837:名無しさん@お腹いっぱい。
15/02/20 09:54:24.12 iAqmM5nc0.net
>>765
それ書いてる奴、頭おかしいだろ…
警察屋さんとか、、、自分の脳内劇場を延々書き綴ってる感じ

838:名無しさん@お腹いっぱい。
15/02/20 09:56:51.78 5qidXzrm0.net
おちんちんショットガン

839:名無しさん@お腹いっぱい。
15/02/20 10:00:18.04 Rr6N0/WP0.net
社説+と政治ニュースとかもじっぷらなん?

840:名無しさん@お腹いっぱい。
15/02/20 10:00:49.51 1SttgCHc0.net
じっぷらって何の話?

841:名無しさん@お腹いっぱい。
15/02/20 10:01:19.96 XvZO8XD10.net
ニュース&天候実況++という板

842:名無しさん@お腹いっぱい。
15/02/20 10:01:24.69 GHNm6fGe0.net
>>825
まさかエスケープしてなかったりしてな・・・いやまさかね・・・
>>829
URLリンク(carpenter.2ch.net)

843:名無しさん@お腹いっぱい。
15/02/20 10:02:34.31 Rr6N0/WP0.net
>>829
規制中でも書けるニュース板

844:名無しさん@お腹いっぱい。
15/02/20 10:04:11.90 39tZHUpH0.net
書き込みもAPI経由になってるのかな?のてすと

845:名無しさん@お腹いっぱい。
15/02/20 10:05:01.88 oq7DlZwr0.net
>>831
なんじゃこれ

846:名無しさん@お腹いっぱい。
15/02/20 10:07:53.86 2Yla0vGD0.net
>>801
hoboは"/v1/[鯖名]/[板名]/[スレID][SID][AppKey]"のHMACのハッシュ値だよ
pythonだとこんな感じで計算できる
import hmac
import hashlib
AppKey = 'xxfvFQcOzpTBvwuwPMwwzLZxiCSaGb'
HMKey = 'DgQ3aNpoluV1cl3GFJAqitBg5xKiXZ'
sid = 省略
message = "/v1/anago/software/1424327586" + sid + AppKey
hobo = hmac.new(HMKey, message, hashlib.sha256).hexdigest()

847:名無しさん@お腹いっぱい。
15/02/20 10:13:11.27 39tZHUpH0.net
>>835
何から何までこの短時間ですごい
64文字のハッシュ値ってことでsha256なのはまだしも、HMAC使うのはこの界隈では当たり前のことなのかな?
もうとっくの等にdatも取得できているんだろうけどようやく手元で確認できそうだありがとう

848:名無しさん@お腹いっぱい。
15/02/20 10:18:07.39 pDWZc5Va0.net
ヨガ豚がchaika作者にプログラミングのレベルアップしろやカス
とかのたまいた結果がこれw

849:名無しさん@お腹いっぱい。
15/02/20 10:21:51.67 t8g9z4TM0.net
雑魚専ブラ使い発狂しとるかー?w

850:名無しさん@お腹いっぱい。
15/02/20 10:22:21.46 8lUA2qPS0.net
>>837
プログラミングのレベルアップをした結果、ウェブスクレイビングを越えてAPIハック路線へ

851:名無しさん@お腹いっぱい。
15/02/20 10:24:38.85 XvZO8XD10.net
>>835
この短時間で…アタリをつけて片っ端から試しまくるにしても凄い

852:名無しさん@お腹いっぱい。
15/02/20 10:26:10.72 liny0UjC0.net
>>828
スレリンク(editorialplus板:30番)
社説+の↑これを流したくて仕方がない誰かさんの仕業だったら大ウケだけどな

853:名無しさん@お腹いっぱい。
15/02/20 10:27:54.80 t9wwHnZD0.net
ハッシュ生成ロジック部の難読化が今後の対策になるんじゃないかな

854:名無しさん@お腹いっぱい。
15/02/20 10:28:46.50 YfA4n5wP0.net
つか、またdatでdatなくならねぇんだ。

855:名無しさん@お腹いっぱい。
15/02/20 10:30:17.03 3iu6gg5f0.net
>>839
いや、これAPI作者と山下のプログラミングレベルが低すぎて話にならないだろ
俺の予想→開発者キーとシークレットが暗号化されてハードコーディングされてて、リクエスト時はキーとシークレットとその他情報をハッシュ化して送信するのかな。まあ解析は時間の問題だろうな
現実→シークレットなんてなかった。開発者キーだけでハッシュ値が作れる上に開発者キーがそのまま送信される。キーも暗号化もされずにバイナリに埋め込まれてる
予想の斜め下すぎる

856:名無しさん@お腹いっぱい。
15/02/20 10:33:21.05 LLodK9950.net
イタチごっこの流れになるのは目に見えてた

857:名無しさん@お腹いっぱい。
15/02/20 10:34:45.47 H9bGv/V20.net
>>844
秘密鍵とapikey別れてなかったの?
さすがにそこまでとは思ってなかった

858:名無しさん@お腹いっぱい。
15/02/20 10:41:41.70 kwL778b/0.net
ジェーンは山下が作ったわけでもなく改造しただけなのに、
なんで山下が作ったかのように装ってるの?
株式会社ジェーンとか、まるでオリジナル作者のよう
株式会社ジェーンスタイルにするならわかるけどね

