13/09/14 08:56:40.45 j0vizDOo
ここでいいのかな?
2ちゃんねるブラウザ「JaneView」 Part82
スレリンク(win板:313番)
313 名前:View ◆AcQTmXmylo [sage] 投稿日:2013/09/14(土) 02:01:41.07 ID:O1OC+UU6
スレリンク(win板:313番)
> まだ新旧の仕様を調べているだけで実装して試していませんが、ざっと動作を再確認してピックアップした●の問題点。
> 開発室へは最低限、開発版で動作を確認してから行きます。
>
> ●仕様の問題点(新旧とも)
> セッションIDが平文で流れているので、過去ログ取得/書き込みをプロキシを経由して行うとプロキシからはSIDが丸見えで、
> プロキシの管理人は●をセッションハイジャックできる。対策するならダイジェスト認証やHTTPSが必要。
>
> Janeの実装の問題点
> Jane2ch.iniの隠しオプションとして、ホストが2ch内かどうかを判断する基準となるドメインをBBSMENUセクションの
> 2chServersに設定できる。(2chに新ドメインが追加された場合の、Janeのアップデートまでの暫定対応用?)
> Janeはここにあるドメインのサーバへの書き込みや過去ログ取得で●のセッションIDを送る。
> ここに、外部板でのJaneの動作を変えるために2ch以外のドメインを追加している人がおり、
> そのような場合にはセッションIDが2ch以外のサイトに送られる可能性がある。
>
>
> 1番目の●の仕様が今まで問題にならなかったのも不思議なので、既に結論の出た話だったり、なにかこっちが勘違いしてるのかもしれません。