のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:127,096,617人
昨日:no data人
今日:
最近の注目
人気の最安値情報

元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 134

php覧 / PC版 /
スレッド評価: スレッド評価について
みんなの評価 :
タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter

101 = 96 :

>>98
ご回答ありがとうございます。
質問が曖昧だったようで申し訳ありません。

同一IPから同一のユーザーアカウントでの重複ログインです。
ですので、自演ということは無いと思います。

ログインに成功したら、ログイン画面を表示させない処理をすれば
良いのでしょうか?
たとえば、ログイン中に再度ログインページを開いたら、
ログアウトページに一度、リダイレクトさせるとか。
この点、一般的には、どう設計されてるのでしょうか?

102 = :

>>98
古いDoCoMoが256文字未満だな。256文字よりちょい少なかったはず。
だが、>>43のは、それよりはるかに短いからいけるってだけだよ。

>>96
1. そんなのセキュリティポリシー次第。
1アカウント多重ログインによる利用を禁止するかどうかとか。
多重ログインによる利用を禁止しているならば、システム的にそれが出来ていることに問題があるし、
禁止していなければ、システム的にはポリシーに乗っ取った仕様通りってだけに見えるけど。

なお、それがクラックによる不正なログインかどうかとかはそれだけじゃわからんよ。

2. それこそ不明。
通常のブラウザではなく、他の何らかのスクリプト等によりログイン後のセッションを確立できる何かを収集しておいて、
それを配布などをしているのだろうとか予測できるけど、
それが問題ならば、ユーザに問い合わせ出してみたらええんじゃないのかね。

どちらもポリシーや規約上どうなってるかもわからず答えられる問題じゃないと思う。

103 = 96 :

>>98 >>102
質問2.については、やはり推測の域を出ないですよね。

同一のユーザーアカウントによる重複ログインは、望ましくないので、
禁止するようコードを修正したいと思います。
ログイン中に再度ログインページを開いたら、ログアウトページに一度、
リダイレクトさせるよう変更します。

貴重なご意見ありがとうございました。

104 = :

またこうやってヴァカがセキュリティ的に脆弱なゴミシステムをリリースするのか
日本の攻撃元はほとんどが踏み台にされてるこういうゴミシステム

106 = 96 :

>>104
同一のユーザーアカウントによる重複ログインに、
どのようなセキュリティの脆弱性があるのか、あなたは説明できますか?

脆弱性を指摘できないくせに悪口だけですか?

107 = :

説明してくださいお願いしますだろ?

108 = :

>>106
質問に答えられないバカは煽ることしかできないんだよ
察してやれよ

109 = 96 :

>>104 >>107
説明してくださいお願いします。

さあ、どうか説明してください。
まさか口だけではないですよね?

110 = :

「セリフは教えたがそれに応じるとは言ってない」

111 = :

>>100
質問するのに適切な情報も出せないのは馬鹿未満。
そういう知恵遅れを甘やかすからマッチ棒みたいにサポセンと勘違いして居座るんだよ。
やりたいなら専用スレ立ててそっちでやってくれ。

112 = :

>>111
マッチ棒は例外だろ
あいつはマジで消えたほうがいい

113 :

こんばんは毎度お世話になりますマッチ棒です。
ちまいらと2週間かけて開発した案件管理DBもいよいよ大詰めです。
もうひとふんばり頑張ってください。

>>112
そう毛嫌いするでない。こう見えてもイケメンなのだぞ

114 = 96 :

>>104 >>107
>>またこうやってヴァカがセキュリティ的に脆弱なゴミシステムをリリースするのか

脆弱性があると判断するには十分だったようですが。
そのくせ、その脆弱性の説明ができなければ口先だけと思われますね。

115 = :


この屑は何でこのスレを荒らそうと思ったんだろうね

116 = :

>>114
貴方の行動は、荒らしの希望する行為で、迷惑です。
バカはNGにして対処してください。

117 = :

マッチ棒がまた荒らしてんのか
名無しに戻ってあおれば答えてくれると思ってるマッチ棒さん
そろそろセキュリティ関連の質問来るだろうなとは思ってた

120 = :

ていうかマッチ棒ってニートがSOHO気取って案件請け負っちゃった口だよね?
毎日昼夜問わずいるけど職場から書き込んでるとはさすがに思えないし

123 = :

※120レス越えたけどここまで質問なし※

124 = :

マッチ棒は、まともなレスに返信すらせんのね。

125 = :

マッチ棒自体がまともじゃないからなw

127 = :

また頭のおかしいのが湧いてるな、質問しといて後から情報付け足すとかどう見ても荒らしじゃん

129 = :

やっぱできもしないのに親のプレッシャーに耐えかねて
マッチングサイトで嘘八百並べて請け負ったのか

130 :

>>104 >>107 の説明を待っていたのですが、
日が暮れちゃいましたね。
どうやら説明できないようです。
結局、知ったかで嘘つきだったようですね。

>>98 >>102 さんには感謝です。
ありがとうございました。

131 = :

>>130
いい加減迷惑だから消えれば?
それとも赤の他人に迷惑をかけるのが楽しいの?

132 = :

>>101
安価でレスもらってるから書くけども


> 同一IPから同一のユーザーアカウントでの重複ログインです。
> ですので、自演ということは無いと思います。

同一IDで重複ログインって普通はさせないんじゃないか
例えば万が一sniffされて別人にログインされても、本人がその事に気付けないし…それ以前に、

> ログインに成功したら、ログイン画面を表示させない処理をすれば
> 良いのでしょうか?
> (以下略)

これまた「ログイン」システムをどう実装してるかによるんだけど
そもそもどういう仕組みでこれが成り立ってるか、理解してんのか?↑をみると怪しい

PHPでログイン機能を作ろうと思うとたいていCookie/sessionを使うことになると思うんだが
だとして、sessionがどういう仕組みで成り立ってて、サーバ側がCookieやsessionをどう扱うか理解してるか?
ある人物が、同一PCの中でブラウザを開きまくってログイン後に別窓でログインを試みたらどうなる?
それがサーバからみて同一IPかつ別PCだったら?別IPだったらどうなる?ってのを把握できてんのか?