859:名無しさん@お腹いっぱい。
15/02/20 10:44:30.54 kwL778b/0.net
>>844
twitterも、公認クライアントに個別キー配布して似たような方法をとってるが、
公認クライアントのキーは抜き取られて公開されてる
ただし、twitterの場合、ほとんどの利用者が、twitter公認クライアントを使って、
非公認クライアントを使ってる人はほとんどいないとおもわれる
だから、キー抜き取られること自体はたいして問題ないと思う
2chの場合は、Style以外の公認クライアントが出るかどうかあやしい点だな

860:名無しさん@お腹いっぱい。
15/02/20 10:46:06.64 K81JQIfk0.net
>>789
だからやっていい理由にならない
アドバイザーでも雇え

861:名無しさん@お腹いっぱい。
15/02/20 10:52:25.23 +ESNGVqd0.net
もうアフィSNSに名前変えろよ

862:名無しさん@お腹いっぱい。
15/02/20 10:53:05.84 XPWLjPdW0.net
spyleから抜いたAPIキーを使うと、spyleの実績としてカウントされて
山下に分配金が入るんじゃなかろうか?

863:名無しさん@お腹いっぱい。
15/02/20 10:53:56.63 t3Em9WPp0.net
>>851
そやね
警察も動くだろうし、このキーは使えんね。
一般ブラウザ経由で取得するしかないね。

864:名無しさん@お腹いっぱい。
15/02/20 10:55:15.31 ejPWE8B50.net
普通解析されにくい何工程か通してキーだすよな
いくら1つ目だからってべた書きは無いぜ

865:名無しさん@お腹いっぱい。
15/02/20 10:56:08.56 f4xoubyB0.net
APIキー割れたのと
不具合だらけのと
自演潜伏バレたのと
今日はこんな感じか?

866:名無しさん@お腹いっぱい。
15/02/20 10:56:16.89 5Sbvlzsy0.net
ポリスメンはどうやって正規キーと不正規キーを判別すんの?

867:名無しさん@お腹いっぱい。
15/02/20 10:56:26.07 W9SrGd2N0.net
Webページにこれだけ広告を貼ってて金欠ってことはありえへんやろ

868:名無しさん@お腹いっぱい。
15/02/20 11:05:51.60 +ESNGVqd0.net
>>856毟り取れる限り毟り取るスタンスで頑張っております

869:名無しさん@お腹いっぱい。
15/02/20 11:07:41.67 RdzDvtmp0.net
イェ~イjimカス&ゴミ山下見てる~?www

870:名無しさん@お腹いっぱい。
15/02/20 11:08:40.26 08Yls1CV0.net
>>849
結局はビッグデータの扱い次第じゃね
個人を特定されすぎない様にするしかない

871:名無しさん@お腹いっぱい。
15/02/20 11:10:15.72 2Yla0vGD0.net
URLリンク(codepad.org)
DAT取得のための最小限のコードだけ書いたわ。これで普通に取れるよ。
他の言語にも移植してくれると助かる

872:名無しさん@お腹いっぱい。
15/02/20 11:10:42.89 hYU5DXpa0.net
HTMLで取得したほうが快適なレベルなんだけど

873:名無しさん@お腹いっぱい。
15/02/20 11:12:03.93 jmdjAA/Z0.net
851 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん

874:名無しさん@お腹いっぱい。
15/02/20 11:13:18.12 ejPWE8B50.net
>>765
ソメイヨシノは朝鮮起源並の大嘘書いてでワロタ
よくこんなの平気で書けるよな

875:名無しさん@お腹いっぱい。
15/02/20 11:13:58.32 jmdjAA/Z0.net
797 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん
734 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん
627 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん

876:名無しさん@お腹いっぱい。
15/02/20 11:15:24.79 jmdjAA/Z0.net
608 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん
550 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん
523 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん
483 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん
481 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん

877:名無しさん@お腹いっぱい。
15/02/20 11:16:32.91 XPWLjPdW0.net
>>852
誰の不正利用になる?
spyleをインストールした時点で識別符号(APIキー)の使用権は許諾されるだろ
エンドユーザーがそれを使う事はなんの問題も無い
APIキーを晒す行為は、同一とは言え他人の


878:識別符号と見なされる可能性もあるからまずいだろうが、 抜き出すツールの作成、配布及び使用はなんの問題も無い



879:名無しさん@お腹いっぱい。
15/02/20 11:18:17.51 jmdjAA/Z0.net
866 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん

880:名無しさん@お腹いっぱい。
15/02/20 11:19:10.43 YfA4n5wP0.net
>>860
次は書き込みをよろ

881:名無しさん@お腹いっぱい。
15/02/20 11:20:26.78 QIvpVIX40.net
キーの入手はユーザが自分でやってねってことでいい

882:名無しさん@お腹いっぱい。
15/02/20 11:22:33.04 d/53nVp90.net
これでもspyIe山下擁護する奴いるのか?

