防衛の為の教えと、攻撃の為の教え
2007/07/18 (Wed) 13:31:21
紅堂幹人

紅堂幹人ょいと、『荒らし』についてのコラム(っていうか駄文)書こうかな、とか思って資料漁ってたわけですが、色々と荒らしの為のツールとかも出てるのねぇ、とか思ったり。チューリングテスト付の掲示板(投稿時に画像で文字列が表示されてそれを入力しない限り「人間」だと判別されず投稿不可能になるアレ)が一番有効なのだろうけれど、簡単なそれを解析してしまう物もあるとか。『こういう方法で荒らされるかもしれないから、この荒らしにはこういう対処を』というコラムにしようと思うのだけれど、HTML・JavaScript・Perl/PHP等の実例を挙げて防衛のコラムを書くのは逆に攻撃者にとっても読み物になりえるわけで。そうなると、問題だよね。04WebServer+Perl/PHPとか入れてローカル内で試してください、とか書いておくかな。広く配布された物は危険である、てな感じで。掲示板でもチャットでも何でもそうだけど、Perl製のスクリプトって『getでも投稿可能』なの多いから悪意持った人に攻撃されたら弱いかもしれない、っていう。PHPだったら『$_POSTでしか受け付けない』とか普通だろうけど、それでも『無関係の人を罠に嵌めてJavaScript用いてPOST投稿を誘導』されたらアウト。『実際に攻撃をし掛けようとしている人』以外にも、『攻撃をし掛けようとしている人に”利用された人”』も攻撃者になりえるのだから。優しい人は利用された人を被害者だと弁護するだろうが、現実を良く考えてほしい。セキュリティの甘い掲示板やチャットに訪れているとして、そこから他のサイトに攻撃するよう誘導物が張られていたとしたら、利用者はその掲示板やチャットにアクセスしてはいけないのだ。その誘導物を除去するなり危険です、とアナウンスする管理者の手腕が問われる事になるわけだが……。結局は掲示板荒らしの対策なら、Referer/Cookieの有無,禁止ワードの導入とかで対策するしかない。チャットであればログが流れるから、無視Filterで利用者側が荒らしを無視できるような物を導入するとか、PHPでSession使ったりするとか。DoS攻撃は荒らしというよりは既に”攻撃”の域に達しているのでサーバ管理者の範囲で。それでもプログラム名をリネームする等でインタプリタCGIスクリプトの実行を防ぐ事は可能だったりするのでアカウント所持者も最低限の対策をしなければならなかったりする。紅堂は『チャットの裏口』とか使ったりするのだけれど、MSIEだとJavaScriptでbase hrefの内容をid指定書きかえれるので同じタイプのチャットであれば1つの裏口で複数のチャットにアクセス可能だったりする。FirefoxやOperaでは動作しないし、HTMLの仕様上もbaseにid名を置く事は正しくないのだが、MSIEだと緩くてできてしまう、とか。攻撃の方法を知らなければ防御の方法もわからない、てな感じでコラム書こうかなぁ、と。考え中。ある程度、質の高いCGI等を普及させたい為のコラム、っていう取り方でいいんだけどね。

 本日の読了⇒九鬼鴻三郎の冒険2 ヴァンパイヤー風雲録 疾風のヴァンパイヤー,九鬼鴻三郎の冒険3 ヴァンパイヤー疾風録 雷鳴のヴァンパイヤー,バッカーノ! 1705 The Ironic Light Orchestra

