11/01/08 00:01:55 発信元:125.55.143.150 0
このどさくさで過去何度も出ては消える話
レス削除とスレッド削除の板分割をやってしまうとか
…混乱に拍車をかけるだけのような気もするからやっぱいいか
130:名無しさん@お腹いっぱい。
11/01/08 00:06:35 発信元:210.135.98.43 (19273) P
そうすると、お止めは解除はパス不要でスレの利用者が解除する流れだから、
お止め組が使うスレストと、解除用スクリプトは分ける感じになるのかな?
131:名無しさん@お腹いっぱい。
11/01/08 00:14:51 発信元:116.82.83.44 0
少なくとも、お止め組によるスレストと、削除人によるスレストを区別する仕組みがある
datファイルの末尾を見て判断しているだけかもしれないけど
削除人スレストとお止め組スレストは権限が別であるから、スクリプトも別だろう。
132:赤翡翠
11/01/08 00:16:55 発信元:210.135.100.132 (851803) P
個人的に思う懸念事項なんですが、一つのプログラムで削除系
全部動かすのは少し怖い気がしています。いくら認証が強固でも。
今回、色々できるスクリプト一つが漏れた為に何でもあり状態に
なってしまった部分もあるので、やっぱりモジュールは分割して
持っていた方がいいような。
今のシステムにはもちろん拘らないですが。
133:さくじょくん ◆DeleteNork
11/01/08 00:18:05 発信元:60.33.85.252 0
>>125 (メールでスクリプト名を書いて送る、っていう手段じゃないとだめぽ)
> ああ、その方がいいですね。
> それできちんと持っているか判りますし。
えと、これだろうと思うメールにメールしてみましたー
134:時計坂 ◆ToKEI3Ksw2
11/01/08 00:20:10 発信元:202.213.191.241 0
削除アカウントのパスも、
任意に自分で決められるようにできないでしょうか?
キャップパスのように。
135:赤翡翠
11/01/08 00:20:56 発信元:210.135.100.132 (851803) P
>>9のようにスキルとアカウントが紐付けされて、ログイン時に
そのアカウントと照合して入力した呪文(スキル)の起動が
許可されているかチェック、という方がいいように思いますが
どうでしょう?
最悪、入り口スクリプトが判っても、アカウントが判らなければ
使えず、アカウントが仮に漏れても、呪文が判らなければ処理が
できない、勿論呪文だけわかっても何も使えない、という感じで。
(呪文は暗号化?)
利便性と安全性を両立させるのはなかなか難しいですが・・・。
技術的な可否は別として、ちょっと考え過ぎでしょうかね。
136:名無しさん@お腹いっぱい。
11/01/08 00:22:25 発信元:218.43.107.129 0
今回の騒動でスレ削除も出来るようになっていたみたいだから、
それはつまり削除スクリプトも洩れたということではないの?
137:名無しさん@お腹いっぱい。
11/01/08 00:25:59 発信元:116.82.83.44 0
>>132
今回、漏れたスクリプトは確かにいろんな機能を搭載していましたが、
他のスクリプトのソース取得や芋掘り、ウイルス仕込み、グルーポンへのジャンプを仕込まれる、
果てには板作成までされてしまうに至ったのは、
「スクリプトの機能」を悪用されたのではなく、「なんでもできる穴」があったためです
「なんでもできる穴」とは、送られてきた命令をそのまま実行してしまうというもので、
「これこれを表示せよ」「このファイルをどこどこに移動せよ」「フォルダの中身を表示せよ」「削除せよ」「作成せよ」など
という命令をなんでも実行してしまうものでした。このような機能は本来搭載されていません。
ある攻撃者は、2ちゃんねるには様々なスクリプトが散らばっている、中にはしっかりと作られていない物未完成な物が
あって、これらをしっかりと管理すべきだった、みたいなことを言っていました。
そういうわけで、一つにまとめればオッケーとまでは言えないのではないでしょうかね。
138:名無しさん@お腹いっぱい。
11/01/08 00:26:14 発信元:114.159.49.63 0
もう未承諾さんにつくってもらったら今よりはるかにましなものになるだろうに
139:赤翡翠
11/01/08 00:28:25 発信元:210.135.100.132 (851803) P
>>129
それはいつかきっと南(ry
>>130-131
そういう理解でよろしいかと。
>>133
ちょっと待ってください。届いてはいますが(汗)。
フォームを決めてからでないと処理が混乱するので・・・。
>>134
全面的に修正することにはなりますが、それだとログが
読みにくくなってしまうので難しいと考えてください。
140:さくじょくん ◆DeleteNork
11/01/08 00:31:13 発信元:60.33.85.252 0
えぇ、えぇ。
いまのうちに送っただけですから、何も今すぐ何かしなくてもーーー。
というか、何か手伝えることがあったら昨日みたいに手伝いますのでヨロシコです
あと、6年ぶりくらいにICQを起動してみました
141:時計坂 ◆ToKEI3Ksw2
11/01/08 00:32:19 発信元:202.213.191.241 0
ここはリモートホストが出るので、来ても書きたくない方もいるんじゃないかなあ。
>>139
でしたら、ランダムな文字で作成されたパスワードをそちらで作ってから
各削除人に送るというのもムリですか?
142:赤翡翠
11/01/08 00:36:23 発信元:210.135.100.132 (851803) P
>>136
少し違います。
>>137
今回のスクリプトの説明はそれでいいとして
最後の1行がよく解らないのですが・・・。
一つにしておくと怖いな、というのが私の意見のつもり
なんですが、同じ事をおっしゃられています?
>>138
何となく断られる気がしたり。
>>140
昨日はお疲れさまでした。
ちょっと早朝の用事があったものでお任せしてしまいましたが。
>>141
そのあたりは専門家がここに沢山いらっしゃいますので
適切な方法を提案してくれるかと。
143:時計坂 ◆ToKEI3Ksw2
11/01/08 00:38:09 発信元:202.213.191.241 0
あと、とりあえず今分かってるボランティアのメアド全てに
連絡入れたらどうでしょう?
何割かは使われてなかったり、変更されていたりで、
届かず帰ってくるでしょうけど。
144:名無しさん@お腹いっぱい。
11/01/08 00:39:21 発信元:60.237.113.242 0
こっちから送らなくても向こうから送ってもらう形で十分だと思うがねぇ
145:名無しさん@お腹いっぱい。
11/01/08 00:41:58 発信元:219.30.41.43 0
>>143
目的がよくわからないです。
使えてた人が使おうと思った時に使えなければ向こうから連絡してくるでしょう。
146:名無しさん@お腹いっぱい。
11/01/08 00:42:25 発信元:116.82.83.44 0
>>142
> 一つにしておくと怖いな、というのが私の意見のつもり
> なんですが、同じ事をおっしゃられています?
あ、結論を全く逆に書いてしまいました <(^o^)>ナンテコッタイ
今回原因となったスクリプトが一つにまとまっているからといって、
バラバラにスクリプトを作れば大丈夫とは言えないのではないでしょうか・・・
147:赤翡翠
11/01/08 00:42:34 発信元:210.135.100.132 (851803) P
>>143
>>144の通りで、使う人だけ申請でよろしいかと。
免許の更新みたいなものと考えていただければ。
148:名無しさん@お腹いっぱい。
11/01/08 00:43:52 発信元:114.159.49.63 0
各削除人ごとにアクセス権限レベルを設定しておけばいいんじゃねーの?
149:時計坂 ◆ToKEI3Ksw2
11/01/08 00:46:02 発信元:202.213.191.241 0
2chの側から送る方が、証明の手順が楽かなと思ったのです。
ボランティアの側から送る場合は、証明が大変かなと。
免許の更新と言われれば確かにそうですね。
複数キャップとか役割持ってる方は大変そうとは思いました。
150:名無しさん@お腹いっぱい。
11/01/08 00:51:14 発信元:114.159.49.63 0
>>139
> 全面的に修正することにはなりますが、それだとログが
> 読みにくくなってしまうので難しいと考えてください。
このログって多分削除ログの事だよな?
気になったんだが、削除ログはplain/textで見てるのか?整形もせずに
151:赤翡翠
11/01/08 00:57:53 発信元:210.135.100.132 (851803) P
>>146
ああ、逆でしたか。
いや、まあ一つでもいいんですけどね。
開発する方の負担にならない範囲でしたら。
ただ、呪文はアカウントとは別に配布形式も併用した
方が確実な気がしていまして。
(単純に文字入力するだけでもいいんですが。もちろん
スクリプト内では暗号化して記録しておくと)
>>149
詐称はありえないとは言えませんが、まあ色々と確認
して対処しようかと(こちらから質問するなど)。
152:名無しさん@お腹いっぱい。
11/01/08 01:02:47 発信元:211.127.9.191 0
>>139
> 全面的に修正することにはなりますが、それだとログが
> 読みにくくなってしまうので難しいと考えてください。
素で質問なんですけど、pwの方は削除ログに残らないんじゃないの?
IDさえ管理しておけばpwなんて任意に決めて問題ないと思うけどな…
現状のpwだと外に漏れた時に嫌だしね。
無差別文字列を統括の人が設定して送ってくれるんならそれはそれで良いけど。
>>151
> 詐称はありえないとは言えませんが、まあ色々と確認
> して対処しようかと(こちらから質問するなど)。
そういう手間をかけるくらいなら最初から一斉送信した方が良いと思うのは私だけ?
まあ手間がかかるのはあかさんの方なので御本人がそれで良いなら別に問題ないんですけどね。
153:さくじょくん ◆DeleteNork
11/01/08 01:06:15 発信元:60.33.85.252 0
>>152
俺みたいに、登録メアドのプロバイダを解約してる人もいるし。
154:赤翡翠
11/01/08 01:06:24 発信元:210.135.100.132 (851803) P
パスワードとIDの話は別ということで。
上で言っているのは、IDはある程度規則的に
決め直すと思いますが、パスワードはこちらで
ランダムに生成するものを渡すかもしれません。
そのあたりは、適切な方法を専門の方々が提案
してくれるだろう、という話です。
155:時計坂 ◆ToKEI3Ksw2
11/01/08 01:33:55 発信元:202.213.191.241 0
>>154
パスワードは今までの方法以外だとどれでもうれしいです。
新パスワードの配布は、ランダム生成とかで指定したものを
送ってもらうのを望みます。
(インターネットのプロバイダが会員に割り当てたパスワード送るような方式で)
156:時計坂 ◆ToKEI3Ksw2
11/01/08 01:47:00 発信元:202.213.191.241 0
あと連絡&報告スレに、★の出せる方が、今回の件の事を少しでも書いておく方が、
しばらく2chに来なかった方には親切かもしれません。
☆ 連絡&報告 11 ☆
スレリンク(saku板)
157:赤翡翠
11/01/08 01:49:57 発信元:210.135.100.132 (851803) P
とりあえず、こんな感じでentry宛に送っていただきますかね。
スクリプトの方がすぐに出来る訳ではないと思いますが、
確認作業に時間が掛かる可能性もありますし。
・削除ハンドルとキャップパス
・削除人として登録したメールアドレス
・削除アカウント(ID+PASS)
・自分が持っている呪文+貰った時期+貰った方法
例:スレ削除(呪文名) 2000年4月 ○○さんからメールで
スレ移動(呪文名) 1999年10月 □□さんからICQで
※ICQのログやメール等がある場合には、それをコピーor添付
していただければなお良し。ただし無ければ記憶の範囲でOK。
※こちらで把握しているメールアドレスと違っていたり、
スキル等が違う場合には、こちらから質問等で確認する
場合があります。御了承下さい。
問題なければ連絡スレに貼ってきます。
158:さくじょくん ◆DeleteNork
11/01/08 01:52:29 発信元:60.33.85.252 0
良いのではないでしょうかーー
159:名無しさん@お腹いっぱい。
11/01/08 02:06:43 発信元:218.47.122.63 0
件名は統一しなくても大丈夫ですか?
160:名無しさん@お腹いっぱい。
11/01/08 02:10:33 発信元:124.99.82.228 0
良い機会だし、意見募集してみたりとかすればいいんじゃない?
眠れる意見が聞けるかもよ。
161:名無しさん@お腹いっぱい。
11/01/08 02:10:37 発信元:222.5.62.155 (07052490428558_ec) O
「生存確認」とか
162:名無しさん@お腹いっぱい。
11/01/08 02:12:02 発信元:125.30.6.124 0
>>157
>問題なければ連絡スレに貼ってきます
キャップ出せるのですか?
キャップが復活したり、削除システムが揃ってからで良いような
163:名無しさん@お腹いっぱい。
11/01/08 02:13:17 発信元:125.30.6.124 0
>>161
なんか電話番号っぽいものが表示されていますが、そんな事はないですよね?