883:名無しさん@お腹いっぱい。
15/02/20 11:25:02.79 2Yla0vGD0.net
>>868
APIは取得だけっぽいよ

884:名無しさん@お腹いっぱい。
15/02/20 11:26:14.62 XvZO8XD10.net
これって最初のところ盗聴されたら終わりじゃね
とか思ったけどよく考えたらそもそもこれ暗号化通信などではなかった

885:名無しさん@お腹いっぱい。
15/02/20 11:27:17.68 f2UiozuQ0.net
俺はstyle使ってるしstyleが便利になるならそれでいいよ

886:名無しさん@お腹いっぱい。
15/02/20 11:29:55.18 gi1/BIOm0.net
なんのためのAPI化なんだろな。広告出させるためでもユーザ側で対策されたらどうしようもないし
こんなのクロール対策にもならないし

887:名無しさん@お腹いっぱい。
15/02/20 11:30:18.62 ejPWE8B50.net
>>860
β1は半日か

888:名無しさん@お腹いっぱい。
15/02/20 11:31:06.68 f4xoubyB0.net
Jimと会話できるスレどこだっけ

889:名無しさん@お腹いっぱい。
15/02/20 11:33:09.00 +ESNGVqd0.net
>>873
スパイウェア混入事件起こしてんのにまだ使ってたアホ居るのか
都市伝説だと思ってたわ

890:名無しさん@お腹いっぱい。
15/02/20 11:34:57.75 XvZO8XD10.net
鯖側はこのX-2ch-UAを見て該当する専ブラのAppKeyとHMKeyを持ってきて
で蔵と同じように処理して同じHBになったら多分時刻入りのsid発行、と
そんで毎回リクエスト受けるごとに鯖は検証と
しかもsid発行も毎回の検証もdat送出も全部api.2ch.net経由と
大丈夫なんだろうか
>>876
スレリンク(erobbs板)

891:名無しさん@お腹いっぱい。
15/02/20 11:35:25.02 YuzHmL2W0.net
Rokkaの場合は過去ログだけだったけど全ログapi.2ch経由って捌けるのかな

892:名無しさん@お腹いっぱい。
15/02/20 11:35:34.29 Wwpabo8l0.net
>>873
独占市場では商品のクオリティが下がる
これは人類絶対普遍の法則
……あとは判るな?

893:名無しさん@お腹いっぱい。
15/02/20 11:36:23.94 2Yla0vGD0.net
>>875
すまんね。途中寝ちゃったんで
次は30分かからないと思うよ

894:名無しさん@お腹いっぱい。
15/02/20 11:37:37.61 f2UiozuQ0.net
>>880
独占市場にはならんて
逆に利益分配されるってことで新規参入あるかもよ

895:名無しさん@お腹いっぱい。
15/02/20 11:38:51.50 FxdkhG4v0.net
>>417
もともと、SCがnetのパクリだから、Jimが本当の所有者なら
今すぐにでも訴えることも可能である。

896:名無しさん@お腹いっぱい。
15/02/20 11:39:39.32 TJAazmEc0.net
>>874
ユーザー側(クライアント側)で対策されたら、ブラウザ開発者とのAPI契約条項
URLリンク(qerozon.jp)
に従って山下からブラウザ製作者に
「契約違反だ!14日以内に直せ」ってなるんだろ。
広告絶対に出すのがルールなんだから

897:名無しさん@お腹いっぱい。
15/02/20 11:39:46.37 XPWLjPdW0.net
>>873
書き込みと宣伝業者のweb追跡が紐付けられるんだが、
通販とか利用してりゃ、個人まで特定可能。

898:名無しさん@お腹いっぱい。
15/02/20 11:41:30.34 TJAazmEc0.net
>>883
現実はタラコが刑事告発の準備淡々と進めているっていう

899:名無しさん@お腹いっぱい。
15/02/20 11:43:36.55 DQl6XnlI0.net
>>882
■弊社の権限でAPIの使用許諾を付与できる開発者
・2014/7/11時点で専用ブラウザを一般公開していた開発者

900:名無しさん@お腹いっぱい。
15/02/20 11:44:36.30 f2UiozuQ0.net
>>885
2ch経由のアフィからなんて買わないし
更に2chと店両方お漏らししないと特定されないだろ
IPで弾けば広告非表示も可能だよな

901:名無しさん@お腹いっぱい。
15/02/20 11:44:39.50 FxdkhG4v0.net
>>886
実際、Jimとひろゆきとどういうやり取りをしたんだろうねえ。
形式的には、RQ社になるかもしれないだろうけど、
口約束なら泥沼化なるんだろうか。

902:名無しさん@お腹いっぱい。
15/02/20 11:46:34.27 XvZO8XD10.net
>>881
自分でコードも書かず試しもてない人間から2つ質問!
1つめ、これHTTPリクエストヘッダのgzipやrangeの絡みはどうなってるんだろう
2つめ、…なんかもっと大事っぽい事考えてた気がするんだけど忘れちった

903:名無しさん@お腹いっぱい。
15/02/20 11:46:59.99 YfA4n5wP0.net
>>871
まじかぁ、くそみたいなレス書き込みの部分とおさらばできるんじゃねぇのかよ。じゃbbsmenu.html?の解析も今までどおりやらないといけんのか?さんざん延期しといてdat部分だけなのかよ。無能すぎる。

904:名無しさん@お腹いっぱい。
15/02/20 11:47:55.53 39tZHUpH0.net
>>860
Ruby2.0版(Pythonのを機械的に置き換えただけ)
URLリンク(codepad.org)
共通鍵はどうして分かったんだ…?

