のくす牧場
コンテンツ
牧場内検索
カウンタ
総計:127,062,855人
昨日:no data人
今日:
最近の注目
人気の最安値情報

    私的良スレ書庫

    不明な単語は2ch用語を / 要望・削除依頼は掲示板へ。不適切な画像報告もこちらへどうぞ。 / 管理情報はtwitter
    ログインするとレス評価できます。 登録ユーザには一部の画像が表示されますので、問題のある画像や記述を含むレスに「禁」ボタンを押してください。

    元スレ【PHP】下らねぇ質問はID出して書き込みやがれ 134

    php スレッド一覧へ / php とは? / 携帯版 / dat(gz)で取得 / トップメニュー
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。
    レスフィルター : (試験中)
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitter
    101 : 96 - 2014/07/07(月) 11:30:40.54 ID:vUq82o6P.net (+50,+29,-78)
    >>98
    ご回答ありがとうございます。
    質問が曖昧だったようで申し訳ありません。

    同一IPから同一のユーザーアカウントでの重複ログインです。
    ですので、自演ということは無いと思います。

    ログインに成功したら、ログイン画面を表示させない処理をすれば
    良いのでしょうか?
    たとえば、ログイン中に再度ログインページを開いたら、
    ログアウトページに一度、リダイレクトさせるとか。
    この点、一般的には、どう設計されてるのでしょうか?
    102 : 97 - 2014/07/07(月) 11:37:07.20 ID:???.net (+117,+30,-242)
    >>98
    古いDoCoMoが256文字未満だな。256文字よりちょい少なかったはず。
    だが、>>43のは、それよりはるかに短いからいけるってだけだよ。

    >>96
    1. そんなのセキュリティポリシー次第。
    1アカウント多重ログインによる利用を禁止するかどうかとか。
    多重ログインによる利用を禁止しているならば、システム的にそれが出来ていることに問題があるし、
    禁止していなければ、システム的にはポリシーに乗っ取った仕様通りってだけに見えるけど。

    なお、それがクラックによる不正なログインかどうかとかはそれだけじゃわからんよ。

    2. それこそ不明。
    通常のブラウザではなく、他の何らかのスクリプト等によりログイン後のセッションを確立できる何かを収集しておいて、
    それを配布などをしているのだろうとか予測できるけど、
    それが問題ならば、ユーザに問い合わせ出してみたらええんじゃないのかね。

    どちらもポリシーや規約上どうなってるかもわからず答えられる問題じゃないと思う。
    103 : 96 - 2014/07/07(月) 12:20:26.74 ID:vUq82o6P.net (+27,+29,-101)
    >>98 >>102
    質問2.については、やはり推測の域を出ないですよね。

    同一のユーザーアカウントによる重複ログインは、望ましくないので、
    禁止するようコードを修正したいと思います。
    ログイン中に再度ログインページを開いたら、ログアウトページに一度、
    リダイレクトさせるよう変更します。

    貴重なご意見ありがとうございました。
    104 : nobodyさん - 2014/07/07(月) 12:37:49.30 ID:???.net (+80,+29,-59)
    またこうやってヴァカがセキュリティ的に脆弱なゴミシステムをリリースするのか
    日本の攻撃元はほとんどが踏み台にされてるこういうゴミシステム
    105 : nobodyさん - 2014/07/07(月) 12:50:56.38 ID:???.net (-1,-29,-5)
    情報を後出しする知恵遅れのID:vUq82o6P
    106 : 96 - 2014/07/07(月) 13:03:31.04 ID:vUq82o6P.net (+5,-3,-63)
    >>104
    同一のユーザーアカウントによる重複ログインに、
    どのようなセキュリティの脆弱性があるのか、あなたは説明できますか?

    脆弱性を指摘できないくせに悪口だけですか?
    107 : nobodyさん - 2014/07/07(月) 13:14:42.10 ID:???.net (+90,+27,-6)
    説明してくださいお願いしますだろ?
    108 : nobodyさん - 2014/07/07(月) 13:17:03.16 ID:???.net (+56,+29,-20)
    >>106
    質問に答えられないバカは煽ることしかできないんだよ
    察してやれよ
    109 : 96 - 2014/07/07(月) 13:28:11.62 ID:vUq82o6P.net (+8,+29,-10)
    >>104 >>107
    説明してくださいお願いします。