カテゴリ:日記 / この記事のURL / コメント(0)
緩やかな崩壊/ネガティヴ就活
2007/07/17 (Tue) 03:04:40
紅堂幹人

紅堂幹人やな夢を見て、掠れた声を上げて目を覚ました。それにあわせるように、人間関係は緩やかに変わろうとしていくようだ。いつまでも続く関係など存在しない。関係が一時的な物であるとわかっていながらも、自分の楽園の崩壊をただ見守る程の日和見主義でもない。後に壊れる物とわかっているのであれば自分で壊してしまおうか。今までもそうしてきたのだから。同じ場に留まる葛藤は誰にでもあって、自分だって北海道を離れなければならないかもしれない。何の為に残り続けるのか。居続けるのか。環境が合えさえすれば良いのだ。来る者は選別し、去る者は追わずが丁度良い。■のティアラを被る人よ、アナタは、……。ああ。ああ。いやな夢。
 ……ていうかね、書いてて『楽園パレードへようこそ』とかじまんぐボイスで思い浮かんだのですが。来る者は拒んだりするのでアレとは逆ですけど(滅)。何か自分が実家に居るのですよ、夢。で、玄関の外に誰かが居る影が見えて、ドアフォンで見たらそれが4人組の怪しい男たちで。鍵は施錠してあるはずで、2つ目の鍵も閉めているのに開けられて、それで目を覚ました。男たちの顔はどうでもいい。知らない人だったと思う。何だろう。
 自分は悪人で良いのだ。恨まれるくらいで丁度良い。それだけの事をしてきたし。けれど、償おうとは思わない。それが間違いだったとしても。

 ネガティヴ就職活動真っ最中である。昼過ぎから活動開始、と思い部屋を出たら自転車の後輪がパンクしていて最寄り駅まで徒歩で移動したり、会場直前で小雨がポツポツと降ってきたり。ネガ方向にしか思考が行かない。東京の内定で良いかな、とかそっち方向に思考持っていきそうな感じ。それならもっと本気で就職活動すればよかったな、とか更にネガに考えていく。ポジにはなれそうもないです(死)。
 メロンブックスとアニメイトで今月分購入。で、AppleStore寄って店員さんと話したり色々。Macは好きなんけどね。
 えきスタの前通ったら人が多い。で、モニターにはSIDの文字。今日のR advance RAD'Sはシドがゲストということで、アパート帰ってから聞いてたり。マオとしんぢが来てたとか。17時前ごろ通ったんだけど、やっぱ見物客、雰囲気が違ったんよ(滅)。んで、電車に乗ってから17時直前にブラック企業のセミナーにドタキャン電話してみたり。連絡しないよりはマシでしょ、綺麗事しか言わん所だし(ぁ)。
 ZIGGYが3人で活動中(ライブ活動再開?)とかラジオで知る。ベース不在だしなぁ。8年前はおいちゃん居たメンバーでだったし、ダスボンと並行してやったらなぁ、とか思った。無理か。ダスボンの方が好きだし、ZIGGYにおいちゃん居てもZIGGYぽくはなるだろうけどダスボンにはならないんだから。

 小説:所持1510+購入6=合計1516冊/未読:42+購入6=48冊
  ・9S<ナインエス>8 『ADEM』編(完結編) 葉山透/山本ヤマト 電撃文庫 初版/\610 2007.07.10
  ・とある魔術の禁書目録 SS 鎌池和馬/灰村キヨタカ 電撃文庫 初版/\510 2007.07.10
  ・バッカーノ! 1705 The Ironic Light Orchestra 成田良悟/エナミカツミ 電撃文庫 初版/\570 2007.07.10
  ・私立! 三十三間堂学院6 佐藤ケイ/かみやまねき 電撃文庫 初版/\570 2007.07.10
  ・悪魔のミカタ14 666 スコルピオン・レッドアイ うえお久光/藤田香 電撃文庫 初版/\650 2007.07.10
  ・空ノ鐘の響く惑星で 外伝-tea party's story- 渡瀬草一郎/岩崎美奈子 電撃文庫 初版/\570 2007.07.10
  ・九鬼鴻三郎の冒険3 ヴァンパイヤー疾風録 雷鳴のヴァンパイヤー 笠井潔/武内崇 講談社文庫 1刷/\619 2007.07.15 