905:名無しさん@お腹いっぱい。
15/02/20 11:49:40.84 EGh5wknC0.net
>>889
所有権を主張できるのは今のところドメイン名だけやで

906:名無しさん@お腹いっぱい。
15/02/20 11:51:26.99 YfA4n5wP0.net
掲示板一覧の取得->今までと同じ
スレ一覧の取得->今までと同じ
書き込み->今までと同じ
レスの取得->今までと同じdatだが、認証とかちょっとだけ変わった

907:名無しさん@お腹いっぱい。
15/02/20 11:52:10.52 wH5tmlG60.net
不正アクセス禁止法ってユーザー認証に関する法律で
アプリケーションの識別に適用されるのかは疑問だなぁ。
似たような事例を探してるけど、さすがに見つからないな。

908:名無しさん@お腹いっぱい。
15/02/20 11:52:11.23 CTnXxdaU0.net
切り替え初日からAPI鯖パンクして専ブラじゃ誰もスレ見れなかったりして

909:名無しさん@お腹いっぱい。
15/02/20 11:54:51.04 f2UiozuQ0.net
>>887
全てを満たしてる必要ないだろと思ったけど
付与できる開発者の全ての項目に公開している開発者って書いてあるね
それで開発公開するにはAPIが必要
APIを得るには公開して無いとだめ
これは言い回しのミス?w
新規参入はさせないって事なのかな?

910:名無しさん@お腹いっぱい。
15/02/20 11:55:11.69 qyjKHXfW0.net
X-2ch-UA: JaneStyle/3.80
これをやってまで取得したくはないんですよねー

911:名無しさん@お腹いっぱい。
15/02/20 11:55:29.24 t3Em9WPp0.net
>>892
>>430
スレリンク(poverty板:321番)
> exeファイルをテキストエディタで開くだけでここまで見れる
>
> 6296行 7635行 10169行 : yahooアフィコード
> 7628行 7631行 : amazonアフィコード
> 9858~9860行 : apiキー含むセッション情報

912:名無しさん@お腹いっぱい。
15/02/20 11:59:35.46 2Yla0vGD0.net
>>890
ヘッダは有効だよ
だからAccept-Encoding: gzipとかRange:bytes=111-みたいなのは必要に応じて指定できる
>>891
色々Spyle動かしてみたがsubject.txtとかも今まで通り。本当にdatしか無い
>>892
thx
共通鍵も何もかもoSpyで一発でしたよ

913:名無しさん@お腹いっぱい。
15/02/20 11:59:58.27 YfA4n5wP0.net
>>899
アフィコードの部分は、適当な値に書き換えるパッチツール配布して嫌がらせしとけばOk

914:名無しさん@お腹いっぱい。
15/02/20 12:02:27.08 f2UiozuQ0.net
流石に誤記だよな
それならあえて2014/7/11時点とか言う必要ないしね

915:名無しさん@お腹いっぱい。
15/02/20 12:02:33.45 XPWLjPdW0.net
>>888
広告業者とポイント業者、決算業者はすでに一体

916:名無しさん@お腹いっぱい。
15/02/20 12:04:56.36 2bMP5n4Q0.net
関係ないけど射精の擬音の「ビルルッ!ビルッ!ビルッ!」って考えたやつ天才だろ

917:名無しさん@お腹いっぱい。
15/02/20 12:05:34.07 XvZO8XD10.net
>>900
そっか、ありがとう > ヘッダ

918:名無しさん@お腹いっぱい。
15/02/20 12:05:41.67 EGh5wknC0.net
>>900
一発どころか関数名がCrypt*なんで楽っすね(´・ω・`)

919:名無しさん@お腹いっぱい。
15/02/20 12:08:52.83 39tZHUpH0.net
>>900
ospy試してみましたがすごい便利ですねこれ。
プロセスにアタッチしてスタックフレーム取れるんですね。
こんな便利なものがあるとは知りませんでした、ありがとうございます。

920:名無しさん@お腹いっぱい。
15/02/20 12:11:46.58 TO86+bFA0.net
>>799
なんやネトウヨかよ。くっさ。
専門板の連中は、open行くみたいやの

921:名無しさん@お腹いっぱい。
15/02/20 12:11:51.01 FxdkhG4v0.net
>>893
そういえばそうでした。

922:名無しさん@お腹いっぱい。
15/02/20 12:13:53.78 wSb+u5wZ0.net
>>902
別に誤記じゃないでしょ
シェア上位様優先=専ブラ公開してる既存開発者優先=発表時点で公開してた既存開発者優先=俺優先

923:名無しさん@お腹いっぱい。
15/02/20 12:14:42.78 +J76jikI0.net
コードよくわからないが誰かspyleからopenjaneのコード外したらどのくらいのコードが残るのかやってみてほしい
山下の開発力が分かる気がする

924:名無しさん@お腹いっぱい。
15/02/20 12:16:34.50 gi1/BIOm0.net
これ慣れてる奴なら一時間もかからずに解析できるな。
解析初心者の良い題材にもなるな
さすがにもうちょっとまともな実装してくるかと思ったが、山下はどうでもいいとして狐もコドモンもこの程度か