ずっと前にmixiであった はまちちゃん とかが簡単にできそうな悪寒

133 = :

>>130みたいな基地害ってリアルでもウザがられてるのに気付いてないんだろうな

当たり障りのない対応をする側の立場を考えたこともないんだろ

だから社会に適合できてると勘違い

134 = :

自己紹介はその辺にしとけ

135 = :

>>130みたいのは何をやってもだめだろw

136 = 130 :

>>132
スレが荒れ気味になってしまっているところ、
アドバイスくださり有難うございます。
Cookieやsessionの仕組みは概ね理解しています。

>>ある人物が、同一PCの中でブラウザを開きまくってログイン後に別窓でログインを試みたらどうなる?
>>それがサーバからみて同一IPかつ別PCだったら?別IPだったらどうなる?ってのを把握できてんのか?

この2点のリスクについては理解できてないです。
同一のユーザーアカウントによる重複ログインが、
望ましくないことまではわかるのですが。
実際、どのようなリスクがあるのでしょう?

なお、ログイン画面を除いて、CSRF対策としてはワンタイムトークンで対処済みです。

137 = :

>>136
リスクが理解できてないなら対策の立てようはないはずなんだが

そういうなんとなく怖いからというのは一番やってはいけない方法なので
理解できてから書き込むべき

138 = :

>>137
何に言ってるか意味不明だぞ

139 = :

>>136
重複ログインを許すのか許さないのかはサイトの仕様だと思うんだけど
サイト側の処理上都合が悪いことが起こるなら、重複は許すべきではないし
リスクがあるかないかは、サイト側ならわかるんじゃない?

140 = 130 :

>>139
サイトの仕様次第ということなので他サイトを見てみました。

今まで自分のサイトのことばかり考えていたのですが、
他サイトであるGmailに重複ログイン(ieとfirefox)してみたら普通にできました。

これを見ると、セキュリティーリスクは無いような気もするのですが。。
もちろん、セッションデータ等の整合性が取れないとかの不具合はありそうですが、
それは自己責任ともいえますし。

141 = :

>>136
その2点(3点?)については、リスクがあると言ってるわけじゃない
そもそもどういう結果になるのか自分の頭の中で描けるのか、と聞いてるだけ
Cookieやsessionを理解できてて、CSRF対策もやってる程度なら話は別(おかげで今書いてた文章無駄になったわ)
だが>>96が扱ってるサイトがどんなものかモヤモヤしたままなのは変わらん

しかし・・・多重ログインが望ましくないのはわかってるのに、それがどんなリスクに繋がるかわからない、ってのはどうなん?
普通は逆だろ、リスクがあるとわかってて、それが望ましくないから対策するわけで

重複ログインそのものに、端的に、どんなリスクが考えられるかっちゅーと、>>139が言ってる通りサイトによる。真の同一人物か、会社内でのID使い回し等か、成り済ましかで切り分けると楽
ゲームのサイトだったら、重複ログイン自体が面倒な結果を起こすこともあるだろう
でかい額の金銭が絡むサイトだったら、重複ログインそれ自体は問題じゃなくても問題の端緒であることが多いだろう(運営者の責を問われかねない)
カートや決済に使う情報の引き回し方によっては、重複ログインしてる各々のユーザが意図しない結果が出て、問題となるケースもあるだろう
どんなサイトでどんな作り方されてるのか、わかってればこうやって考えられるし、わかってなきゃ無理よ

142 = :

PHPの仕組み上から、多重ログインが即座にセキュリティリスクになるわけではない
なるとしてもPHP関係ない言語仕様と無縁のところの問題、それはわかってるんだよな・・・?

143 = :

PCと携帯の両方から同時ログインすることもあるし
社用の共有アカウントで運用する場面もあるな
誰かが不正ログインしてると自分が入れないとか本末転倒だし
状況にもよるが、通常は運用面でカバーすべき問題だな
ログインされたら通知するとか、未登録のIPからログインされたらIP登録をさせるとか

144 = :

賛同は得られないかもしれないが、gmailは構想自体正直ちょっとどうなのアレと思ってしまう
そんなところがどういう仕組み採用してようが知ったこっちゃない

146 = :

>>103
> ログイン中に再度ログインページを開いたら、ログアウトページに一度、
> リダイレクトさせるよう変更します。

これで重複ログインに対応と言ってる時点で
Cookieやsessionを理解できてないだろ

147 = 130 :

>>146
おっしゃる通りです。お恥ずかしい。
確かに別ブラウザで開けば何の対応にもなっていませんね。

>>141 さんをはじめ、貴重なお時間を割いてアドバイスくださり
本当に有難うございます。

もう一度、自分の疑問と賜ったアドバイスをよく咀嚼して
サイトの修正にとりかかりたいと思います。
また、スレが荒れ気味になったことお詫びします。

有難うございました。

148 = :

いつまで荒らす気だクズ

149 = :

>>136
荒らしてるのはお前だろ。
さっさと消えろ。

150 = :

言葉遣いってやっぱ人が出るよね

実に面白い


←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php一覧へ
スレッド評価: スレッド評価について
みんなの評価 :
タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

類似してるかもしれないスレッド


トップメニューへ / →のくす牧場書庫について