カテゴリ:日記 / この記事のURL / コメント(0)
祝日?
2007/07/16 (Mon) 20:44:39
紅堂幹人

紅堂幹人起きが6時。大掃除して、本読んだり。ていうか、今日海の日だったんね。半夏休み突入しちゃってるから休日・祝日とか気にしてなかったよ(滅)。

 本日の読了⇒ヴァンパイヤー血風録 九鬼鴻三郎の冒険1 鮮血のヴァンパイヤー

カテゴリ:日記 / この記事のURL / コメント(0)
2007/07/15 (Sun) 02:29:40
紅堂幹人

紅堂幹人堂は割りと音楽DVD…というかライブDVDは買ったりする。PV集とかはいらんけど。で、cali≠gariの休も当然のように持ってるわけで。DVDは繰り返し見てたんだけど、DVDからmp3にリッピング。特にメニュー部分のグッド・バイのオルゴールメロディが好きなのでそれは個別にWAVE出力から抜き取って保存したり。

 本日の読了⇒ストラングル・クリムゾン

カテゴリ:日記 / この記事のURL / コメント(0)
整理
2007/07/14 (Sat) 23:45:36
紅堂幹人

紅堂幹人々とHD内整理。いつ死んでも良いように(うわぁ、ネガティブ)。

 本日の読了⇒スパーティング・クリムゾン

カテゴリ:日記 / この記事のURL / コメント(0)
ショック!
2007/07/13 (Fri) 21:14:51
紅堂幹人

紅堂幹人寄の本屋が1ヶ月以上前に潰れてた!(マテ・何で今まで気づかないよ) 中央区まで出る方が多かったからなぁ……。
 Perlではシステムコマンドでも実行できてしまうサーバでも、PHPではセーフモードでやっている、という所が多い。そのわけあって、Perlの方が何でもできる、っていう場合もあったりする。telnet.cgiとかあるのもやっぱりPerlだしねぇ。PerlとPHP並行して勉強中です。まだまだ未熟者の紅堂でした。あと、Linuxコマンド系も勉強中で。

カテゴリ:日記 / この記事のURL / コメント(0)
グロッキー
2007/07/12 (Thu) 13:10:54
紅堂幹人

紅堂幹人ロッキー。中括弧の方が早いようです。2,000,000回for掛けたらコロン構文の方が早かった気がするんだけど。まぁ、そこまで違いでるもんじゃないしなぁ。preg_replace云々ならきちんと調べた方が良いだろうけど。

 本日の読了⇒まじしゃんず・あかでみいVIII 学園閉鎖!?

カテゴリ:日記 / この記事のURL / コメント(0)
ふと/突発!6000円ジャンボパフェミニオフ会
2007/07/11 (Wed) 04:21:11
紅堂幹人

紅堂幹人になった。PHPでif:~elseif:~else:~endifって風にコロン構文で書いてて、{と}の中括弧で囲むのとどっちが早いんだろう、って。文字数的には中括弧だし、Perlなら中括弧が普通なんだけど、VBとかならIf~Then~Else~Endifとかやし。括弧無くてインデントで云々な物もあったりするわけで。後でやってみようかなぁ。コロン構文でも中括弧でもそこまで変わらないなら今度からコロン構文で書いた方が可読性高まる気がしてきたので。

 昼の12時に起きて合同企業説明会行くとかいうローテンションで始動しました。4時半に一度起きたりしたからなぁ。で、コンタクト入れようとしたら右目の裏に入って「ヤベェ!」てな感じで角膜傷つけないか心配しながら取ったけどメガネで出陣。天気が曇り空でテンション下がるな、と思いながら最寄り駅行ったら調度電車来てて良いタイミングで乗れたり。で、合説で4社回って1000円分の図書カードゲット。17時頃から雪印パーラー本店でジャンボパフェオフしてきました。最初1人で食べてて、18時にギブアップ。その後2人で食べてたけど途中で援軍呼びました。惨敗です。計3人で食べきって全額紅堂払い。財布が軽くなりましたorz んな感じで19時に食べきってから21時まで喋ってました。