925:名無しさん@お腹いっぱい。
15/02/20 12:17:07.88 wH5tmlG60.net
>>900,906あまり手の内はバラさない方がいいと思う。
次はソースコード内で必死に難読化を頑張る姿が見れたかもしれないのにw

926:名無しさん@お腹いっぱい。
15/02/20 12:17:12.63 G+s5SSNp0.net
JaneStyleしか選択肢がなくて、
おまえらが山下の囲い込み策にのって
JaneStyleを使うことになって
山下が2chの広告収入の大半を1人で丸儲けする未来が見える
これがしたいが為の専ブラ排他でしょ

927:名無しさん@お腹いっぱい。
15/02/20 12:18:06.20 f2UiozuQ0.net
>>910
>Windows, Mac, Linuxでネイティブアプリとして専用ブラウザを公開している開発者
>App Storeで専用ブラウザを公開しているiOSアプリの開発者
>Google Playで専用ブラウザを公開しているAndroidアプリの開発者
誤記じゃないならこれ書く意味ないじゃん
2014/7/11時点で公開してる人以外は受け付けませんで終り

928:名無しさん@お腹いっぱい。
15/02/20 12:20:13.22 EGh5wknC0.net
>>913
時間が少しかかる程度だから意味ないんじゃないかな

929:名無しさん@お腹いっぱい。
15/02/20 12:21:09.62 8GRuJvG10.net
>>895
アプリの識別のためと勘違いしてるアホには一生疑問だろうw

930:名無しさん@お腹いっぱい。
15/02/20 12:22:14.86 1dHvqJEk0.net
Jane Style Version 3.75
浪人対応無し
User-Agent: Monazilla/1.00 (JaneStyle/3.75)\r\n

Jane Style Version 3.80β
浪人OFF
User-Agent: Monazilla/1.00 (JaneStyle/3.80\203\300)\r\n
浪人ログイン
User-Agent: Monazilla/1.00 (JaneStyle/3.80\203\300)\r\n
書き込みにログインを使用する
User-Agent: Monazilla/1.00 (JaneStyle/3.80\203\300)\r\n

旧来        :Monazilla/1.00
rokka / 浪人  :Monazilla/2.00
新API 山下3.80β:Monazilla/1.00

参考
JaneDoe View α ( build date: 1406150427 )
浪人OFF
User-Agent: Monazilla/1.00 (JaneView/1406150427)\r\n
浪人ログイン
User-Agent: Monazilla/2.00 (JaneView/1406150427)\r\n

931:名無しさん@お腹いっぱい。
15/02/20 12:22:52.70 2Yla0vGD0.net
>>913
最悪Linux上のWineでWin32ハックしながら動かそうと思ってたくらいだからまだ余裕
それ以前に狐のAndroid向けブラウザ逆コンパイルする方が早そうだがw

932:R.I.P ◆RIPJan/7tQ
15/02/20 12:23:08.50 J0bpM54t0.net
昼休み中~
やっぱりこうなった的展開ですね
URLリンク(anago.2ch.net)
とりあえずこれなんとかするのが先じゃないかな?

933:名無しさん@お腹いっぱい。
15/02/20 12:23:43.11 gi1/BIOm0.net
>>913
oSpyとか使わなくても方法はいくらでもある
XDayまでにもう一回くらいはベータ版が上がってくるだろうから、それはあえて解析せずにXDay以降出てきたものを解析するというのも面白いと思うけどな

934:名無しさん@お腹いっぱい。
15/02/20 12:27:35.33 XvZO8XD10.net
えーと、x-2ch-uaと共にappkey・hmkeyを抜ける
→api鯖側からの峻別は無理、当然api鯖からは大元の専ブラと認識される
→契約していない専ブラ及び各種ツールでもdatアクセス可能(spyleはこれは違法と主張だっけ)
・apiはdatアクセスの認証のみ
→apiキーと広告とは直接の繋がりなし
  →広告表示はクライアントから直接。apiがトラッキングの中継をするわけでもなさそう
  →ということは各専ブラで浪人無し時はこれこれの広告をこう表示させる、というだけ
なんか、すんごい昔のroaddr.iniを思い出した

935:名無しさん@お腹いっぱい。
15/02/20 12:29:34.79 qGfOrBfU0.net
>>920
これは・・・

936:R.I.P ◆RIPJan/7tQ
15/02/20 12:31:31.79 J0bpM54t0.net
>>923
.htaccess設定してないとこうなりますね
Apacheの設定もミスってます、はい

937:名無しさん@お腹いっぱい。
15/02/20 12:31:41.23 4gXjFFDE0.net
>>920 それは最終版じゃないの?3/3か近日とやらか

938:名無しさん@お腹いっぱい。
15/02/20 12:32:58.72 4gXjFFDE0.net
datフォルダは昔から見えてたよ

939:名無しさん@お腹いっぱい。
15/02/20 12:33:29.15 hve5MIKv0.net
>>770
強制beやpinkの閲覧制限でわかるとおり

940:名無しさん@お腹いっぱい。
15/02/20 12:33:30.78 EGh5wknC0.net
>>924
これってdat取得するためにわざとしてるんじゃなくて?
他の板でも同様になってるけど。scも同様だね。

941:名無しさん@お腹いっぱい。
15/02/20 12:34:01.56 BXG6jX1P0.net
>>924
/dat は前から見えてただろ
subject.txt からも辿れるんだし、隠す意味もない

942:R.I.P ◆RIPJan/7tQ
15/02/20 12:34:33.51 J0bpM54t0.net
>>925
URLリンク(anago.2ch.net)
うん?