164:名無しさん@お腹いっぱい。
11/01/08 02:14:03 発信元:61.89.15.136 0
>>163
固有番号でしょ。電話番号はもうちょっと短いからw
でも070からとか一瞬あせるなw
165:名無しさん@お腹いっぱい。
11/01/08 02:14:28 発信元:124.99.82.228 0
桁数違うし、携帯の固有番号だろ
166:名無しさん@お腹いっぱい。
11/01/08 02:14:38 発信元:114.159.49.63 0
電話番号じゃない
ezweb番号
167:名無しさん@お腹いっぱい。
11/01/08 02:18:19 発信元:211.127.9.191 0
>>162
確認作業は時間がかかるだろうから、先に確認しておけば削除システムが復活した時にすぐに対応できると思う。
ので確認作業は早めで問題ないかと。
要請板とかが滞ると後々問題が出そうなので削除システムは可能な限り迅速に復旧させるのが良いんじゃないかしらね。
168:名無しさん@お腹いっぱい。
11/01/08 02:18:56 発信元:220.211.159.110 0
>>157
登録の際のメールを削除してしまったので、メールの送り先が分からないのですが、
そういった者はどうしたらよいでしょう。(>>93です)
当時、ジェンヌさんやサザンさんとやり取りしたような記憶があります。
169:赤翡翠
11/01/08 02:20:15 発信元:210.135.100.132 (851803) P
おお、サブジェクトをコロッと忘れていました。
「削除アカウント更新@(削除ハンドル)」
とかでいいですかね。
>>160
まあそれは好きずきで。
>>162
このp2アカウントで書くしかないですね。
受付先はentryですから、問題はないと思いますが。
170:名無しさん@お腹いっぱい。
11/01/08 02:20:23 発信元:61.89.15.136 0
entry宛って書いてるのがそれじゃないの。
171:名無しさん@お腹いっぱい。
11/01/08 02:20:33 発信元:114.182.73.200 0
現行のログが破棄(?)されるかもしれないのに、あんま焦っても・・・
172:168
11/01/08 02:29:05 発信元:220.211.159.110 0
あ、多分こちらですね。分かりました。
ありがとうございます。
173:赤翡翠
11/01/08 02:36:32 発信元:210.135.100.132 (851803) P
>>171
確認作業ですから、メールシステムだけ生きていれば
他を待つ必要もないですし、時間が掛かりそうなので
始められるものから始めておこうかと。
削除システムのスクリプト構築自体には直接関係
ありませんし。リストを作成する作業ですから。
174:名無しさん@お腹いっぱい。
11/01/08 02:42:44 発信元:61.89.15.136 0
どうせ消えたらまた書き直せばいい。
もうはじめてもいいんじゃないかと。
あと、何か仮でもいいからトリップつけたら?
175:名無しさん@お腹いっぱい。
11/01/08 02:55:59 発信元:210.135.98.43 (572135) P
やれることからコツコツと
176:赤翡翠
11/01/08 03:12:29 発信元:210.135.100.132 (851803) P
とりあえず朝早かったのでそろそろお休みさせていただきます・・・。
貼るのは明日起きてからということで(昼くらいかなあ)。
何かあれば書いておいてください。よろしくお願いします。
177:名無しさん@お腹いっぱい。
11/01/08 03:22:11 発信元:114.182.73.200 0
おつかれさま。
まあ、ぼちぼちとよろしく~
178: ◆SGypsyBBQM
11/01/08 03:33:34 発信元:211.1.219.232 0
お疲れさまです。
>>169
むこうでは 210.135.100.132 ではなく p2 の接続元 IP がでます。
規制中でしたらすいません。
一応ということで。
179:名無しさん@お腹いっぱい。
11/01/08 03:57:51 発信元:222.5.62.153 (07052490428558_ec) O
携帯で書いたばっかりに混乱させてすみませんw
皆さんお疲れ様でした
180:名無しさん@お腹いっぱい。
11/01/08 08:10:38 発信元:110.1.62.230 0
削除パスがメアドなのは、
削除スクリプトをファビョって公開してしまう人間が出ないための
2ch側のセキュリティなんだと思ってました。
今回、削除IDが漏れてしまったので、削除IDの仕様変更は必要だと思いますが
削除パスに関しては、今までどおりメアドを入力させた方が
2ch的には安全なんじゃないでしょうか。
もちろん、使う側からすれば嫌ですけど、過去の漏洩事件を思い返すと
それぐらいの担保は仕方ないのではと思っています。
181:名無しさん@お腹いっぱい。
11/01/08 08:12:14 発信元:110.1.62.230 0
で、目覚めたのでちゃぶ台ひっくりかえしにきました。
>>42のスキル各種ですが、今ツールで使っている機能を取り入れて欲しい。
・レス削除、透明削除、過去ログ削除(レス)
Itadakiのように、レス番号をまとめて指定したら、
削除スクリプト内でまとめてチェックが入り、消せる機能。
Itadakiだと前後のレスがみれなくなるので、
同様の削除対象があった場合に消し残してしまう。
Itadaki+doronpoの機能があると嬉しい。
レス番号の指定方法は、削除依頼スレッドのまとめを使う方法と
cyanさんのまとめツールのように、ウィンドウがあって、
そこへ放り込めばまとめてくれる機能があると尚嬉し。
・スレッド削除、スレッド停止
複数のスレッドを指定し連続削除機能(めくり機能)があると嬉しい。
これもItadakiで板URLを指定すれば同様の事ができたが、
削除依頼スレッドでまとめてあるものを連続削除できなかったので
できれば嬉しい。(できるツールもありました)
・スレッド移動
移動先の指定にワンクッション欲しい。
スレッドURL指定→移転先URL指定→OKですか?みたいな確認画面があると嬉しい。
182:削 除マシーン ◆xNgPnrjUzU
11/01/08 08:25:07 発信元:221.76.93.191 0
>>169
とりあえずメール発射、本人確認はトリップで
普段からトリップ使う人はそれを書いてもらうと本人確認に使えるのでは?
183:名無しさん@お腹いっぱい。
11/01/08 08:26:29 発信元:210.135.100.132 (851651) P
あまり高機能なスクリプトを作るとまた穴が開きそうな気が…
削除スクリプト自体はシンプルなものにして
それ以上の事は別ツールで実現したほうが安全なんじゃないのかなぁ
184:名無しさん@お腹いっぱい。
11/01/08 08:28:33 発信元:219.121.32.102 0
>>183
さんに一票。
185:名無しさん@お腹いっぱい。
11/01/08 08:30:35 発信元:110.1.62.230 0
>>183
もちろん、別ツールで実現してくれてもいいです。
今まではItadakiとdoronpo、その他各種のツールがありましたので
削除スクリプトの仕様が変わることで、それらのツールが使えなくなることを
見越してのお願いです。
# スレッド移動のワンクッションぐらいは実現してくれてもいいよね?
186:ぢ
11/01/08 08:55:20 発信元:118.1.168.149 0
過去ログ削除が
古いサーバでは呪文が効かなかったりするんだよねー。
それがなんとかなると嬉しいなー。
187:(^-^)犬 ◆VET4349ZB.
11/01/08 09:07:29 発信元:222.145.35.244 0
「赤翡翠さん」
呼びにくいな。
「ケロちゃん」の方が好きだから「ケロちゃん」と呼ぶことにしよう。
そっちの★の言う事は素直に聞けそうだし。
188:がる
11/01/08 09:52:20 発信元:175.28.239.203 0
まほらさんやうさたんさんみたいな、
削除を兼業してる人達はどうしませう?
更に変更人の場合、キャップ設定出来たり、削除出来ない人もいるわけで。
それとちと内緒話もあるので、
あかさんにめるしますね。
189:名無しさん@お腹いっぱい。
11/01/08 09:57:54 発信元:116.82.83.44 0
旧システムのキャップ設定のスクリプトを見ると、特にアカウントの記述はなく、
URLを知っている=設定権がある、ということみたいだったけどそれでいいのかしら
あと板設定変更はどうしましょうか
190:名無しさん@お腹いっぱい。
11/01/08 10:33:17 発信元:210.135.100.132 (851651) P
この削除スクリプトに板設定権限やキャップ設定権限を組み込む訳ではないでしょう?
仕組みは流用するとしてもスクリプトは別に作るのではないかと
> URLを知っている=設定権がある
これは絶対にやめるべき
191:名無しさん@お腹いっぱい。
11/01/08 12:00:33 発信元:118.0.121.164 0
URLを知っていても .htaccess で登録されてないIPは弾かれる
でいいんじゃね?
★設定可能なのは FOX ★(の中の人)と同じ職場の人だけとか…
192:名無しさん@お腹いっぱい。
11/01/08 12:10:55 発信元:65.60.185.122 0
削除人全員固定IPだったんだ
193: ◆iu9AApzW1Q
11/01/08 12:28:04 発信元:58.70.15.66 0
作業パスワードとは別にワンタイムパスワードを発行しメールでおくり
作業パスワードとは別にワンタイムパスワードを入力しないと使えないように
すれば良いかと思うけど。
*メリット
urlを知っていても、ワンタイムパスワードが発行されないので使えない。
**デメリット
メールアドレスを登録する必要がある。
作業のたびにワンタイムパスワードを発行(cgi等)し
メールで送られてくるワンタイムパスワードを確認しなければいけない。
形的には、銀行のオンラインバンキングが似ていると思うけど
そこまでセキュリティを強化する必要があるのかと思う
194:名無しさん@お腹いっぱい。
11/01/08 12:38:35 発信元:110.158.215.163 0
ジャパネットバンクみたいだ
195:名無しさん@お腹いっぱい。
11/01/08 12:42:37 発信元:210.135.98.43 (70297) P
必要なのは、価値に見合ったコスト。
2ch程度のものは、特別なセキュリティを考えなくても、
非常識なことさえしなければ十分だと思うんだけどね。
196:名無しさん@お腹いっぱい。
11/01/08 12:47:23 発信元:118.0.121.164 0
191はキャップとか発行するひとね
削除人は別な方法を
197:名無しさん@お腹いっぱい。
11/01/08 13:08:16 発信元:126.115.99.143 0
トリップとキャップパス両方で権限発動でいいんじゃない?
今回みたいなことあっても、トリップパスは本人しかわからないから大丈夫みたいな感じ
198: ◆iu9AApzW1Q
11/01/08 13:09:35 発信元:58.70.15.66 0
トリップも割れる可能性は十分にありえる
199:名無しさん@お腹いっぱい。
11/01/08 13:10:46 発信元:124.99.82.228 0
IDを発信元に変えれば
解決しそうだなw
200:赤翡翠
11/01/08 13:10:53 発信元:210.135.100.132 (851803) P
オハヨウゴサイマス。
>>180
既に漏れたかもしれないものを再度PASS設定というのは
正直あり得ない気もします(一応、最悪の事態を想定して)。
IDとパスの他に、もう一つの鍵として入力するというのは
ありかもしれませんが、そこまで強固にします?
(その効果を狙うのであれば)
>>181
機能とユーザーインターフェースの話は分けた方がいいような。
明確に区別できない部分もありますけど。
それと、上でモジュール化をといったのは、部品はシンプルに
作って、UIは他の人もいろいろ作れた方がいいのかな、
というのも頭の中にあったりしました。
itadaki、doronpoとも、両方とも作者さんは健在ですから、
UIの方は、またお願いしてみるというのもありかなと。
もちろん作り込んでもいいんですが、時間的にあまり余裕は
ない気がするので、中身の機能や安全性の方に時間を使って
貰う方がいい気がしています。
>>183さんのおっしゃるとおり、安全面も考慮して。
201:赤翡翠
11/01/08 13:15:08 発信元:210.135.100.132 (851803) P
>>181の中からだと、スレッド移動の確認ステップは入れて貰った方が
確かにいいですね。
ついでのお願いですが、「移動しましたよ。。」の下に移動先の
板のURL(スレッドへの直リンでなくてよい)が入って欲しいなと。
いまは一つの鯖に何十もの板が入るようになったので、「移転しました」
だけでは、どこに行ったのか利用者が探すのが大変なので。
>>186
過去ログの場合、多分フォルダ構成が少し違う鯖があるからでしょうね。
それを想定して過去ログは対応してもらう必要がありますね。
>>193
理想的にはそうかもしれませんね。
けどまあ、そこまで必要はない気がしています上にも書いた利便性と
安全性のトレードオフみたいなところですかね。
不正に何かされても、とりあえず最悪はログから戻せるようにとか
そういうバックアップ体制の方をきちんとしておけばいいのかも。
ワンタイムパスワードを、何かあったときだけ発行というなら
ありな気もしますが(あるいは定期的に半年~1年に1回とか)。
202:名無しさん@お腹いっぱい。
11/01/08 13:17:07 発信元:124.99.82.228 0
全部平文で漏れるor全部脆弱性のある暗号で漏れる
これだけはやめてチョ
203:名無しさん@お腹いっぱい。
11/01/08 13:21:13 発信元:116.84.228.249 0
完璧に近づける事ができても完璧にはならないのなあ。何処かで妥協点を見つけなきゃデスめえ。
204:名無しさん@お腹いっぱい。
11/01/08 13:21:36 発信元:124.99.82.228 0
総当たり攻撃を防げないor匿名串で荒らせる
これもできればやめてちょ
205:名無しさん@お腹いっぱい。
11/01/08 13:22:11 発信元:116.84.228.249 0
デスめえって、、デスねえデス。
206:名無しさん@お腹いっぱい。
11/01/08 13:36:17 発信元:65.60.185.122 0
結局覗けるようにしてたからやられたんだからしっかりしてれば
別にIDとパスだけで問題ないだろ
207:がる
11/01/08 13:37:31 発信元:175.28.239.203 0
まぁBeが以下自粛
208:がる
11/01/08 13:49:10 発信元:175.28.239.203 0
>サザンくんへ
NAOさんとすあまさんがスクリプト作成に協力してくれるそうです。
ここに来るようには伝えてます。
209:名無しさん@お腹いっぱい。
11/01/08 14:00:23 発信元:61.22.192.170 0
>>200と同じ意見だけど、
一度に全部入力するから漏れたりするんじゃね?