カテゴリ:日記 / この記事のURL / コメント(0)
T∞LVOX-PHP
2007/07/10 (Tue) 15:04:19
紅堂幹人

紅堂幹人ンタルサーバを借りたての頃にはサーバの環境がどうなっているかが気になり、よくCHATRUN.COMで配布されている『TOOLBOX』というPerl製ユーティリティを設置して確認していた。PHPではphpinfo()があるし、そこまで環境チェックには手間取らないが、セキュリティ対策にとphpinfoが使えないサーバもある。ていうかCOOL/iswebとか(いや、あそこCGI版PHPじゃんよ)。自分としても割りと使う機能を詰め込んだ似非ユーティリティがあれば便利だなぁ、と思ったので思い立ったが吉日、『T∞LVOX-PHP』ってPHPスクリプト書いてみたり。機能としては、phpinfo()使えるサーバならphpinfoを個別で表示,あと_SERVERの環境変数を手動表示したり、AGENTとリファラチェックのみ表示したり、URLエンコードやHTTPエンコード(タグエスケープね)とか、IP・HOSTの相互変換@複数行対応、とかWhois使えるものです。uptimeコマンド使って『load averages』表示するとか。かなり私用な感じです(ぁ)。『CGI探す』よりも作る方に考え行っちゃう辺りどうなんだろう(死)。作るの楽しいから別に良いけど。『TOOLBOX』にあるPerlモジュールリストをどうPHPで真似ようか、と試行錯誤してシステムコマンドからPerlのワンライナー実行させるという荒技で対応したり。……実験サーバはomosiro.comです(ぁ)。どうせログイン制のスクリプトにしちゃうならトコトン自己満足に走ります。Windowsでのpingやtracerouteにも対応。……現時点で22KBになってるんですが(死)。

 本日の読了⇒ロマンティック・クリムゾン

カテゴリ:日記 / この記事のURL / コメント(0)
JavaScript
2007/07/09 (Mon) 10:03:03
紅堂幹人

紅堂幹人たり前の事なんだけど、JavaScriptは色々できる。ScriptDukeのような物もできてしまうし、forのactionURL指定もすぐに変更できてしまう。欠陥を持った配布CGI……BBSやチャットに対して使われたとしたら、と考えるとやはり”配布者”側は細心の注意を払わねばならないのだよなぁ、と思ってみたり。Perl、PHPやる前にJavaScriptも勉強しなおした方が良いかもしれないな、と思った今日この頃。そんな暇無い癖に。
 PHPで書いてるElDorado Chat-PHP。色々なリファレンスやら見ながら中途半端に書いてたせいか、エイリアスを使ってたりしたのせエイリアス元の関数名に修正したり色々。fputs→fwriteとか、sizeof→countとか。何故かPerl時の癖かnextって書いてた部分もあったりなぁ。continueだっての。Perl→PHPへの移植講座とか執筆しようかなぁ。……中途半端な知識だから、って公開した事で誤った知識広める事になるかもだからやめておいた方が良いかもだけど、Perl遣い向けに良いかな、と。『CGIといったらPerl』っての、日本だとやっぱり多いしね。PHP使用可能なXREA使ってるけど掲示板はPerl、とか。PHPは気軽に書けるけど、扱いが難しいってのもあるかもだけど。require/includeで外部サイト呼び出せたりっていう部分とかがスクリプトの脆弱性に繋がる可能性がある、って事だね。

カテゴリ:日記 / この記事のURL / コメント(0)

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196 197 198 199 200 201 202 203 204 205 206 207 208 209 210 211 212 213 214 215 216 217 218 219 220 221 222 223 224 225 226 227 228 229 230 231 232 233 234 235 236 237 238前へ次へ