943:R.I.P ◆RIPJan/7tQ
15/02/20 12:36:01.22 J0bpM54t0.net
>>928
直接アクセスには403返すのが普通
>>929
じゃぁAPI化も無意味ですね

944:名無しさん@お腹いっぱい。
15/02/20 12:37:36.35 O84RVYrk0.net
>>931
うむ

945:名無しさん@お腹いっぱい。
15/02/20 12:38:11.47 3iu6gg5f0.net
そもそも今の専ブラがどうやってdat取得してると思ってるんだよ
3/3にこれを見えなくするって話だろ

946:名無しさん@お腹いっぱい。
15/02/20 12:38:11.74 4gXjFFDE0.net
>>931 だからこれの公開を止めるってのが今回の話。
>>925 最終版→最終番

947:名無しさん@お腹いっぱい。
15/02/20 12:38:26.91 YfA4n5wP0.net
>>931
別に旧方式のアクセスが廃止されたわけじゃないんだから、はやちとりじゃ?

948:名無しさん@お腹いっぱい。
15/02/20 12:39:39.62 WMLAih7j0.net
あー、既にdatアクセスが止められたと勘違いしてるから何か変なことを言ってるのか

949:R.I.P ◆RIPJan/7tQ
15/02/20 12:40:01.55 J0bpM54t0.net
>>934
公開して後悔じゃ洒落にならないですしね
>>935
クロール対策云々なら先に対処するのはこういったとこじゃないってことですよ

950:名無しさん@お腹いっぱい。
15/02/20 12:40:04.14 QoLy9Mze0.net
3/3以降にこれが止まるっていうことなんじゃないかと

951:名無しさん@お腹いっぱい。
15/02/20 12:41:00.89 O84RVYrk0.net
>>937
クロールはどうでもいい
金だよ金

952:名無しさん@お腹いっぱい。
15/02/20 12:41:37.94 7hhCW4ak0.net
とはいえIndexesはオフるけどね普通

953:名無しさん@お腹いっぱい。
15/02/20 12:43:11.90 XvZO8XD10.net
まあIndexesがどうあろうとたいした問題ではない
そういえばapi鯖は各種他鯖からどうやってdat持ってくるんだろう
まさかhttp?だとしたら、今後もbbs.cgiなんかはそのままなわけで、datのディレクトリ変えるとかするのかな

954:名無しさん@お腹いっぱい。
15/02/20 12:43:16.38 TRwpAag60.net
>>920
Apache/2.2.21 (Unix) mod_ssl/2.2.21 OpenSSL/0.9.8q PHP/5.3.8 Server at anago.2ch.net Port 80
あちゃー古いなあ。
CGI版PHPにリモートからスクリプト実行を許す脆弱性(CVE-2012-1823) | 徳丸浩の日記 URLリンク(blog.tokumaru.org)
>修正リリース(PHP 5.3.12 / PHP 5.4.2)は不完全なため、該当するサイトは至急回避策を導入することを推奨します。

955:R.I.P ◆RIPJan/7tQ
15/02/20 12:43:36.67 J0bpM54t0.net
>>939
それは無いんじゃない?今居る運営鯔でお金受け取ってる人居ないですよ

956:名無しさん@お腹いっぱい。
15/02/20 12:43:52.57 LQNpITCm0.net
つーかこれってapi.2ch.netにDDoS仕掛けれられた場合全部が終わるんじゃね

957:名無しさん@お腹いっぱい。
15/02/20 12:43:59.32 QoLy9Mze0.net
普通はForbiddenにさせるもんだけど、ほぼ同じ情報をsubject.txtでひっぱれるからなあ
今までのデバッグの時のことを考えると、このままにしてあった方が良かったって程度じゃないか

958:名無しさん@お腹いっぱい。
15/02/20 12:44:27.90 XvZO8XD10.net
ところでR.I.Pは何しに来たの

959:名無しさん@お腹いっぱい。
15/02/20 12:44:58.76 f2UiozuQ0.net
2chて昔からエンジニアやプログラマ雇わないで身内とボランティアで何とかしようとするよな
知らないだけで実は雇ってたりするのかな

960:名無しさん@お腹いっぱい。
15/02/20 12:45:04.28 WMLAih7j0.net
>>944
各鯖のread.cgiより先に専ブラが死ぬ時代か

961:R.I.P ◆RIPJan/7tQ
15/02/20 12:45:22.45 J0bpM54t0.net
>>946
休憩時間の暇つぶしです
そろそろ持ち場に戻ります・・・

962:名無しさん@お腹いっぱい。
15/02/20 12:45:23.61 w+9m4x7i0.net
>>941
Rokkaと変わらない気も

963:名無しさん@お腹いっぱい。
15/02/20 12:45:31.19 vcayvxS90.net
bb2c対応| |ω・`)キタヨ| |´・ω・`)キタヨ| |(+・ω・´)キチャッタヨ♪

964:名無しさん@お腹いっぱい。
15/02/20 12:45:47.23 1SttgCHc0.net
>>942
2chってperlのイメージあったけどPHP使ってたんだ

965:名無しさん@お腹いっぱい。
15/02/20 12:46:04.75 Q+WqmzSz0.net
>>943
上級削除人も受け取ってないって言い切れる会?