IDとパス入れたらログイン画面を出現させるとか、パスワードを2つ入力させるとか。
ようするに二回認証したら漏れる確率かなり下がる希ガス。
210: ◆IDaU21y6wI
11/01/08 14:28:54 発信元:119.245.57.45 0
基本的な方針として(おいらの中で)決まっているのは、
・パスワードは暗号化して保存
・漏れた可能性があるのでパスワードは現在の物から変更
・ログイン認証以外にスクリプトの呼び出し時にDigest認証等を導入
・各削除人さん(他管理系)の権限をサーバ側で保持する
です、
検討事項としては、
・httpdのユーザを切り分ける
バーチャルホスト毎ではなくサーバ毎に管理系のスクリプトを設置
これにより掲示板系から管理系へのアクセスを禁止する
・スクリプトの統一化
・スクリプトの改善
といった感じです、
211: ◆NAO/2MXDEk
11/01/08 14:35:06 発信元:119.231.181.135 0
キャップの仕様でトークンの件はどうなりました?
スクリプト側でsalt生成をするんですか
# 掲示板鯖から切り離したほうが良い気がするんですが
212: ◆NAO/2MXDEk
11/01/08 14:46:28 発信元:119.231.181.135 0
取り敢えず、削除系だけ先に復旧か
掲示板群スクリプト
├管理系
: ├削除系スクリプト
: ├ ・スレッド削除 ←
.└ ・レス削除 ←
最悪、半手動実行だとしても上記2つだけは用意しないとダメなのかな
213:名無しさん@お腹いっぱい。
11/01/08 14:59:22 発信元:210.135.100.132 (851651) P
スクリプトはスレッド削除とレス削除で分けるんですか?
214: ◆NAO/2MXDEk
11/01/08 15:01:21 発信元:119.231.181.135 0
私は、各スクリプトは機能単位で分けるべきだと考えてます。
なるべく細かく、なるべく小さく作る。
んで、その部品を呼び出す権限認証にキャップ紐付けを利用すべきだと考えます。
215: ◆FreUdE9GKI
11/01/08 15:04:34 発信元:61.213.207.18 0
メアドの登録でいろいろ騒動ありそうならいっそ次からはメアドの自動登録フォーム用意しておくとか。
ログイン状態でフォームに古いメアドと新しいメアド入力して送信したらメアド変更完了的な・・・。
ただ、メアドなんてこういう時にしか使われないから使い道が今のところないんだけど。
216:名無しさん@お腹いっぱい。
11/01/08 15:05:02 発信元:180.15.154.136 0
赤翡翠さん、削除人さんのメルアドもたった今、流出してしまったので、
連絡取れるなら早めにしないとまずいかも。
流出した人はメルアド変更したいでしょうし。
217:名無しさん@お腹いっぱい。
11/01/08 15:08:24 発信元:210.135.98.43 (70297) P
キャップで認証はリスクしかないのでしない
218: ◆cZfSunOs.U
11/01/08 15:08:25 発信元:206.223.151.75 0
よく考えてみると,bbs.cgi と管理スクリプトの実行ユーザを別にした場合,
あぼーんが入ったことのないスレと入ったスレでは所有者が異なるという
状況になってしまいますね.まぁざっと考えた範囲では取り立てて大きな問題は
生じない気もしますが,本当に問題ないかはよく考えた方がいいのかも知れません.
もっとも,bbs.cgi も含め bbsd 利用という形に統一すれば
そういう問題は生じませんが(bbs.cgi も管理スクリプトも
bbsd にリクエストを投げ,dat や subject.txt は bbsd が一元的に操作).
219: ◆NAO/2MXDEk
11/01/08 15:20:30 発信元:119.231.181.135 0
スレッド書き込みだけのモジュールを用意するとかはどうなんだろう
切り分けると重いのかな?
削除場 書込上位
↓ ↓
レス削除 書込判定
└─┬─┘
↓
[*,dat 処理]
│ file編集
↓
220:名無しさん@お腹いっぱい。
11/01/08 15:20:47 発信元:122.30.224.232 0
> ・httpdのユーザを切り分ける
> バーチャルホスト毎ではなくサーバ毎に管理系のスクリプトを設置
> これにより掲示板系から管理系へのアクセスを禁止する
よく分らんけど、httpdを掲示板用と管理用の2つ起動するってことなのかな
221: ◆NAO/2MXDEk
11/01/08 15:21:46 発信元:119.231.181.135 0
あら、恥ずかしい書き込みをしてしまった
222: ◆NAO/2MXDEk
11/01/08 15:23:48 発信元:119.231.181.135 0
メアドがパスは危険すぐる・・・>某所
223:名無しさん@お腹いっぱい。
11/01/08 15:24:57 発信元:180.15.154.136 0
メアドがパスってのは、もう止めましょう。
ダメージでかい。
224:名無しさん@お腹いっぱい。
11/01/08 15:27:57 発信元:210.135.100.132 (851651) P
2ちゃん用のメアドは普段のメアドとは別に用意するだろう…
常識的に考えて
225: ◆NAO/2MXDEk
11/01/08 15:29:02 発信元:119.231.181.135 0
二次キーをベースにDBを独立で持った方が良い気がするなあ
キャップパス+塩→AES→DB検索→権限承認→スクリプト実行
個人情報や準個人情報は掲示板鯖で管理するのは怖い・・・
226:名無しさん@お腹いっぱい。
11/01/08 15:29:27 発信元:14.11.119.224 0
今日のあれ見てるとね
227:名無しさん@お腹いっぱい。
11/01/08 15:32:15 発信元:210.135.98.43 (70297) P
パスワードが漏れているのはわかっているので、今更な話。
>>154 >>200 >>210
228:名無しさん@お腹いっぱい。
11/01/08 15:37:19 発信元:65.60.185.122 0
あーあー削除人とかのプロバイダメール晒されたぞ
レス削除だけでも使えるようにしてやれよ
229: ◆NAO/2MXDEk
11/01/08 15:48:47 発信元:119.231.181.135 0
・スクリプト
実装機能 レス削除
使用言語 未定
・変数
文字列 板名 ita
数値 スレッドキー th_key
数値 レス番 res_num
文字列 キャップ二次キー 2nd_key
・処理
○
↓
[変数受取]
│ ・ita, th_key, 2nd_key
↓
<変数ジャッジ>→ kick → ●
│ n.
↓ y.
[DBSDのような何か]
│ ・反映
↓
●
---
>変数ジャッジ
○
↓
<二次キー正当性判定>→no→●
│ ・DB検索
↓y
<ファイルopen>→<ファイル検索@grep>→no→●
│ n .│
│y │y
├-─-─-─-┘
↓
<レス番検索>→no→●
↓
●
---------
こう見ると、やっぱり認証を確り詰めとくべきな気がした
230: ◆NAO/2MXDEk
11/01/08 15:51:19 発信元:119.231.181.135 0
スレ削除は同様に
認証→検索→unlink→end
で良いんだろうなあ。
必ず「認証」を介さないと実行出来無いようにしておくと良いのかな
231:名無しさん@お腹いっぱい。
11/01/08 15:56:07 発信元:118.0.121.164 0
(削除の)認証キーはDB使わずDNS使っていいんじゃね?
232: ◆NAO/2MXDEk
11/01/08 16:07:24 発信元:119.231.181.135 0
基本はsalt併用で暗号化
rainbow tableはsaltがあると有用性が下がるような気がする
そして、可能ならばsaltはコードに直記せずにキャップパスと同時に渡した方が良い
saltの個人管理が必要だけど、きっとそっちの方が良いはず
#pass<>salt → pass, salt
---
DNSって、AD?
233: ◆SUAMA.Cbav5m
11/01/08 16:25:47 発信元:210.135.98.43 (465020) P
>>208
浅草なう
帰るまでちょっとまってね
# メアドが(略)の今、qb5のdatを全削除しといた方がよくね?
# 別に鯔がどうなってもいいというならしらんが
234:がる
11/01/08 16:28:56 発信元:175.28.239.203 0
>>233
消してもいたちごっこになりそう。
詳しくは後で。
235:名無しさん@お腹いっぱい。
11/01/08 16:29:45 発信元:210.135.100.132 (851651) P
>>233
もう手遅れ、消しても転載されるだけではないかと
236: ◆SUAMA.Cbav5m
11/01/08 16:43:40 発信元:210.135.98.43 (465020) P
もはやなにもいうまい
237: ◆IDaU21y6wI
11/01/08 16:43:53 発信元:119.245.57.45 0
一元管理もできるのでDNSで認証するのは割と有りかなと思ってます、
基盤作っちゃえばキャップや他の認証にも適用できるので、
238: ◆NAO/2MXDEk
11/01/08 16:52:58 発信元:119.231.181.135 0
DNSで認証~の参考資料とかってあります?
239: ◆iu9AApzW1Q
11/01/08 17:24:43 発信元:58.190.72.88 0
っ URLリンク(pentan.info)
240: ◆NAO/2MXDEk
11/01/08 17:30:40 発信元:119.231.181.135 0
どもです
241: ◆NAO/2MXDEk
11/01/08 17:49:47 発信元:119.231.181.135 0
だれか、OpenLDAPかそれに準ずるものを触った事がある方っていらっしゃいますか?
242: ◆SUAMA.Cbav5m
11/01/08 18:09:47 発信元:210.135.98.43 (465020) P
オハヨーオハヨー
243:名無しさん@お腹いっぱい。
11/01/08 19:11:17 発信元:210.135.98.43 (43364) P
作るものリスト?
アカウント・スキル管理系
・アカウント追加/停止
・スキル追加/停止
削除系機能
・レス削除
・レス透明削除(連続削除)
・スレ削除/停止/移動/(鯖間移動?)
・過去ログ削除(レス、スレ)
管理系
・過去ログ化
・スレ停止解除
・削除ログ復旧
復帰系機能
・age/sage復帰
お止め系機能
・時限停止
・時限停止解除
244:名無しさん@お腹いっぱい。
11/01/08 19:28:41 発信元:210.135.100.132 (848922) P
えと、>>183-185さんと同じ要望なのですが、外部ツールから削除スクリプトを
呼び出せるような仕掛けは残してもらいたいです。
アカウントの認証についてどのような方式になるのかわかりませんが、
よろしくお願いします。
245:名無しさん@お腹いっぱい。
11/01/08 19:35:46 発信元:180.16.80.9 0
使う言語はPerl?
246:名無しさん@お腹いっぱい。
11/01/08 19:40:36 発信元:60.39.152.183 0
>外部ツール
saku.cgi を ressaku.cgiから呼び出すということか?