    さあ、どうか説明してください。
    まさか口だけではないですよね?
    110 : nobodyさん - 2014/07/07(月) 13:35:53.96 ID:???.net (+57,+29,-8)
    「セリフは教えたがそれに応じるとは言ってない」
    111 : nobodyさん - 2014/07/07(月) 13:43:38.91 ID:???.net (+103,+29,-51)
    >>100
    質問するのに適切な情報も出せないのは馬鹿未満。
    そういう知恵遅れを甘やかすからマッチ棒みたいにサポセンと勘違いして居座るんだよ。
    やりたいなら専用スレ立ててそっちでやってくれ。
    112 : nobodyさん - 2014/07/07(月) 13:48:30.92 ID:???.net (+79,+29,-8)
    >>111
    マッチ棒は例外だろ
    あいつはマジで消えたほうがいい
    113 : マッチ棒 - 2014/07/07(月) 13:55:19.85 ID:dmGB7fI9.net (+15,+30,-48)
    こんばんは毎度お世話になりますマッチ棒です。
    ちまいらと2週間かけて開発した案件管理DBもいよいよ大詰めです。
    もうひとふんばり頑張ってください。

    >>112
    そう毛嫌いするでない。こう見えてもイケメンなのだぞ
    114 : 96 - 2014/07/07(月) 14:01:39.00 ID:vUq82o6P.net (+48,+29,-110)
    >>104 >>107
    >>またこうやってヴァカがセキュリティ的に脆弱なゴミシステムをリリースするのか

    脆弱性があると判断するには十分だったようですが。
    そのくせ、その脆弱性の説明ができなければ口先だけと思われますね。
    115 : nobodyさん - 2014/07/07(月) 14:34:08.59 ID:???.net (+57,+29,-4)

    この屑は何でこのスレを荒らそうと思ったんだろうね
    116 : nobodyさん - 2014/07/07(月) 14:36:31.10 ID:???.net (+62,+29,-16)
    >>114
    貴方の行動は、荒らしの希望する行為で、迷惑です。
    バカはNGにして対処してください。
    117 : nobodyさん - 2014/07/07(月) 14:48:23.78 ID:???.net (+57,+29,-27)
    マッチ棒がまた荒らしてんのか
    名無しに戻ってあおれば答えてくれると思ってるマッチ棒さん
    そろそろセキュリティ関連の質問来るだろうなとは思ってた
    118 : nobodyさん - 2014/07/07(月) 14:52:09.55 ID:???.net (+82,+30,-118)
    堅牢性というのは100%担保できるものはない、という点をきちんと抑えないからおかしなことになる

    100%は無理だから、どれぐらいのお金と時間をかけてどれぐらいの堅牢性を求めるのが
    妥当か、というビジネスとしての判断がもっとも重要

    >>96 はそこが分かってないから100%を求めようとして的外れな質問になるのだろう
    「なんとなく怖い」からなんとかしようとする、それは反原発派にも通じるメンタリティがあるね
    119 : マッチ棒 - 2014/07/07(月) 14:57:33.41 ID:dmGB7fI9.net (+0,+29,-12)
    面倒で読んでないけど、セキュリテイの書き込みはおれじゃあないのだぞ。
    いま質問内容をまとめてるから待っときたまえ
    120 : nobodyさん - 2014/07/07(月) 15:11:54.87 ID:???.net (+33,+29,-48)
    ていうかマッチ棒ってニートがSOHO気取って案件請け負っちゃった口だよね?
    毎日昼夜問わずいるけど職場から書き込んでるとはさすがに思えないし
    123 : nobodyさん - 2014/07/07(月) 16:16:54.47 ID:???.net (+6,-21,+0)
    ※120レス越えたけどここまで質問なし※
    124 : nobodyさん - 2014/07/07(月) 16:17:04.75 ID:???.net (+57,+29,-6)
    マッチ棒は、まともなレスに返信すらせんのね。
    125 : nobodyさん - 2014/07/07(月) 16:24:12.06 ID:???.net (+57,+29,-3)
    マッチ棒自体がまともじゃないからなw
    126 : nobodyさん - 2014/07/07(月) 16:28:43.22 ID:???.net (-1,-29,-33)
    「も」とか言ってるからNEETなんだろ。
    ID:vUq82o6Pと同じく存在価値なし。
    127 : nobodyさん - 2014/07/07(月) 17:19:58.33 ID:???.net (+57,+29,-23)
    また頭のおかしいのが湧いてるな、質問しといて後から情報付け足すとかどう見ても荒らしじゃん
    128 : nobodyさん - 2014/07/07(月) 18:11:22.68 ID:???.net (-3,-29,-3)
    >>ID:vUq82o6P
    この馬鹿はいつまで自演する気だろう
    129 : nobodyさん - 2014/07/07(月) 19:27:26.00 ID:???.net (+57,+29,-13)
    やっぱできもしないのに親のプレッシャーに耐えかねて
    マッチングサイトで嘘八百並べて請け負ったのか
    130 : 96 - 2014/07/07(月) 20:12:01.99 ID:56LgSEO/.net (+153,+29,-34)
    >>104 >>107 の説明を待っていたのですが、
    日が暮れちゃいましたね。
    どうやら説明できないようです。
    結局、知ったかで嘘つきだったようですね。