966:名無しさん@お腹いっぱい。
15/02/20 12:46:32.23 b0SA17gT0.net
BB2C API対応済み
変更内容
・BBS MENUで板を選択した時のハイライト表示を修正
・2ちゃんねるの仕様変更に対応(3月以降広告の表示が行われる予定です)
既知の重要な問題
・iOS 6.x で背景画像を選択しようとするとクラッシュします。
これは次のバージョンで修正されます。

対応したのか

967:名無しさん@お腹いっぱい。
15/02/20 12:47:29.48 WMLAih7j0.net
たぶん.htaccessでdatディレクトリ以下をapi.2ch.netからしか覗けなくするとかじゃね

968:名無しさん@お腹いっぱい。
15/02/20 12:49:23.85 MwdeSKFA0.net
花子がRokka以外.htaccesだった気がする

969:名無しさん@お腹いっぱい。
15/02/20 12:50:16.53 H+LtHdsb0.net
>>947
それでなんとかなっちゃってたからね
で、今度はそれを敵に回したわけだが、
どうも、回した連中にはその自覚がない

970:名無しさん@お腹いっぱい。
15/02/20 12:51:25.94 XvZO8XD10.net
やっぱ.htaccessかなあ
そりゃディレクトリ変更とかやると影響点ものすっごいし

971:名無しさん@お腹いっぱい。
15/02/20 12:51:39.98 gXKQR6OP0.net
api.2ch.netを攻撃するだけで全体を止められる良心的設計ですね

972:名無しさん@お腹いっぱい。
15/02/20 12:52:41.82 8hXxOie20.net
api.2chはどの程度の制限になるのか想像付かないのだけど
全対応専ブラの全アクセス…
因みに過去ログだけのRokkaの場合
1秒10スレ
1分60スレ
1時間600スレ

973:名無しさん@お腹いっぱい。
15/02/20 12:54:36.52 d1eg37op0.net
API対応ソフトが公開されるたびにAPIキー抜き取るレースが始まるな

974:名無しさん@お腹いっぱい。
15/02/20 12:56:11.53 SggXvUgo0.net
api.2chが攻撃されたら、ブラウザから見れればええ

975:名無しさん@お腹いっぱい。
15/02/20 12:56:43.22 XvZO8XD10.net
そういえば、いつのまにかdeveloper.2ch.net/ のフォーム部分がiframeになっている
内容も変わっ…てはいないか?

976:名無しさん@お腹いっぱい。
15/02/20 12:56:52.67 WMLAih7j0.net
いちいちHMAC-SHA256でダイジェスト生成して確認しなきゃならんから
それなりにサーバ側の負荷は大きいよね

977:名無しさん@お腹いっぱい。
15/02/20 12:58:55.99 gi1/BIOm0.net
>>964
そんな大した計算量じゃないけど、チリも積もれば山だな
なお、TwitterはHMAC-SHA1

978:名無しさん@お腹いっぱい。
15/02/20 12:59:35.52 2Yla0vGD0.net
まとめとくね
仕様書
URLリンク(codepad.org)
Pythonのサンプル
URLリンク(codepad.org)
Rubyのサンプル
URLリンク(codepad.org)
山下君、これ使って専ブラ開発者にAPIの使い方説明しても良いよ

979:名無しさん@お腹いっぱい。
15/02/20 13:00:09.01 SggXvUgo0.net
>>954
BB2C、泥船に乗ったつもりで対応したか

980:名無しさん@お腹いっぱい。
15/02/20 13:02:16.13 f4xoubyB0.net
BB2Cは奴隷契約結んだクズ
アンインストール待ったなし

981:名無しさん@お腹いっぱい。
15/02/20 13:02:26.98 XvZO8XD10.net
計算処理に加えて、全ての.datがこのapi鯖を通ることになるわけで
api鯖がどういう.datの取り方するのか知らないけど…どうするんだろうね

982:名無しさん@お腹いっぱい。
15/02/20 13:02:40.50 WMLAih7j0.net
ARMv8だとSHAのアクセラレーション効くけど
x86だと対応は次次世代ぐらいかな、VIAは独自に命令持ってるけど

983:名無しさん@お腹いっぱい。
15/02/20 13:03:15.62 mxw/xHST0.net
>>931
復帰する人には見えてないとsubjectとの差を確認できないから見えないと困る。

984:名無しさん@お腹いっぱい。
15/02/20 13:03:30.48 Q+WqmzSz0.net
次すれたてていいですか?

985:名無しさん@お腹いっぱい。
15/02/20 13:04:24.41 BLAGbne30.net
どうぞ

986:名無しさん@お腹いっぱい。
15/02/20 13:04:48.80 /5SevvDS0.net
開発者なんて居ないしスレタイ変えた方がよくないですか?