削除人がツール作って削除人所有のPCからツール使用して削除スクリプト呼び出すのは穴に繋がる
247:名無しさん@お腹いっぱい。
11/01/08 19:47:48 発信元:210.135.98.43 (70297) P
ブラウザからのアクセスと変わらんよ。
248:名無しさん@お腹いっぱい。
11/01/08 19:52:11 発信元:210.130.51.226 0
外部ツールもちゃんと認証プロセス経て当該ツール叩くんなら、大して違いは無い。
でも、外部ツール自体がパス記憶してて自動認証しちゃう様だと危険。
249:名無しさん@お腹いっぱい。
11/01/08 20:02:54 発信元:210.135.98.43 (70297) P
認証情報の記憶だって一般的だし、それがただちに危険ってわけじゃないでしょ。
FTPクライアントにパスワードを記録させないのが主流なのかと。
毎回手入力しないのは脆弱な実装だなんて極端な主張はセキュ界隈にないでしょ。
250:名無しさん@お腹いっぱい。
11/01/08 20:44:19 発信元:60.39.152.183 0
>247
それなら外部ツール無関係に設計すればいいじゃん
251:名無しさん@お腹いっぱい。
11/01/08 20:56:12 発信元:202.212.71.18 0
偽外部ツールサイトの出現を危惧してるんじゃないの
252:赤翡翠
11/01/08 21:13:43 発信元:210.135.100.132 (851803) P
所用で出かけていましたが、最悪の事態になりましたか・・・。
>>210
基本方針については了解です。
細かなところはいろいろと議論しながら詰めていただければ。
こちらとしては、必要な機能が最低限揃っていればとりあえず
よいと思います。
メールアドレスの管理はアカウントとは切り離します(仮に
管理するなら暗号化その他必要な措置を講じていただくと)。
253:赤翡翠
11/01/08 21:23:04 発信元:210.135.100.132 (851803) P
>>157の連絡・報告スレへの告知用にキャップを
仮発行して貰った方がいいかな・・・。
ちょっとサザンさんにメールしてみよう。
254:赤翡翠
11/01/08 22:17:37 発信元:210.135.100.132 (851803) P
と思ったけど、これはqb5にはまだ無理かな?
255:名無しさん@お腹いっぱい。
11/01/09 00:19:01 発信元:180.148.144.210 0
素人考えなんだけど、単純に旧メールと新メールで同じ内容(またはキーワード)を
10分以内に送信するとかじゃダメなの?
256:名無しさん@お腹いっぱい。
11/01/09 00:26:05 発信元:124.97.188.152 0
メアドの送信側の偽装はできるんだよねー
257:名無しさん@お腹いっぱい。
11/01/09 00:29:33 発信元:180.148.144.210 0
あーだめかー
素人でゴメン
258:赤翡翠
11/01/09 00:55:59 発信元:210.135.100.132 (851803) P
とりあえず書いてみた。
259:名無しさん@お腹いっぱい。
11/01/09 01:01:58 発信元:210.135.98.43 (43364) P
おつです
260:名無しさん@お腹いっぱい。
11/01/09 01:12:38 発信元:202.213.191.241 0
おつかれさまです。
できれば、今までにボランティアしてる方で、
登録されてるメールには一斉送信してあげると
親切かも。
261:赤翡翠
11/01/09 01:28:42 発信元:210.135.100.132 (851803) P
忘れていた。
既にメールを送られている方は、今のところ特に
送り直していただかなくても大丈夫です。
付け加えた5.をどうしても書きたいということでしたら
再送していただくのも一向に構いませんが。
>>260
ちょっとそれは難しいかも・・・。
262:名無しさん@お腹いっぱい。
11/01/09 01:51:33 発信元:114.175.48.194 0
>>260
やる気があれば自分から動くでしょう
263:名無しさん@お腹いっぱい。
11/01/09 02:00:45 発信元:211.127.9.191 0
>>261
失礼とは思いますがこのような騒動が現実に起こった以上念のため確認させてください。
entry@2ch.netは部外者には覘かれることはないですよね?
(先日「仕組みが違うから大丈夫と仰っていた気はしますが念のため)
万が一・億が一にもentry@2ch.netが覘かれているともう完全に削除人を復帰させる手立てが無くなってしまうからね。
264:名無しさん@お腹いっぱい。
11/01/09 02:18:09 発信元:175.179.242.176 0
2ch.netのMXレコードはgoogleのドメインを指している。
つまり、2chのメールサーバは2chの外にあるみたいだからまぁ大丈夫だと思うけど
侵入されたサーバーにメールサーバにアクセスするためのパスか何かが置いてあったら終わりかもね
265:ξ´○ω○`ξ
11/01/09 03:38:14 発信元:221.90.211.80 0
>>261
\ξ´●ω●`ξ ワタシは2ちゃんねるの運営ではない
単なる通りすがりの変態で、お節介な善意の第三者
なんだけど、場の状況や流れを見て1点だけ乱入質問っ。
「>>263のような危惧を抱く人もおられます。
entry@2ch.netでの更新受付以外にも、
赤翡翠さんが記者募集時に開示されていた
メールアドレスでの更新受付も可能ですか?」
266:名無しさん@お腹いっぱい。
11/01/09 14:50:42 発信元:118.11.253.168 0
>※ICQのログやメール等がある場合には、それをコピーor添付
貰ったメールやログってコピー転載してもいいんですかねえ?
267:名無しさん@お腹いっぱい。
11/01/09 14:55:34 発信元:65.60.185.122 0
こまけえこたあいいんだよ
268:名無しさん@お腹いっぱい。
11/01/09 17:23:07 発信元:218.41.212.38 0
>>157
>>261
,.――-、
ヽ / ̄ ̄ ̄`ヽ、
| | (・)。(・)|
| |@_,.--、_,> 送ったけどきちんと届いてるか心配でござる
ヽヽ___ノ
の巻
269:赤翡翠
11/01/09 17:25:45 発信元:210.135.100.132 (851803) P
>>263
システム自体を私が管理しているわけではないので・・・。
掲示板システムのパスとその他のパスは違うとは聞いていますし、
連動する必要が全くないので大丈夫と思いますけど、それ以上の
ことは私からは保証できません。
270:名無しさん@お腹いっぱい。
11/01/09 17:34:19 発信元:220.100.254.78 0
困った事が起きてから考えるのがひろゆきイズム
こまけえことはry
271:名無しさん@お腹いっぱい。
11/01/09 17:35:01 発信元:210.135.98.43 (70297) P
スレリンク(sakhalin板:344番)
> 削除関係もこれでやりたいのですが、内容を確認するのにdatを毎回各サーバから
> 拠点に送るというのがネックかなと思っていたり、
itadaki も似たようなもんでしょ、と思ってみたり
272:赤翡翠
11/01/09 17:39:15 発信元:210.135.100.132 (851803) P
えーと・・・。
ここまでの機能とかUIの要望等々どなたかまとめて
いただけないでしょうか。
新たに出ているのは、スレッド移動と過去ログくらいだと
思いますが(透明レス番修正機能の方は、ダメ出しが
出ているので省いていいかなと)。
IDやパスについては別枠でまとめていただけると。
(これについては、多分他のボランティアさんも共通の
ものになると思うので、別に分けてもいいんですが、
あまり分散させすぎても何なので、整理してまとめて
あればいいですかね)
273:名無しさん@お腹いっぱい。
11/01/09 18:07:25 発信元:210.135.98.43 (43364) P
機能は>>243じゃ駄目すかね?
274:名無しさん@お腹いっぱい。
11/01/09 18:18:08 発信元:180.15.154.136 0
今、決まっている事
>>210
要望
>>32-38
>>105
>>134
>>181
>>183-185
>>186
>>201
作るものリスト?
>>243
275:名無しさん@お腹いっぱい。
11/01/09 18:57:25 発信元:180.15.154.136 0
ID、パスの要望
>>27
>>134
>>141
>>154
>>223
ID、パスへの方針
>>154 >>200 >>210
276:名無しさん@お腹いっぱい。
11/01/09 19:04:02 発信元:210.135.98.43 (64342) P
ざっくりとですが。
漏れあったら追加してください。専門的なお話は省いてます。
検討事項?
・認証方式 Digest?Basic?CGI?
・削除人専用窓口へのアクセスの仕方 testの下に置いておいていいのか?
機能要望
削除全体
・削除アカウントとスキルを関連づける
・外部ツールからの利用はできるようにしてほしい
・レス削除とスレッド削除の板分割
・危険防止のためにも各モジュールは分割して持っておきたい。
・削除アカウントのパスも、任意に自分で決めたい。
・削除パスに関しては、メアドは利用しない
・作業パスワードとは別にワンタイムパスワードを発行したい
個別機能要望
・透明削除のとき、レス番号がズレないようにしてほしい
→反対意見あり。技術的に困難とのこと。
・スレッド移動
移動先の指定にワンクッション欲しい。
スレッドURL指定→移転先URL指定→OKですか?みたいな確認画面があると嬉しい。
移動後、「移動しましたよ。。」の下に移動先の板のURL(スレッドへの直リンでなくてよい)が入って欲しい
・レス削除、透明削除、過去ログ削除(レス)
レス番号をまとめて指定したら、削除スクリプト内でまとめてチェックが入り、消せる機能。
レス番号の指定方法は、削除依頼スレッドのまとめを使う方法とcyanさんのまとめツールのように、
ウィンドウがあって、そこへ放り込めばまとめてくれる機能があると尚嬉し。
・スレッド削除、スレッド停止
複数のスレッドを指定し連続削除機能(めくり機能)があると嬉しい。
※削除スクリプト自体はシンプルなものにして
それ以上の事は別ツールで実現したほうが安全との意見あり。
・過去ログ削除
古いサーバでは呪文が効かないので、なんとなると嬉しい。
277:名無しさん@お腹いっぱい。
11/01/09 20:59:23 発信元:211.127.9.191 0
>>260
>>261
>>262
ごめんなさいね。ちょっと強い言い方かもしれないのですが、まじめに考えている事を書きますね。
やる気があれば向こうから動くだろ、とかちょっと難しいかも、という考えはどうかと思いますよ。
今回は今までとは事情が違うでしょう。2ちゃんねる側のセキュリティの甘さで生メールアドレスが漏れたんですよ。
今はもう2ちゃんねるボランティアにはかかわっておらず2ちゃんねるの閲覧もしていない。ただ登録した時の生メールアドレスは現在も使用中。
そういう人がいないとも限らないでしょう。そういう人の為にも
削除人再登録のお願いとともに「生メールアドレスが漏れてしまった事実を伝え、お詫びする」のが筋だと思うんですが。
ボランティアなんだから、という考え(甘え)は通用しないと思います。
強い言い方になってしまい恐縮ですが決して煽りではなくまじめに考えた書き込みです。
真摯な対応を望みます。
278:名無しさん@お腹いっぱい。
11/01/09 21:03:54 発信元:210.135.98.43 (70297) P
正論。
まあ運営者の役割だけどね。
279:名無しさん@お腹いっぱい。
11/01/09 21:04:28 発信元:211.127.9.191 0
>>266
私的な内容ではなく、呪文を渡した事が記載されている部分だけなら問題ないんじゃないですか?
それと転載禁止って「2ちゃんねる」の名のもとに書かれていますよね?
なので「2ちゃんねる」宛のメールであれば転載にはならないと思うんです。
2ちゃんねる側から書いてよこせと言っているのですから「何で勝手に転載してるの?」とは言われないでしょう。言われる筋合いも無いし。
>>268のような方の為にも「メールは受け取りました。○○がメール内容を確認します」位の返信はしてしかるべき。
今までのように「ボランティアなんだから」と言うのはやめるべき。
280:名無しさん@お腹いっぱい。
11/01/09 21:06:22 発信元:61.89.15.136 0
まー何かしら運営側からメール一本贈るのは賛成ですね。
ついでにエラーが帰ってくる人とか試せますし。
281:がる
11/01/09 21:09:32 発信元:175.28.239.203 0
2ちゃんねる側って「誰」でしょうか?
筋でいけば、2ch管理者である「パケモン」の代表者が
謝罪とお詫びのメールを送るのがベストではないですか?
赤翡翠さんも他の人も同じボランティアであって「2ちゃんねる側」の人ではないです。
全く責任がないとはいいませんが、決して赤翡翠さん一人の責任ではないでしょう。
なのでそれを言うなら「パケモン」に直接言わないと無意味です。
赤翡翠さんが謝っても「2ちゃんねる」が謝った訳ではないですから。
私もメアドが漏れてしましましたが、解約済みなので被害は少ないとはいえ
「2ちゃんねる」を信用して「メアド」を預けた立場の人でもあります。
だからこそ謝罪等は赤翡翠さんとかではなく、「パケモン」にやってもらいたい。
私は真面目にそう考えます。
282:名無しさん@お腹いっぱい。
11/01/09 21:14:25 発信元:211.127.9.191 0
>>281
別に「謝罪しろよこのやろー」とかは(私は)全く思っていないので、特定の運営者が送信すると言うよりも
「2ちゃんねる」の名前で送信すればよいんじゃない?
漏れたという事実を伝えるのが大事じゃないのかと思うので。
2ちゃんねるが好きでボランティアをやっている人たちなんだから責任問題の追及とか糾弾とか、そういうのは無いと思うよ。
(希望的観測過ぎるかもしれないけど)
私だって全くそういう気持ちはないよ。有るとしたらずさんな方法で管理をしていたおじさん連中に対してだけど、それもない。
言葉が足りなかったと思いますが私は別にあかさん宛に>>277を書いたわけではないんです。
あくまでも「2ちゃんねるとしてちゃんと対応しろよ」と。
283:がる
11/01/09 21:16:22 発信元:175.28.239.203 0
>>282
2ちゃんねるとして対応は同意ですよ。
ただあのレスアンカーだと特定個人に言ってるように見えたので、
ちょっと補足的反論入れさせて貰ったのです。
284:名無しさん@お腹いっぱい。
11/01/09 21:22:05 発信元:211.127.9.191 0
>>281
> 赤翡翠さんも他の人も同じボランティアであって「2ちゃんねる側」の人ではないです。
これも私の言葉が足らず申し訳ないです。
「2ちゃんねる側」ってのはなんと言うか人的組織的な話と言うよりも物理的な話です。
2ちゃんねるのサーバから漏れたので2ちゃんねる側と書きました。
皆さんが(有る意味)同等の立場のボランティアであると言うことはもちろん承知しています。
あと、ここは削除について話し合いをしている場所なので適切かなと思い>>277をここに書きましたが、
これ以上続けると肝心のスクリプト復活への支障になると思いますのでこの件についてはもう自粛しますね。
>>283
その点は本当に言葉が足りず誤解を与えて申し訳ないです。
自分の中で「あかさんに責任があるわけじゃない」ってのが明確でしたのでその旨を書くことすら忘れました…
285:名無しさん@お腹いっぱい。
11/01/09 21:41:54 発信元:210.135.98.43 (43364) P
どうやらさんがメルマガ作ってリストのメアド登録して発射すればいいかも?
しない確率の方が高いけども。
286:名無しさん@お腹いっぱい。
11/01/09 21:50:24 発信元:210.135.98.43 (19273) P
どうやらさんのメルマガか… (遠い目
287:名無しさん@お腹いっぱい。
11/01/09 21:52:02 発信元:58.89.138.34 0
CCにメルアド羅列ぐらいはしそう
288:名無しさん@お腹いっぱい。
11/01/09 21:52:13 発信元:27.231.120.107 0
最後に見たのはマトリックスオフネタだったか、書き込みIP全部記録しますよニヤリネタだったか
289:名無しさん@お腹いっぱい。
11/01/09 21:53:24 発信元:219.119.9.53 0
>>281
あんた誰?
なんか管理側っぽい偉そうな発言が目立つけど
2ch管理者が本当に「パケモン」なんて思ってる人いると思う?
そういう建前上の話にはうんざり
290:名無しさん@お腹いっぱい。
11/01/09 21:57:27 発信元:175.179.239.106 0
がるさんを知らないとかROMってろよ
291:名無しさん@お腹いっぱい。
11/01/09 22:14:12 発信元:122.211.232.146 0
謝罪を求めるものもいれば、メアド流出でリアルバレし謝罪するものもいる。
スクリプト開発に協力するものもいれば、自分のHPを消す作業を優先するものもいる。
メールが来るのを待つものもいれば、自分のスキルを誇示し保身に必死になるものもいる。
あーすばらしきかな削除人。
削除人の本質が今こそ見える時、ネットの藻屑となって削除人よ永遠なれ。
292:名無しさん@お腹いっぱい。
11/01/09 22:15:01 発信元:122.27.102.81 0
謝罪とかはどうでもいい
中の人の人生は一回しかないんだ
まずは、中の人の人生を守ることを最優先に考えろよ
293:名無しさん@お腹いっぱい。
11/01/09 22:15:53 発信元:210.135.98.43 (284672) P
2ちゃんと喧嘩別れした元鯔の人とかもメアド漏れちゃっててら
そういう人は怒って暴れそうな気盛る
294: ◆CPUinDOop.
11/01/09 22:20:54 発信元:219.97.156.135 0
最後のメルマガは2004/05/10で、47氏逮捕の話ですね
295:赤翡翠
11/01/09 22:25:14 発信元:210.135.100.132 (851803) P
ちょっと皆さんにお願いがあります。
削除アカウントのレスを芋掘りの形式でサーバー別に
まとめて欲しいんですが。
手動で削除してみようかと思っています。
※いたちごっこなのは判っていますが、やれる範囲で
やってみたいと思います。
集めるのはこのサーバーでスレを立てていただいても
いいので、すみませんが御協力お願いいたします。
296:名無しさん@お腹いっぱい。
11/01/09 22:27:10 発信元:61.89.15.136 0
メールアドレスとかですかね。
ちょっと行ってきます。もう拡散しまくってますけど。
297:名無しさん@お腹いっぱい。
11/01/09 22:27:30 発信元:175.179.239.106 0
find.2ch.net使って探せばいいと思うよ
298:赤翡翠
11/01/09 22:29:17 発信元:210.135.100.132 (851803) P
あとで掘って貰うことも念頭に入れています。
299:名無しさん@お腹いっぱい。
11/01/09 22:32:40 発信元:61.89.15.136 0
スレリンク(operate板:839番) 2011/01/08 14:50:33 ID:NN368BU+0
スレリンク(operate板:841番) 2011/01/08 14:51:32 ID:NN368BU+0
スレリンク(operate板:844番) 2011/01/08 14:52:29 ID:NN368BU+0
スレリンク(operate板:847番) 2011/01/08 14:54:11 ID:NN368BU+0
スレリンク(operate板:857番) 2011/01/08 14:57:08 ID:NN368BU+0
とりあえずメルアド公開してた分。串なんで掘る意味はないですけど・・・。
これ以降の特定レス関連もいりますか?
300:名無しさん@お腹いっぱい。
11/01/09 22:33:25 発信元:210.135.98.43 (43364) P
スレ立てした方がよいかと
301:名無しさん@お腹いっぱい。
11/01/09 22:35:59 発信元:61.89.15.136 0
個人的にはIPが出ない場所の方がうれしいなあと。
このIPアドレスから何かやられたら面倒ですしね。
302:名無しさん@お腹いっぱい。
11/01/09 22:39:39 発信元:114.170.81.249 0
qb7でやりますか。
303:名無しさん@お腹いっぱい。
11/01/09 22:43:00 発信元:114.170.81.249 0
削除アカウントのレスを芋掘りの形式でまとめるスレ
スレリンク(operate2板)
立てました
304:がる
11/01/09 22:43:58 発信元:175.28.239.203 0
金に立てますね。
305: [―{}@{}@{}-] 名無しさん@お腹いっぱい。
11/01/09 22:44:30 発信元:210.135.100.132 (850292) P
>>295
いつからメルアドが削除対象になったんですか?
306:がる
11/01/09 22:44:36 発信元:175.28.239.203 0
おっとあぶない、被るところでした。
307:名無しさん@お腹いっぱい。
11/01/09 22:47:26 発信元:58.0.141.74 0
>>295
赤なんちゃらさんの熱意は理解で決めるけど、やめておきなさい。努力の無駄です。
とうの前に検索エンジン等のキャッシュとして収集されているし、多くの人のローカルに保存されている。
インターネットにおいては、一度でも流出したら情報の削除は不可能なのですよ。
赤なんちゃらさんには別のもっと有意義なことに注力してもらいたいし、
今やる事がないのなら一息おいて、やることが来たときのために力をためて欲しい。
308:名無しさん@お腹いっぱい。
11/01/09 22:48:29 発信元:58.0.141.74 0
>>307
× 熱意は理解で決めるけど
○ 熱意は理解できるけど
309:名無しさん@お腹いっぱい。
11/01/09 22:52:30 発信元:61.89.15.136 0
このままだと2chのログに永遠に残っちゃうけどね。
削除しておけば1年後に収集することは再うpされない限り難しくなってるでしょう。
というかそれ行っちゃ削除の意味がない。
310: [―{}@{}@{}-] 名無しさん@お腹いっぱい。
11/01/09 22:54:10 発信元:210.135.100.132 (850292) P
メルアドってだけで削除していいの?
削除人は自分の個人情報が流れたら削除GLを無視して自分のためだけに削除権を使用していいの?
311:名無しさん@お腹いっぱい。
11/01/09 22:55:02 発信元:210.188.77.232 0
>>305,310
このようなメールアドレス晒しは重要削除対象です
>>307
要請で多くの依頼が対応待ちしているなかで優先して処理する理由はなんですか
312:名無しさん@お腹いっぱい。
11/01/09 22:55:25 発信元:58.0.141.74 0
>>309
「現行サーバのdatは汚染されている可能性があるから全て放棄し、新サーバには持って行かない」
という方針(のはず)だから、その心配は不要かと。
313:名無しさん@お腹いっぱい。
11/01/09 22:58:28 発信元:210.188.77.232 0
アンカー間違った>311
>>312
datは新しい過去ログサーバ行きじゃなくて破棄?
314:名無しさん@お腹いっぱい。
11/01/09 23:06:36 発信元:58.0.141.74 0
>>313
368 名前: ◆A/T2/75/82 投稿日:2011/01/07(金) 19:36:12 発信元:114.160.23.32 0
さてさて ここまで来た
ちと疲れたが、まぁ動いているようじゃ。
今やっていること
A) まったく新しく2ちゃんねるを作り直し @hato
B) 全てのサーバは捨てて(datも)新しいサーバに入れ替え
の二本立てです。
次は何をしなきゃかな?
・キャップ?
・芋掘り&規制?
スレリンク(sakhalin板:368番)
315:名無しさん@お腹いっぱい。
11/01/09 23:08:08 発信元:58.0.141.74 0
>>313
危険すぎて持って行けるわけないかと。
誰がどんなコードを仕込んでいるかわからない。検証すら出来ない。
316:名無しさん@お腹いっぱい。
11/01/09 23:10:48 発信元:114.182.73.200 0
赤翡翠さんが、どういう立場の人かは、実はよーしらんけど。
緊急時でもあるし、誰かに号令かけて旗振ってもらわなきゃいけないんだから
とりあえず助けてみたらどうだろう?
責任は、どうせ姿を現さないパケモンだかどうやらさんだかに押しつけときゃいいんだから。
317:名無しさん@お腹いっぱい。
11/01/09 23:21:17 発信元:221.113.167.94 0
赤さんはキャップ統括だよ
318:名無しさん@お腹いっぱい。
11/01/09 23:25:24 発信元:118.11.253.168 0
logsoku.comやunkar.orgには残ってるけどそのうち消えるのかな
319:名無しさん@お腹いっぱい。
11/01/09 23:27:17 発信元:211.127.9.191 0
>>291
念のため。私は謝罪を求める意図で書いたのではなく>>292さんの仰るような意図で書きました。
320:名無しさん@お腹いっぱい。
11/01/10 00:50:10 発信元:27.231.151.144 0
ここ何するスレ?
321:名無しさん@お腹いっぱい。
11/01/10 00:52:29 発信元:220.100.254.78 0
小姑プレイで憂さ晴らしするスレ
322:名無しさん@お腹いっぱい。
11/01/10 00:53:35 発信元:61.22.192.170 0
ここはスレタイ通り削除スクリプトを開発するスレ。
キャップ開発は別スレでやってる。
あと、謝罪だとか責任だとか開発と直接関係ない物は別スレでゆっくりと議論するなりなんなりした方がいいと思われ。
323:garnet ★
11/01/10 05:02:37 発信元: 0
とりあえずぼやき。
削除スクリプトをどこに置いても漏洩する可能性が消えるわけじゃないので、
別httpdを立てるほどのものじゃないと思うけどなぁ。
入り口(UI&API)を1つのサーバにまとめるならありかも。
各サーバの削除スクリプトは入り口からのみ受け入れるようにして。
アカウントの管理はパスワードのハッシュ値を保存するとして、
スキル検査も認証に組み込んでおきたいねぇ。
認証情報はpublic_htmlの外に置くか別の仕組みを使って
認証できるとよさげかも。
機能強化については従来通りツールで対応ですかねぇ。
無いと困るものを除いて。
324:名無しさん@お腹いっぱい。
11/01/10 07:38:22 発信元:210.135.100.132 (831306) P
>>276
>・削除人専用窓口へのアクセスの仕方 testの下に置いておいていいのか?
既出だが、別のディレクトリに分けるのが良いに1票
URLがバレた時は、ディレクトリ名を変更するだけでOK
Basic認証するにもディレクトリ丸ごとのほうが簡単で設定漏れもないし
325:名無しさん@お腹いっぱい。
11/01/10 09:06:50 発信元:219.127.9.25 0
>>294
タイトル:■YouTubeが流行ってるらしいですよの巻■
======2==C==H======================================================
2ちゃんねるのお勧めな話題と
ネットでの面白い出来事を配送したいと思ってます。。。
===============================読者数: 133,805 人 発行日:2006/05/31
最後に受け取ったのは2006/05/31だね
その後受信用のメールアドレスが失効したので届いてないですけどね
326: ◆CPUinDOop.
11/01/10 11:21:38 発信元:125.3.97.149 0
>>325
マジッスか
スパム扱いされたのかなあ
327:名無しさん@お腹いっぱい。
11/01/10 11:49:33 発信元:219.127.9.25 0
最終発効日は2006/12/11のようですが現在は休刊中のもようです
328:赤翡翠
11/01/10 12:24:08 発信元:210.135.100.132 (851803) P
>>274-276
遅ればせながら、まとめありがとうございます。
だいたいの要望等は箇条書きにしていただいた感じでいいですかね。
他にあれば追加ということで。
>>323
お疲れさまです。
流れ的には、そういう感じになっていくんでしょうね。
パスについては、暗号化など技術的なところはお任せするとして、
各IDのパスの他にもう一つ、定期的に変更するパス(サブパス)を
入れた方がいいかなと思っていますがどうでしょう?
(一応、既に書いたことの延長になりますが)
セキュリティーレベルの高い企業では、数ヶ月毎にパスの変更を要求
されたりしますが、各人のものを個別に変更する仕組みだと、使う方も
少々大変です(もちろん仕組みを作る方も、管理する方も)。
必要なときに現在のサブパスを確認し、また管理側も個別に漏れた
可能性が否定できなければ、その都度サブパスを変更すると。
(アカウントが特定できればそれだけ止めれば済みますが、
使われないと判らない場合もありますので)
漏れの可能性がなければ、半年か1年ごとの更新でいいと思いますが。
329:赤翡翠
11/01/10 12:32:43 発信元:210.135.100.132 (851803) P
>>303含め、ご協力ありがとうございました。
まだ続くとは思いますが、出来ることをやっていきたいと思います。
とりあえず全部にメールという話は、誰から送るべきかという点で、
すでにがるさんが代わりに詳しく説明してくれています(ありがとう
ございます)。
同様のことを言いたかったのですが、言葉足らずですみません。
私の方から、何らかのアナウンスはした方がいいのではという提案は
代理人さん含めてしてあります。
それに対してどうリアクションするのか、それは現段階では判りませんが・・・。
330:名無しさん@お腹いっぱい。
11/01/10 12:34:10 発信元:210.135.98.43 (70297) P
URLは、色んな所に送信されたり、記録されたりするので、
GETは禁止して、POSTでID・PWを送信するようにー
331:名無しさん@お腹いっぱい。
11/01/10 12:57:20 発信元:220.100.254.78 0
偽装メール見破る自信ないしメール送ってこられても対応できませんわ
332:名無しさん@お腹いっぱい。
11/01/10 14:15:12 発信元:210.130.49.155 0
>>331
こことかで聞いても良いし、公開できない内容ならメールで聞いても
良いんじゃないですかね?
他人には侵入出来ない(と説明のあった)メアドあるんだから。
333:garnet ★
11/01/10 16:03:07 発信元: 0
>328
変更したサブパスを通知することを考えると、
かえって手間の方が増えるだけかと。
それにサブパスを作るよりも、
呪文を変更したほうが楽だと思うなぁ。
334:名無しさん@お腹いっぱい。
11/01/10 19:25:13 発信元:210.135.98.43 (284672) P
削除サブパス通達用の自動返信アドレスを作って
削除人がソコへカラメル送ると自動でパスが返信されるようにすればいいじゃん
1年間サブパス問い合わせしなかったメアドを自動でリストから削除すれば
現役さんの生存確認にも使えるし
335:赤翡翠 ★
11/01/10 19:34:29 発信元: 0
>>333
サブパスは一斉送信ではなく、連絡スレ等で告知して、
問い合わせして貰うのでいいと思うんです。
なので、基本的にはそう変えないつもり。
(ちなみに返信する手間は考えなくていいです。
いまやってる作業より遙かに楽だし(汗))。
呪文を変えて連絡する方が大変な気がしたり・・・。
定期的に変えるわけにもいかないでしょうし。
(中身の改修も伴うなら)
このあたりは使う削除人さん的にはどうでしょう?
まあ、ユーザー管理から削除スクリプトに行くところの
パスみたいなイメージで考えたんですが、UIがどうなるか
わからないので、無理は言いません。
336: ◆NAO/2MXDEk
11/01/10 20:14:15 発信元:180.146.102.120 0
赤翡翠さんのイメージを実際に導入しようとするとこんな感じなのかなあ
▼削除プログラム起動時
1. 削除フロント(qb7のある鯖)でキャップパスとサブキーを入力
2. キャップパスの照合を実施
3. 照合が通ったらサブキー(+キャップパス)で二次キー再照合実施
4. キャップパス+サブキー紐付けDBで照合実施
5. 実施結果が真なら削除スクリプトの起動を許可
---
▼サブキー管理
1. 削除フロントからサブキーの紐付け登録を実施
2. 二次キーを生成して照合用DBへ登録
※このとき、登録日時を記録
i. 二次キーを有限(1~3ヶ月)で使用不能とする
ii. 二次キー期限切れの場合は、元キー+新キー+キャップパス+魔法の呪文で登録申請実施
(再登録申請時、管理者が許可をして実登録が実施されるようにすると、人的確認が実施可能)
---
<蛇足>
▼防御策
1. n回以上の不正なキーでアタックが実施された時
kickリスト+バーボン送り+リストアップ実施
▼自爆機能
1. 急遽止めたい場合に、管理者権限でポチッとなで全停止が可能になるようにする
※システムを動かす為のマスターキーを即破棄して認証されないようにする
</蛇足>
337:名無しさん@お腹いっぱい。
11/01/10 20:18:24 発信元:110.1.62.230 0
キャップパスを認証に使うのは不都合があるのでやめてください。。。
338: ◆NAO/2MXDEk
11/01/10 20:22:05 発信元:180.146.102.120 0
この際良く分からん状況は全部破棄して
管理上名前と権限を一対一にしておくべきだと思いますけどね
339:名無しさん@お腹いっぱい。
11/01/10 20:28:28 発信元:110.1.62.230 0
キャップパスを認証に使わなくとも削除アカウント(ID)でいいでしょ
340: ◆NAO/2MXDEk
11/01/10 20:32:23 発信元:180.146.102.120 0
認証に使われると困る理由をkwsk
341:名無しさん@お腹いっぱい。
11/01/10 20:40:26 発信元:122.30.224.232 0
幸せサーバーの誰かみたいに、名前欄に入れたりとかしてうっかりキャップキーを漏らしたりしちゃう可能性がある
そうするといろいろと不都合でしょ
342:名無しさん@お腹いっぱい。
11/01/10 20:49:10 発信元:110.1.62.230 0
キャップパスを認証に使っていたお止め組の方法がまずいからという理由で
削除と同一の方法で認証するようにという議論で進んでいたのに
ここで削除がキャップパスで認証するという事になると、まずいでしょう。
343:赤翡翠 ★
11/01/10 20:52:15 発信元: 0
>>336
えーと、一つだけ言えばキャップでの認証はしません。
キャップは漏れやすいのと、漏れても気がつかないこともあるので。
頻繁に変更する可能性もあるから、それを認証に使わない方がいいです。
344: ◆NAO/2MXDEk
11/01/10 21:02:41 発信元:180.146.102.120 0
その為のサブキーだと思ったんですけどねえ。
片方漏れても大丈夫、的な
345: ◆NAO/2MXDEk
11/01/10 21:21:13 発信元:180.146.102.120 0
>>343
> 頻繁に変更する可能性もあるから
メインキーもサブキーも更新されるなら、それこそ防御性が上がるんだと思うんですが、
その辺はどうなんでしょうか。
---
変更出来てしまうものは、認証に用いるべきではないという事ですかね
となると、定期的に変えられるサブキーを要するなんてのはそこから反してしまいますかね
346:赤翡翠 ★
11/01/10 21:21:29 発信元: 0
というか、>>212のツリーを参考にイメージしていたのです。
なので、>>336を私のイメージで直すとこんな感じです(あくまで参考)
▼ユーザーログイン
1. 削除フロント(qb7のある鯖)でユーザーIDとパスワード(ランダム作成)入力
※これはこちらで決めて配布
▼削除プログラム起動時
1. ログイン後にサブキー、使うスキル呪文を入力(コレもある意味パスワード)
2. IDとスキルを照合して起動許可があるか確認(スキル使用許可)
3. 実施結果が真なら、該当削除スクリプトの起動を許可
※個別のスクリプト名を変更しなくても、必要ならスキルの呪文も変更が
管理者レベルで可能にする。
※入口(ユーザーログイン)からの起動以外は受け付けない。
※ユーザーログインの入口は、必要に応じて呪文かえるのもあり
---
▼サブキー管理
1. 削除フロントからサブキーの紐付け登録を実施
2. 二次キーを生成して照合用DBへ登録
※このとき、登録日時を記録
※サブキーは、文字列でも可か?(暗号化して保存?)
※二次キーの生成は、管理者が任意に実施
少々簡略化してしまってる気がしますし、不十分っぽい気がしますが、
必要なところは修正してください(あくまでイメージなので)。
347: ◆NAO/2MXDEk
11/01/10 21:35:35 発信元:180.146.102.120 0
>>346
スキル呪文と言うか、起動させたいプログラム名で制御ってのより、
アカウントにぶら下げで使えるスクリプトを制限してしまう方がUIとしては良いのかもと思ったり
>>権限DB
0 | Aさん | スレッド削除、レス削除、スレッド移転
1 | Bさん | スレッドストッパー、スレッド削除、レス削除
↓
・Aさんの画面
┌──────┐
│ようこそAさん │
│ 1st key .[ ] │
│ 2nd key [ ] │
│ │
│・スレッド削除 │
│ 鯖 [ ] │
│ 板 [ ] │
│ スレッドキー[ ] │
│----------------------│
│・スレッド削除 │
│ 鯖 [ ] │
│ 板 [ ] │
│ スレッドキー[ ] │
│ レス番 [ ] │
│----------------------│
│・スレッド移転 │
│ 元鯖 [ ] │
│ 元板 [ ] │
│ 元スレッドキー[ ] │
│ 先鯖 [ ]│
│ 先板 [ ]│
│ 先スレッドキー[ ]│
└──────┘
・Bさんの画面
┌──────┐
│ようこそAさん │
│ 1st key .[ ] │
│ 2nd key [ ] │
│ │
│・スレッドストッパー │
│ 鯖 [ ] │
│ 板 [ ] │
│ スレッドキー[ ] │
│----------------------│
│・スレッド削除 │
│ 鯖 [ ] │
│ 板 [ ] │
│ スレッドキー[ ] │
│----------------------│
│・スレッド削除 │
│ 鯖 [ ] │
│ 板 [ ] │
│ スレッドキー[ ] │
│ レス番 [ ] │
└──────┘
348: ◆NAO/2MXDEk
11/01/10 21:37:04 発信元:180.146.102.120 0
>>347補足
1st keyと2nd keyから合成キーを生成
→これで紐付け照合
349:名無しさん@お腹いっぱい。
11/01/10 21:39:49 発信元:110.1.62.230 0
>>347じゃ使い物にならないよ
削除画面絶対反対
350: ◆NAO/2MXDEk
11/01/10 21:43:34 発信元:180.146.102.120 0
>>349
イメージ
351:名無しさん@お腹いっぱい。
11/01/10 21:44:07 発信元:114.165.66.241 0
>347
find.2ch の「こそアン」と同様
1st keyと2nd keyの入力は画面の下に表示した方がいいかと
1st keyにスキル呪文いれれば…
352: ◆SUAMA.Cbav5m
11/01/10 21:49:14 発信元:210.135.98.43 (465020) P
>>341
おいらのことかー!!
なるべくシンプルに作ったほうがいろいろといいんじゃないかな・・・
353:赤翡翠 ★
11/01/10 21:49:44 発信元: 0
>>347
それではちょっと駄目ですね・・・。
アカウント入力だけでそこまでの画面に辿り着けるのは
まずいと思っています。
プログラム名で制御しなくてもいいんで、あくまで使うスキルの
パスワードというか暗号というか、、、
スキルパスってことにしましょうか?
というか、いままでののUIのイメージを伝えられないので、
(事細かにあまり書けないので)何というか・・・。
どうしましょうかねぇ。
354:名無しさん@お腹いっぱい。
11/01/10 21:52:48 発信元:116.83.131.21 0
じゃぁ削除人にはスキルごとのアカウント発行すればいいんじゃね。
名前・パス・スキルの3つをセットにして、鯖に格納。
つまり一つのアカウントのパスが漏れても、そのアカウントの権限のことしかできない。
355:赤翡翠 ★
11/01/10 21:59:12 発信元: 0
あ、でも>>347をシンプルにすればいいのかな。
ログイン後画面(仮)
───────────
ようこそID○○○さん
key1 .[サブキー ]
key2 .[スキルパス]
鯖 [ ]
板 [ ]
スレッドキー[ ]
───────────
これだけでいいような?
356:名無しさん@お腹いっぱい。
11/01/10 22:03:01 発信元:110.1.62.230 0
鯖 [ ]
板 [ ]
スレッドキー[ ]
これ分ける理由なんですか
スレッドURL(レス指定含む)でいいでしょ?
勘弁してくださいほんと
357:赤翡翠 ★
11/01/10 22:03:21 発信元: 0
>>355から先は、既存のUIを流用してもいいし(ここでは書けませんが)。
まあ、サブキーはあってもなくてもいいんですけどね。
358:赤翡翠 ★
11/01/10 22:05:10 発信元: 0
>>356
ああ、それでもいいですね。
なんか既存のものに少し囚われすぎていた。
昔はURLがいろいろ変わってたこともあった名残かもしれない。
359:名無しさん@お腹いっぱい。
11/01/10 22:06:57 発信元:210.135.100.132 (851651) P
ユーザーID、パスワード、サブキー、スキルパス
本当に四つも必要なのか?
360: ◆BAILA6C886n4
11/01/10 22:08:56 発信元:219.117.239.35 0 BE:Error-2BP(0)
芋掘り形式と同じでいいと思うのなの。。。@URI指定
361:名無しさん@お腹いっぱい。
11/01/10 22:10:14 発信元:210.135.98.43 (70297) P
新しくアカウントに保有スキル情報を入れるのよねえ?
スキル選択にまでパスワードのような状態にする必要あるのかな。
そりゃ認証が何段階もあればその分セキュアになるとは言えるんだろうけど、
例えばFTPなんて、ID/PWだけで何でもできちゃうわけで、
削除にそんな何段階もやっても、利便性を下げるだけじゃないかな。
362:名無しさん@お腹いっぱい。
11/01/10 22:11:16 発信元:110.1.62.230 0
実際に作業するのに、1スレ削除するために
URLを3つもの部品に分けて入力なんてやってられませんよ
ログイン画面ならそんなの要らない、
作業画面はURL入力はシンプルに
ログイン画面イメージ
ID[ ]
PASS[ ]
key[ ]
↓入力
作業画面前イメージ
□レス
□透明
□スレッド削除
■スレッド移動 移転先板[ ]
□スレッド停止
□過去ログ チェックボックス入れる
URL[ ]
↓入力
各削除画面 別窓で開く とか
363:がる
11/01/10 22:13:41 発信元:175.28.239.203 0
>>361
うんうん。
364:名無しさん@お腹いっぱい。
11/01/10 22:13:52 発信元:110.1.62.230 0
ここで議論される方は、せめてItadakiの画面見て欲しい。。。
365:名無しさん@お腹いっぱい。
11/01/10 22:14:22 発信元:218.47.122.139 0
私も>>361に同意です。
本当に4つもいるのかな?
366:名無しさん@お腹いっぱい。
11/01/10 22:15:08 発信元:116.83.131.21 0
まぁでもItadakiのシステムにはCGI名をいれるところがあるよねえ
367:赤翡翠 ★
11/01/10 22:16:36 発信元: 0
>>359
サブキーを提案してるのは、一応少しセキュリティーレベルを上げた方が
いいんじゃないか、という意味合いです。
どこかを定期的に変えた方がいいんじゃないか、という。
スキルパスは、人によっては5~6個以上覚える必要あり(まあメモでもいいんですが)。
それを定期的に変更するのは、スキルの多い人には負担になるかなと。
ユーザーID用パスの変更でもいいんですけど、それだと個別に全部生成
し直しになるので、管理者の方が大変です。
なので、サブキー一つの変更であれば、煩わしさは多少減るかと。
どうしても煩わしいのでしたら引っ込めますが。
368:名無しさん@お腹いっぱい。
11/01/10 22:18:33 発信元:114.165.66.241 0
>>361
最近じゃID/pass以外に何とかコード(ネットゲならキャラパスとか倉庫パス)入力するのが当たり前になってのに
逆行してないか
369:名無しさん@お腹いっぱい。
11/01/10 22:20:03 発信元:116.83.131.21 0
そんなもん削除人に聞いてくださいよ
スキルパスなるものを設けるのはまぁいいと思いますが、それをCGIのファイル名にして
照合するなんてことはやめてくださいね
370:名無しさん@お腹いっぱい。
11/01/10 22:21:31 発信元:210.135.98.43 (70297) P
現在のツールが、使用者がスクリプト名を入力する必要があるのは、
保有スキル情報がどこにもなく、スクリプト名を知っていることをもって
スキル権限者であるとする運用だからでしょ。
371:名無しさん@お腹いっぱい。
11/01/10 22:24:15 発信元:210.135.98.43 (64342) P
各ツールは後から対応してもらうとして
まずはシンプルに、最低限な機能と
必要なセキュリティを考えればいいのではないかな。
372:赤翡翠 ★
11/01/10 22:25:19 発信元: 0
>>369
それはないでしょう。
普通になんかパスワードっぽいのでいいかと。
まあ、今のシステムでも半ば無意識にそれに
近いことをしてるんですけどね。
手入力する人は少ないと思いますが。
373:名無しさん@お腹いっぱい。
11/01/10 22:26:40 発信元:210.135.98.43 (70297) P
>>368
保護の度合いは、保護しようとしているものの価値による。
事業者が保護しようとしているものは、自らの利益。
374:赤翡翠 ★
11/01/10 22:27:15 発信元: 0
>>371
そうですね。
まあ後付もできるので(多分サブキーは)、
必要になったら導入でもいいのかもしれません。
ちょっと混乱させたみたいですみません。
375:赤翡翠 ★
11/01/10 22:31:34 発信元: 0
>>373
それを言ってしまうと、削除で板崩壊させることも出来るんで
(レス削除だけでも)、安全面はあまり疎かにはできないかと・・・。
376:名無しさん@お腹いっぱい。
11/01/10 22:31:40 発信元:210.135.98.43 (70297) P
ID/PWをユーザが決めるのか、運営者が決めるのか、
という点で前提条件が全く違うんだよね。
アカ窃用の多くは、多くの人は複数サービスで共通のID/PWを
使用しているという現状に乗じて、他サービスのアカ情報を
流用しているから。
377:名無しさん@お腹いっぱい。
11/01/10 22:32:10 発信元:114.165.66.241 0
>>373
ネットゲならアカハック対策なわけだが
某ネットゲは日本以外で真っ先に導入された
別のネットゲでも日鯖だけは倉庫パス導入されてなかった
それにクレジットガードですら導入してるし
ガラパゴスな国は無関係かwww
378:名無しさん@お腹いっぱい。
11/01/10 22:34:03 発信元:210.135.100.132 (851651) P
スキルパスを5,6も覚えるって…まさかスキルごとにパスが違うとか?
そんなにスキルパスは必要なのか?
サブキーにアカウントを紐付けして定期的に発行した方がマシなんじゃ…
379:赤翡翠 ★
11/01/10 22:35:40 発信元: 0
>>376
IDとパスは、こちらで決めるつもりでいます。
380:名無しさん@お腹いっぱい。
11/01/10 22:37:32 発信元:210.135.98.43 (64342) P
今回みたいにデータが流出したときに
IDとパスが暗号化されていれば、まずは安全と考えていいのかな?
IDとパスだけじゃ不安だから、もう一個必要なのかなって感じなのかな。
381:名無しさん@お腹いっぱい。
11/01/10 22:38:33 発信元:116.83.131.21 0
それなら、削除人IDに大してスキル毎にパスワードをたくさん当てるとかさ、
例えば俺が削除人ID00001だったとする。
レス削除のパスはABCDEFG、スレストのパスは123456、透明削除ならHIROYUKI、強制dat落ちならKUTIBIRUとする。
格納ファイル上で、パスワードが空になってる場合は権限なしということで。
IDとパスの組を、1人の削除人に対してその人のスキルの数だけ発行するのもいいけど面倒だし。
382:名無しさん@お腹いっぱい。
11/01/10 22:43:39 発信元:210.135.98.43 (70297) P
アカ窃用で決済が行われた場合、事業者のセキュリティが甘ければ、
正規利用者に代金を請求する事はできない、ってのが経済産業省の見解で、
消費者庁はもっと請求撤回に積極的。
誰にも請求できなければ、費用は事業者の持ち出しになるわけで、
それが事業者の損害。
で、2chは。
383:名無しさん@お腹いっぱい。
11/01/10 22:44:52 発信元:114.165.66.241 0
>>379
最低でも8文字は設定してくださいね。
384:名無しさん@お腹いっぱい。
11/01/10 22:52:30 発信元:218.110.5.238 0
doronpoが使えれば何でもいいよ
385:名無しさん@お腹いっぱい。
11/01/10 22:55:35 発信元:218.110.5.238 0
素の呪文だけだったらはっきり言って使い辛いから使わないわけで
ツールとセットに考えないと
386:名無しさん@お腹いっぱい。
11/01/10 22:59:46 発信元:218.47.122.139 0
dronpoやItadakiは呪文とセットでできたわけじゃないし、
>>371でいいんじゃないかしら。
最初の段階からあれもこれもともりもり詰め込みすぎると、
器ごと破れて収めるところがなくなってしまいそう。
387:名無しさん@お腹いっぱい。
11/01/10 23:01:46 発信元:210.135.98.43 (64342) P
まず、2ちゃん側にツール的な部分を実装するのか
それとも、各ツール作成者にお任せするのか
まずはそれを決めてしまっては?
ツールの話とセキュリティ面の話が入り乱れてるんで。
388:名無しさん@お腹いっぱい。
11/01/10 23:12:42 発信元:114.165.66.241 0
>371をやってからツール作者が作り始めたほうが穴を見つけやすい
最初からツール前提でやるととんでもない大穴を空けることになる
389:赤翡翠 ★
11/01/10 23:15:31 発信元: 0
ログイン画面(仮)
───────────
ID .[ ]
PASS .[ ]
───────────
↓
ログイン後画面(仮)
───────────
ようこそID○○○さん
key .[スキルパス]
スレッドURL[ ]
[ O K ] [ログアウト]
───────────
↓
<各処理画面(別画面起動)>
大元のものはこれでいいんじゃないでしょうか。
(サブキーはとりあえず保留)
別画面にするのは、ログイン後画面でURLだけ上書きして
いけば、ある程度の連続処理が出来るように、という感じで。
>>362のようなインターフェースは、ツールの方で
実現していただいた方がいいような気がします。
390:名無しさん@お腹いっぱい。
11/01/10 23:19:38 発信元:210.135.98.43 (70297) P
狙われやすさ。
盗めば金になるとわかっていて、実際に被害も出て、
実際に金を出している顧客からクレームが出ていて、
顧客離れが起きかねなければ、そりゃ強固にもしようってもの。
で、2chは。
391:名無しさん@お腹いっぱい。
11/01/10 23:19:39 発信元:218.47.122.139 0
不満とかじゃなくてほんっとどうでもいいことなんですが、
でも黙ってられないー
>ようこそID○○○さん
こそばゆいよー
392:名無しさん@お腹いっぱい。
11/01/10 23:21:32 発信元:210.135.98.43 (70297) P
どうでもいいけどわかる>>391
393:赤翡翠 ★
11/01/10 23:22:20 発信元: 0
ちなみにURL部分は複数行(複数スレッド)対応になっているといいかも。
例えば各処理画面で、ボタンで順に切り替えながら処理できれば、
ツール無しでも、ある程度利便性が向上する気はします。
>>391
まあ、そこは無くてもいいんでスルーしてくださいな。
394:名無しさん@お腹いっぱい。
11/01/10 23:28:59 発信元:210.135.98.43 (70297) P
利便性、安全性、危険性、利益、損害。
大切なのは比較衡量。
危険だから、安全だから、ではなく。
395:名無しさん@お腹いっぱい。
11/01/10 23:29:37 発信元:218.110.5.238 0
実際作業はツール使ってやるんだから呪文の部分のUIは別に無くてもいいし
現行と同じでいいでしょ?
今回そこが問題なわけじゃないんだし
396:名無しさん@お腹いっぱい。
11/01/10 23:35:49 発信元:210.135.98.43 (70297) P
まあ、各要素の評価は人それぞれなのかもしれないけど>>394
397:くるま
11/01/11 00:20:31 発信元:125.2.122.160 0
>>389
お疲れ様です。ひとつ質問。
スキルパスの情報をユーザー側(ボランティアさん)にも持たせる理由って何でしたっけ?
システム内部に各削除人さんに紐付けた情報を持っていれば良いのでは?
(もちろん、簡単に改竄されたり流出したりしない工夫を内部に持たせますが…)
398:赤翡翠 ★
11/01/11 00:47:36 発信元: 0
>>397
これも一応パスワードみたいな位置づけで考えてます。
IDとパスが漏れても、その先は起動できないようにという。
いままではスキル毎に呪文が別々になっていたので、
仮にID、パス、呪文が判ったとして、そのスキルしか
少なくとも使えませんでしたね。
入口を一つにすると、全スキル使える人の分が漏れた場合
一気にいろいろ暴れられるので、被害が大きくなる可能性が
高くなります。
そこは必ず入れたいです。
399:くるま
11/01/11 00:53:34 発信元:125.2.122.160 0
IDとパスが漏れた場合は、スキルパスも漏れていると思うのですが…。
IDとパスが漏れて、スキルパスが漏れない状況というのが、ちょっと想像つきません。すみません。
あとcgiをひとつにするというのは、わたしが思い違いしていました。
以前と同じようにスキル毎のイメージでいたので。ありがとうございます。
400:名無しさん@お腹いっぱい。
11/01/11 07:32:58 発信元:211.127.9.191 0
>>362
の案に賛成。
最初のログイン認証さえ強固なら、その後は利用できるスキル一覧からチェックボックスとかラジオボタンでスキルを選択しても問題ないと思うんだけどなぁ・・・
一つ削除するだけなのにいくつもいくつもランダム英数文字列を入力しなければいけないのは著しく利便性に欠けるとおもうけど。
利便性と安全性を天秤にかけて、丁度良いころ合いで手を打ってほしい。
実現が可能かは分からないですが提案。
ネットバンキングの認証のように、削除人の端末の情報をある程度記憶しておいて、それ以外の端末からログインしようとした時に限り
秘密の質問の答えが必要とか、ワンタイムパスワードを2ちゃんねるから当該削除人の登録メアドへ送信し、それを受け取った削除人がワンタイムパスを入力するとか。
401:名無しさん@お腹いっぱい。
11/01/11 08:13:45 発信元:219.30.41.43 0
>>400
IDとPASSを入力してログイン後、スキルPASSと対象レスURLを入力してスキルPASSに対応した削除機能が発動なら
削除人としてのIDとPASS(削除人毎発行)、その時使おうとするスキルのPASS(共通)の3つを入力するだけじゃないですかね
利便性と安全性も丁度良いんじゃないかなと思います
402:名無しさん@お腹いっぱい。
11/01/11 08:37:17 発信元:61.201.96.254 0
スキルの password は共通ではなく、配布時期毎(スキル別)に変えてはどうでしょう
403:名無しさん@お腹いっぱい。
11/01/11 11:38:37 発信元:59.135.38.149 (05004015323015_ej) O
>>400
いくらパスワードの仕組みを強固にしたところで、今までよりセキュリティーレベルを下げるって選択肢はないと思うよ。
漏れるのは別にして、鍵一個でクラックされて侵入されたら終わりになってしまう。
勿論強力な錠前にするんだろうけど、絶対開けられない鍵なんてないんだし。
Itadakiもdoronpoも、各呪文を入れるところがあって、それを最初に入れたら保存してくれてただけでしょ。
使い勝手はtoolで対処するレベルの話。
その各toolのpassの保存方法も併せて考える必要あるかもしれないが。
404:名無しさん@お腹いっぱい。
11/01/11 15:03:17 発信元:210.135.98.43 (64342) P
ふとおもったんですが、いつまでの完成を目指すんでしょう?
たとえば今月中にとかなら逆引で今週末までに仕様固めるとかの
線をひけると思うのです。
すでにどこかで発表済だったらごめんなさい。
405:名無しさん@お腹いっぱい。
11/01/11 17:29:18 発信元:210.135.98.43 (70297) P
スキル管理方法が従来とは違うという、前提の違いをまず踏まえてもらわないと。
従来の「スクリプト名」は、第2のパスワードではなく、スキル付与の方法でしかない。
で、そのスキル付与は、システム側で管理するようになった。
この時点で、従来の「スクリプト名」に相当する機能は確保されている。
決して、安全性は低下していない。
その上で、もう一段階の認証を加える意義があるかどうか、だ。
406:稲村 ◆O3QzS3viJU
11/01/12 01:22:30 発信元:219.103.107.209 0
遅ればせながらやって来ましたが、
ここでやったほうがよいでしょうか、
それともよそのほうがいいものでしょうかね。
407:名無しさん@お腹いっぱい。
11/01/12 01:25:15 発信元:175.179.239.53 0
とりあえずいなむらさんはお止め組の人々に新しくキャップ設定しなおす準備でもしたら
あと作業パスとキャップパスは別にするらしいから、作業パスもかな
408:がる
11/01/12 01:45:29 発信元:175.28.239.203 0
>>406
赤翡翠さんにメールでいいとおもいます。
おとめのことも念頭に置いてるみたいなので。
あと今ちょうどおいちゃんの雑談スレで
おとめの実装の話が出てるので、
みるといいかもです。
409:稲村 ◆O3QzS3viJU
11/01/12 01:49:49 発信元:219.103.107.209 0
>>408
お話ししてますー
ちょっと落ち着いてからやろうと思ってますよ、
優先順位的に。
赤翡翠さんが念頭においていただいているので、とても助かってます。
雑談スレで、この時点で私ができることはお願いするしか無いような。
410:赤翡翠 ★
11/01/12 02:19:26 発信元: 0
>>406>>409
お疲れさまです。
お止めの仕組み自体は雑談スレの方でいいんでしょうかね。
ユーザー管理の話は、キャップスレでやる方向になりそうな予感・・・。
みんなで分担してやれば、まあ何とかなるでしょう。
411:赤翡翠 ★
11/01/12 02:42:37 発信元: 0
>>605
やっぱりなかなか難しいんですね・・・。
まあ、LADPは無理だと思ってましたが。
412:赤翡翠 ★
11/01/12 02:42:56 発信元: 0
あ、誤爆してしまった(汗)
413:赤翡翠 ★
11/01/12 03:04:23 発信元: 0
ちょっとUIを修正。(>>362も取り入れてみました)。
ログイン画面(仮)
───────────
ID .[ ]
PASS .[ ]
───────────
↓
ログイン後画面(仮)
───────────
□レス [スキルパス] [OK]
□透明 [スキルパス] [OK]
□スレッド削除 [スキルパス] [OK]
□スレッド移動 [スキルパス] [OK]
□スレッド停止 [スキルパス] [OK]
□過去ログ [スキルパス] [OK]
スレッドURL[ (複数URL入力可) ]
[ログアウト]
───────────
↓
<各処理画面(別画面起動)(仮)>
───────────
[1][2][3] ←複数URL入力時、ボタンorURLで画面切替
~~~~~~~~~~~~~~~~~~~~~
各処理画面(現行のUIを流用?)
414:赤翡翠 ★
11/01/12 03:08:46 発信元: 0
パスの部分は●●●●表示にする形を考えていたので
>>389は起動してみないとどれが起動するか判らないと。
それでは困るので、スキル別に1行にしないと。
スレッド移動は、既存のものから変更。
内容を表示して確認画面で移転先板を入れる方が
要望のあったワンクッションになりますし、誤爆も防げるかなと。
複数URL対応はすぐ実現しないかもしれませんが、とりあえず・・・。
それでIDやパス、スキルパス等を各ローカルPCにどう保存するか?
cookieでもいいのか、それだと危ないのか。
415:名無しさん@お腹いっぱい。
11/01/12 03:12:05 発信元:114.152.126.141 0
クッキーをなるべく使わない機構にできないですかね
416:赤翡翠 ★
11/01/12 03:13:56 発信元: 0
XSSでbeのcookieを抜いてる人がいたらしいので、ちょっと危ないんでしょうね・・・。
417:名無しさん@お腹いっぱい。
11/01/12 03:14:02 発信元:210.135.98.43 (43364) P
もう寝て下さい
418:名無しさん@お腹いっぱい。
11/01/12 03:15:34 発信元:114.152.126.141 0
パスを堅くしてもクッキーが甘かったら意味がない
419: ◆NAO/2MXDEk
11/01/12 03:15:44 発信元:119.231.130.31 0
>>413
そのuiならbasic認証で良いのかな
人数多いとひどい事なりそうだけど
>>414
後、クッキーにいろいろ書き込むとお腹壊すってばっちゃが言ってました
---
個人で大事にして貰うっきゃないと思いますけどね
420:名無しさん@お腹いっぱい。
11/01/12 03:22:06 発信元:220.210.188.201 0
この期に及んで2ch.netドメインのcookieを利用するのはあり得ない選択肢だと思いますね
421:名無しさん@お腹いっぱい。
11/01/12 04:16:32 発信元:218.110.4.24 0
水を差すようで悪いんですが
今のスクリプトで脆弱性があったの?
削除人リスト漏れが起きたのは削除スクリプトのせいじゃないんでしょ?
だったら作り変える必要なんてないと思いますが
古い呪文をリネームするだけでOKだと思いますが
なんか雰囲気に流されて無駄な労力しようとしてませんか?
422:名無しさん@お腹いっぱい。
11/01/12 07:14:09 発信元:175.179.239.53 0
メールアドレスの流出をお忘れですか。。。
423:名無しさん@お腹いっぱい。
11/01/12 07:25:27 発信元:61.201.135.4 0
IDとパスが平文で保存されていたのも変えなくていい?
サーバが一つやられると情報が漏洩するのもそのまま?
424:名無しさん@お腹いっぱい。
11/01/12 11:38:40 発信元:124.27.196.206 0
>>421
でもソースが公開されたことで、いままで誰も気付かなかった盲点
をみつけられてしまうかもしれないし。。。
425:赤翡翠 ★
11/01/12 12:06:45 発信元: 0
>>419
管理がしやすいならBASIC認証でもいいですが
そのあたりはお任せでしょうかね。
まあ、cookie等で残せない事も考えて、>>413で必要事項を
入力しておけば、閉じない限り連続作業ができるように、
というのも想定してました。
ツール等々では、別に設定ファイル等に保存するなどしてもらえば
使い勝手はフォローできるかもしれません。
>>421
元管理人からも号令が出ている専権事項ということで。
ただ、時間は掛かるでしょう。
サザンさんもそんなに時間が取れない状況ですから・・・。
しかし、いつまでも放っておけない所もあるので(要請板など)
つなぎの方法は考え中です(それもサザンさん待ちで)。
426:名無しさん@お腹いっぱい。
11/01/12 13:20:32 発信元:114.165.65.23 0
(保存無し)cookieに接続元IP(とハッシュ化した何か)も入れておけばいいんじゃない?
427:名無しさん@お腹いっぱい。
11/01/12 15:43:35 発信元:210.130.48.97 0
>>421
削除スクリプトの脆弱性からいろんな勝手cgi実行された。
(削除スクリプトと銘打っておきながら、脆弱性によりどんなスクリプトも実行可能
になっていたと言うオチ)
428:名無しさん@お腹いっぱい。
11/01/12 15:49:18 発信元:210.130.48.97 0
あ、違うかな。
発端(各cgiの発見)は削除ログからだったけどその後の脆弱性利用は
別のスクリプトだったかも。
429:名無しさん@お腹いっぱい。
11/01/12 15:51:48 発信元:110.1.62.230 0
削除スクリプトは漏れてなかったよ
漏れたのは何でもできるsikasi.cgi
430:名無しさん@お腹いっぱい。
11/01/12 15:55:26 発信元:175.179.239.53 0
あのsikasi.cgiの認証用データファイル見たけどアカウント5個ぐらいしかなかったから
多分あれは昔の残骸で、今はほとんど使われてなかったものだと思われる(なのに削除もされず実行可能だった)
431:名無しさん@お腹いっぱい。
11/01/12 20:00:53 発信元:210.135.98.43 (70297) P
いわゆる最上級な人たち向けのスペシャルなスクリプトでしょ。
これのソースが漏れ、脆弱性を見つけられ、鯖内自由にされて、と。
432:赤翡翠 ★
11/01/12 23:49:18 発信元: 0
ログイン情報をどこかに保存しておくなら、前回のログイン時間とホストを、
ログイン後の画面に表示出来ないでしょうかね?
よくインターネットバンキングとかで表示されますが。
(誰かにログイン情報盗まれた場合、気がつくように?)
まあ、無くても構わない話なんですが、本人が見ればすぐ判りますよね。
難しい話でなければ、入っていてもいいのかなと・・・。
433:名無しさん@お腹いっぱい。
11/01/13 16:24:29 発信元:220.211.159.110 0
メールの返信はいつ来るのでしょう?
もちろんお忙しい事は理解しているのですが、到着していないのでは…と不安になりました。