    >>98 >>102 さんには感謝です。
    ありがとうございました。
    131 : nobodyさん - 2014/07/07(月) 20:25:10.76 ID:???.net (+69,+29,-18)
    >>130
    いい加減迷惑だから消えれば?
    それとも赤の他人に迷惑をかけるのが楽しいの?
    132 : nobodyさん - 2014/07/07(月) 20:28:44.56 ID:???.net (+91,+30,-241)
    >>101
    安価でレスもらってるから書くけども


    > 同一IPから同一のユーザーアカウントでの重複ログインです。
    > ですので、自演ということは無いと思います。

    同一IDで重複ログインって普通はさせないんじゃないか
    例えば万が一sniffされて別人にログインされても、本人がその事に気付けないし…それ以前に、

    > ログインに成功したら、ログイン画面を表示させない処理をすれば
    > 良いのでしょうか?
    > (以下略)

    これまた「ログイン」システムをどう実装してるかによるんだけど
    そもそもどういう仕組みでこれが成り立ってるか、理解してんのか?↑をみると怪しい

    PHPでログイン機能を作ろうと思うとたいていCookie/sessionを使うことになると思うんだが
    だとして、sessionがどういう仕組みで成り立ってて、サーバ側がCookieやsessionをどう扱うか理解してるか?
    ある人物が、同一PCの中でブラウザを開きまくってログイン後に別窓でログインを試みたらどうなる?
    それがサーバからみて同一IPかつ別PCだったら?別IPだったらどうなる?ってのを把握できてんのか?

    ずっと前にmixiであった はまちちゃん とかが簡単にできそうな悪寒
    133 : nobodyさん - 2014/07/07(月) 20:52:51.87 ID:???.net (+73,+30,-36)
    >>130みたいな基地害ってリアルでもウザがられてるのに気付いてないんだろうな

    当たり障りのない対応をする側の立場を考えたこともないんだろ

    だから社会に適合できてると勘違い
    134 : nobodyさん - 2014/07/07(月) 20:56:00.19 ID:???.net (+52,+29,-13)
    自己紹介はその辺にしとけ
    135 : nobodyさん - 2014/07/07(月) 20:56:28.32 ID:???.net (+78,+29,-2)
    >>130みたいのは何をやってもだめだろw
    136 : 96 - 2014/07/07(月) 20:56:46.88 ID:56LgSEO/.net (+186,+30,-121)
    >>132
    スレが荒れ気味になってしまっているところ、
    アドバイスくださり有難うございます。
    Cookieやsessionの仕組みは概ね理解しています。

    >>ある人物が、同一PCの中でブラウザを開きまくってログイン後に別窓でログインを試みたらどうなる?
    >>それがサーバからみて同一IPかつ別PCだったら?別IPだったらどうなる?ってのを把握できてんのか?

    この2点のリスクについては理解できてないです。
    同一のユーザーアカウントによる重複ログインが、
    望ましくないことまではわかるのですが。
    実際、どのようなリスクがあるのでしょう?

    なお、ログイン画面を除いて、CSRF対策としてはワンタイムトークンで対処済みです。
    137 : nobodyさん - 2014/07/07(月) 21:03:19.67 ID:???.net (+102,+29,-37)
    >>136
    リスクが理解できてないなら対策の立てようはないはずなんだが

    そういうなんとなく怖いからというのは一番やってはいけない方法なので
    理解できてから書き込むべき
    138 : nobodyさん - 2014/07/07(月) 21:09:22.93 ID:???.net (+71,+29,+0)
    >>137
    何に言ってるか意味不明だぞ
    139 : nobodyさん - 2014/07/07(月) 21:15:06.95 ID:???.net (+146,+29,-46)
    >>136
    重複ログインを許すのか許さないのかはサイトの仕様だと思うんだけど
    サイト側の処理上都合が悪いことが起こるなら、重複は許すべきではないし
    リスクがあるかないかは、サイト側ならわかるんじゃない?
    140 : 96 - 2014/07/07(月) 21:26:47.90 ID:56LgSEO/.net (+67,+29,-133)
    >>139
    サイトの仕様次第ということなので他サイトを見てみました。

    今まで自分のサイトのことばかり考えていたのですが、
    他サイトであるGmailに重複ログイン(ieとfirefox)してみたら普通にできました。

    これを見ると、セキュリティーリスクは無いような気もするのですが。。
    もちろん、セッションデータ等の整合性が取れないとかの不具合はありそうですが、
    それは自己責任ともいえますし。
    141 : nobodyさん - 2014/07/07(月) 21:27:01.15 ID:???.net (+114,+30,-312)
    >>136
    その2点(3点?)については、リスクがあると言ってるわけじゃない
    そもそもどういう結果になるのか自分の頭の中で描けるのか、と聞いてるだけ
    Cookieやsessionを理解できてて、CSRF対策もやってる程度なら話は別(おかげで今書いてた文章無駄になったわ)
    だが>>96が扱ってるサイトがどんなものかモヤモヤしたままなのは変わらん

    しかし・・・多重ログインが望ましくないのはわかってるのに、それがどんなリスクに繋がるかわからない、ってのはどうなん?
    普通は逆だろ、リスクがあるとわかってて、それが望ましくないから対策するわけで

    重複ログインそのものに、端的に、どんなリスクが考えられるかっちゅーと、>>139が言ってる通りサイトによる。真の同一人物か、会社内でのID使い回し等か、成り済ましかで切り分けると楽
    ゲームのサイトだったら、重複ログイン自体が面倒な結果を起こすこともあるだろう
    でかい額の金銭が絡むサイトだったら、重複ログインそれ自体は問題じゃなくても問題の端緒であることが多いだろう(運営者の責を問われかねない)
    カートや決済に使う情報の引き回し方によっては、重複ログインしてる各々のユーザが意図しない結果が出て、問題となるケースもあるだろう
    どんなサイトでどんな作り方されてるのか、わかってればこうやって考えられるし、わかってなきゃ無理よ
    142 : nobodyさん - 2014/07/07(月) 21:33:23.39 ID:???.net (+57,+29,-40)
    PHPの仕組み上から、多重ログインが即座にセキュリティリスクになるわけではない
    なるとしてもPHP関係ない言語仕様と無縁のところの問題、それはわかってるんだよな・・・?
    143 : nobodyさん - 2014/07/07(月) 21:37:57.22 ID:???.net (+62,+29,-60)
    PCと携帯の両方から同時ログインすることもあるし
    社用の共有アカウントで運用する場面もあるな
    誰かが不正ログインしてると自分が入れないとか本末転倒だし
    状況にもよるが、通常は運用面でカバーすべき問題だな
    ログインされたら通知するとか、未登録のIPからログインされたらIP登録をさせるとか
    144 : nobodyさん - 2014/07/07(月) 21:42:56.40 ID:???.net (+57,+29,-36)
    賛同は得られないかもしれないが、gmailは構想自体正直ちょっとどうなのアレと思ってしまう
    そんなところがどういう仕組み採用してようが知ったこっちゃない
    145 : nobodyさん - 2014/07/07(月) 21:47:54.08 ID:???.net (-1,-29,-79)
    PHP使ってて、Cookieもsessionも使わずに
    ログイン/ログアウトを実現ってどんな手があるんだ?
    鯖側でIPとIDを記録してUA辺りをチェックに使って状態保持するくらい?
    146 : nobodyさん - 2014/07/07(月) 21:54:57.24 ID:???.net (+28,-29,-70)
    >>103
    > ログイン中に再度ログインページを開いたら、ログアウトページに一度、
    > リダイレクトさせるよう変更します。

    これで重複ログインに対応と言ってる時点で
    Cookieやsessionを理解できてないだろ
    147 : 96 - 2014/07/07(月) 22:06:43.49 ID:56LgSEO/.net (+52,+30,-108)
    >>146
    おっしゃる通りです。お恥ずかしい。
    確かに別ブラウザで開けば何の対応にもなっていませんね。

    >>141 さんをはじめ、貴重なお時間を割いてアドバイスくださり
    本当に有難うございます。

    もう一度、自分の疑問と賜ったアドバイスをよく咀嚼して
    サイトの修正にとりかかりたいと思います。
    また、スレが荒れ気味になったことお詫びします。

    有難うございました。
    148 : nobodyさん - 2014/07/07(月) 22:15:20.10 ID:???.net (+52,+29,-3)
    いつまで荒らす気だクズ
    149 : nobodyさん - 2014/07/07(月) 22:22:03.86 ID:???.net (+82,+29,-1)
    >>136
    荒らしてるのはお前だろ。
    さっさと消えろ。
    150 : nobodyさん - 2014/07/07(月) 22:23:35.91 ID:???.net (+57,+29,-4)
    言葉遣いってやっぱ人が出るよね

    実に面白い
    ←前へ 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 次へ→ / 要望・削除依頼は掲示板へ / 管理情報はtwitterで / php スレッド一覧へ
    スレッド評価: スレッド評価について
    みんなの評価 :
    タグ : 追加: タグについて ※前スレ・次スレは、スレ番号だけ登録。駄スレにはタグつけず、スレ評価を。荒らしタグにはタグで対抗せず、タグ減点を。

    類似してるかもしれないスレッド

    トップメニューへ / →のくす牧場書庫について