987:名無しさん@お腹いっぱい。
15/02/20 13:04:54.11 YgRGeu7U0.net
なんでお前ら一丸となってSpyleのデバッガになってんの?
こういうのは施行される迄溜め込んでからドカッと砲撃する方が効くだろ
こんなにヒント与えてたら幾ら山下でも対策してくるぞ?

988:名無しさん@お腹いっぱい。
15/02/20 13:05:31.40 hTmgemYs0.net
API仕様はまだ暫定でこっから穴つぶすのかと思ってたらBB2Cが対応したことはこれがFIX版なんだな
まぁでも仕様変更は14日以内に対応だしいいのか

989:名無しさん@お腹いっぱい。
15/02/20 13:05:47.98 oyhKjZVL0.net
IOS Application Security Testing Cheat Sheet
URLリンク(www.owasp.org)

990:名無しさん@お腹いっぱい。
15/02/20 13:06:20.92 EfrqjtWq0.net
奴隷一号が出たか
よし、他の開発者も続いて奴隷宣言を出すんだ

991:名無しさん@お腹いっぱい。
15/02/20 13:07:04.41 Q+WqmzSz0.net
2ch.net専用ブラウザの開発者の皆さまへ ★6
スレリンク(software板)

992:名無しさん@お腹いっぱい。
15/02/20 13:07:16.83 BLAGbne30.net
3/3以降に突いた方が効くとおもったけど
他のブラウザも対応してるってことはこれで行くんじゃないの

993:名無しさん@お腹いっぱい。
15/02/20 13:07:51.24 2Yla0vGD0.net
>>969
サーバー自体は複数台置けるから、暗号通信に絡む負荷は台数でなんとかできると思うよ

994:名無しさん@お腹いっぱい。
15/02/20 13:08:51.23 gi1/BIOm0.net
見切り発車もいいところだな
ケツ舐めたのに脱落する開発者もいそうだ
こんな調子だと3/3は延期するんじゃね

995:名無しさん@お腹いっぱい。
15/02/20 13:10:34.69 Rm+OKDwk0.net
bb2cはappleが許可するかどうかが見ものだな

996:名無しさん@お腹いっぱい。
15/02/20 13:11:33.64 UOBlEAIu0.net
>>983
アップルはベータ版を認めないから今回は落ちる可能性がある

997:名無しさん@お腹いっぱい。
15/02/20 13:11:34.90 SggXvUgo0.net
BB2Cの広告表示された画面みてみたい
プロトタイプでいいから

998:名無しさん@お腹いっぱい。
15/02/20 13:11:50.05 tLQXmB9K0.net
広告の内容によっては……どうなるかな

999:名無しさん@お腹いっぱい。
15/02/20 13:13:28.70 XvZO8XD10.net
>>981
内側でもネットワーク越しにやり取りする形だったら結構大変そうだなって
外を介するわけじゃないとはいえ、フロントの台数増やしてもどうにもならないし

1000:名無しさん@お腹いっぱい。
15/02/20 13:13:30.26 O84RVYrk0.net
>>983
なんで?

1001:名無しさん@お腹いっぱい。
15/02/20 13:15:47.62 b9ypKYAz0.net
スパイウェイ化した時も数日で挙動が看破されてたが今回も同じか
なにも成長していない

1002:名無しさん@お腹いっぱい。
15/02/20 13:16:22.92 f4xoubyB0.net
BB2Cの低評価レビュー炎上待った無し

1003:名無しさん@お腹いっぱい。
15/02/20 13:18:41.52 a/EfdPts0.net
なんですかこの広告は!
今までなかったのに!

1004:名無しさん@お腹いっぱい。
15/02/20 13:19:40.75 aZSI5b2h0.net
クライアントが違ったら抜かれる情報変わるの?

1005:名無しさん@お腹いっぱい。
15/02/20 13:24:09.39 9tKcZaYf0.net
もう解析されたのか
おまえら仕事早すぎワロタw

1006:名無しさん@お腹いっぱい。
15/02/20 13:25:46.66 LQNpITCm0.net
>>993
バイナリ見たり串通したりしたら平文で解りやすく書いてあんだもんよ・・・

1007:名無しさん@お腹いっぱい。
15/02/20 13:26:47.34 jmdjAA/Z0.net
900 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん

1008:名無しさん@お腹いっぱい。
15/02/20 13:27:44.86 kqZJeXo70.net
なんか駄目駄目なとこが再確認されてってる

1009:名無しさん@お腹いっぱい。
15/02/20 13:28:05.51 z685EAEw0.net
>>995
Jane す~ぱ~い~る~♪

1010:名無しさん@お腹いっぱい。
15/02/20 13:28:06.28 b9ypKYAz0.net
前に悪さした時とまったく同じ手口
そしてまったく同じ露見の早さ

1011:名無しさん@お腹いっぱい。
15/02/20 13:28:48.51 jmdjAA/Z0.net
997 名前:あぼ~ん[レスあぼ~ん] 投稿日:あぼ~ん

1012:名無しさん@お腹いっぱい。
15/02/20 13:29:10.06 It84dCwa0.net
1000

1013:1001
Over 1000 Thread.net
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

1014:過去ログ ★
[過去ログ]
■ このスレッドは過去ログ倉庫に格納されています


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch