【要望】書き込みにはしゅてきなクキー必須にしてクレクレ

1心得をよく読みましょう2018/04/13(金) 23:56:50.80ID:sOS/X6Vc
◆しゅてきなくきー案◆
・IPを暗号化してクキーに保存、鯖側では復号してIPの同一性&発行時刻を確認
  【鯖に保存するのは「IPアドレス−クッキーの新規発行数」のペアだけでおkにする】
・発行したクッキーの記録は20分後に同一IPアドレスからの書き込みがなければ24時間後に破棄

・同じIPアドレスからは短期間に複数のクッキーを生成しない&同一IPからのクッキーの発行数記録→スクリプト対策
・最初に発行するクッキーは仮登録で、書き込みはできない。20分経過以降24時間以内に同一クッキー同一IPアドレスからの書き込みボタン押下がないと破棄→KOROKORO対策

・「IPがころころ変わっちゃう普通ひと」は、
  いまんところだと、Ronin買うか、毎回クキー焼きをがんばるかしてね…
   (´・ω・`)誰かすんごいイイ解決方法の編みだし求む!

派生もと:
【規制議論板】質問でも雑談でもOKのスレッド★503
http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/
【規制議論板】質問でも雑談でもOKのスレッド★505
http://agree.5ch.net/test/read.cgi/sec2chd/1523560203/

実験場速報とかバグあったよとか要望とかつぶやきどころ(仮):
774643のすくつ
http://mevius.5ch.net/test/read.cgi/intro/1508136228/

規制議論板での意見の抜萃などなど>>2-5あたり

2心得をよく読みましょう2018/04/13(金) 23:58:08.17ID:sOS/X6Vc
http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/445-446
445 名無しの報告 ▼ 2018/04/08(日) 02:36:31.94 ID:bh+919CS0 [4回目]
>>436
それだと既存のcellphoneやMVNO類はほぼ書けなくなりませんか?
・同じIPアドレスを加入者側で共有しているため(重複IPアドレス・異なる利用者)
・セッションの切り替わりなどでIPアドレスが頻繁に変わるため以前のIPアドレスによる接続が出来なくなる(いつまで経っても新規の状態)

そしてcookieが無い状態では同一IPアドレスによる連投は出来なくなるかもしれませんが
繋ぎ変えることで毎度同じ新規状態となってそれによる連投が可能になりませんか?(投稿毎に繋ぎ変える)


446 名無しの報告 ▼ 2018/04/08(日) 02:39:43.71 ID:bh+919CS0 [5回目]
そしてcookie発行済みでかつ同一IPアドレスだけれども異なる加入者にはどのようなクッキーを発行するのでしょうか?
サーバ側では同一ユーザかどうかなんてのは判りませんですし(それを識別する情報が元から無いため)

3心得をよく読みましょう2018/04/13(金) 23:58:38.65ID:sOS/X6Vc
http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/520
520 名無しの報告 ▼ New! 2018/04/08(日) 19:07:57.38 ID:j166a2550 [6回目]
>>445
> ・同じIPアドレスを加入者側で共有しているため(重複IPアドレス・異なる利用者)
最初の1週間ほど無制限にクッキーを発行できるようにすればいい
全員に行き渡ったところで有効にする
有効後は端末をリセットしたり、OSをインストールしたり、新規に購入した人だけがクッキーを発行してもらうことになるので、
1IPアドレスあたり発行数○個までという設定をして、それ以上は発行しないようにすればいい

> ・セッションの切り替わりなどでIPアドレスが頻繁に変わるため以前のIPアドレスによる接続が出来なくなる(いつまで経っても新規の状態)
20分で変わることはほとんどないので問題ない。
仮に変わったとしても次の20分は大丈夫だから問題ない

>繋ぎ変えることで毎度同じ新規状態となってそれによる連投が可能になりませんか?(投稿毎に繋ぎ変える)
初回はクッキー取得だけで書き込みできない状態にするので、そもそも書き込みができない
その後にアクティベートして書き込めることができる
最初の1週間は書き込めるようにして行き渡ったところで有効にする

>そしてcookie発行済みでかつ同一IPアドレスだけれども異なる加入者にはどのようなクッキーを発行するのでしょうか?
>サーバ側では同一ユーザかどうかなんてのは判りませんですし(それを識別する情報が元から無いため)
5ch側が生成したユニークな連番を暗号化してクッキーに保存する
ユニークに生成しているからユーザごとに一意に決まるのでユーザを特定できる

4心得をよく読みましょう2018/04/13(金) 23:59:12.11ID:sOS/X6Vc
http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/981
981 名無しの報告 sage ▼ 2018/04/13(金) 04:26:15.02 ID:gsOm/mNk0 [1回目]
>>20 http://agree.2ch.net/test/read.cgi/sec2chd/1521591546/949
> cookieが被らないとはどのような理屈でそうなるのか?
> 被らない元になるものがあるのならそれを利用すればいいのでは?
> 生で問題あるのならハシュ化するとか
うん、そうしたら被らないでしょ?むしろ何故被ると思うのか?
ハッシュの衝突で被る可能性もゼロではないけど、
ある程度長くしとけば被る可能性は低くなるし

> そしてunicornの考えたこれサイコーって言うのは
> そのcookieをいくらでも生成できるというバカげた弱点がある
> cookieを毎秒生成すれば、その3日後から永遠と使えるっと言うこと
http://agree.2ch.net/test/read.cgi/sec2chd/1521591546/250
俺は↑この案を推すわけではないけど、
毎秒生成されて困るなら、生成に制限をかけることもできる

> 毎秒生成なんていとも簡単だと思うんだが
cookieのストックを大量に作れることを問題視してるんだと思うけど、
949 が言いたいのはこれ↓
http://agree.2ch.net/test/read.cgi/sec2chd/1521591546/949
> IPを焼く→IP変える→IPを焼く→IP変える
> のいたちごっこを、
> cookieを焼く→cookieを変える→cookieを焼く→cookieを変える
> のいたちごっこに変えることに意味があるんだよ

IPは、生成しなくても、ストックが大量にある
cookieは、生成した分だけしか、ストックをもてない
大量に生成したい人は生成したらいいよ
それは、IPで言えば、IPを変えられる人というだけ

5心得をよく読みましょう2018/04/14(土) 00:00:25.80ID:i8QJBPg5
きょうのところの成果物
http://mevius.5ch.net/test/read.cgi/intro/1508136228/510
510 【東北電 78.6 %】 ◆By8774643E age ▼ 2018/04/13(金) 21:02:35.75 ID:???0 [0回目]
KO・RE・DE・どうだぁぁあぁぁあぁぁ!!!

http://by774643.site/local/bin/php/12.php

・クキー焼くのに2分かかる
・連投制限10秒
・とりあえずにこにこ初期値登録済み。
  あとは書き込みパスワード書いて送信 を押すだけ!

みんなで テストきぼん

6心得をよく読みましょう2018/04/14(土) 00:37:26.66ID:UjdVE9Jy
てすと

7心得をよく読みましょう2018/04/14(土) 00:42:22.60ID:Q5Ae1eIC
試しにテストした
初期発行→クッキーこねる
2分以内→クッキー焼きはじめ
2分経過→書き込み完了
こんな感じかな

8 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 00:44:29.34ID:i8QJBPg5
>>7
くわしいかいせつありがとうございます!(`・ω・´)
ほかに
同一IPからの焼きすぎBAN機能も試験搭載してありまする(閾値てきとー)ので

いいぜ!焼かれても!!!の心意気でテストしてくれる方いらっしゃったらどんどんどうぞー

9 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 05:05:04.36ID:i8QJBPg5
※焼かれちゃっても実験掲示板に書けなくなるだけで
  各種Webアプリは使えますので。

10R.I.P ◆RIPismJOmw 2018/04/14(土) 08:51:57.32ID:rOtHJEae?PLT(20340)

お疲れ様です
気になったとこ
https://i.imgur.com/y7ncIlC.jpg
こんな感じ

11心得をよく読みましょう2018/04/14(土) 10:50:51.45ID:cCV2lhBA
>>10
警告の件ですかな?
firefoxでHTTPSのSSL暗号化が効いてない時の親切警告だから宜しいかと
パスワードを盗まれないようにってだろうけどウザイのは確かだけどね

そういえば「画像の文字を入力せよ」ってパターンはスクリプトやbotにある程度有効だね
コロコロ対策じゃないけど、なんで5chもこの手を使わないんだろう勿体ない

12心得をよく読みましょう2018/04/14(土) 10:54:20.06ID:cCV2lhBA
>>1
乙です

現在のbbs.cgiが今どうなってるのか不安しかないだろうけどw
一歩前進するね

13心得をよく読みましょう2018/04/14(土) 11:37:10.50ID:cCV2lhBA
まだ流れが掴めてないのだけど、こんなイメージなのでしょうか

クッキーない状態でbbs.cgi(?)に初接続
一般人:仮クッキー発行、書けない
コロコロ:仮クッキー発行、書けない
スクリプト:仮クッキー発行、書けない

仮クッキーあって20分以内
一般人:書けない
コロコロ:書けない
スクリプト:書けない

仮クッキーあって20分以降24時間以内
一般人:投稿すれば本クッキー
コロコロ:投稿すれば本クッキー
スクリプト:投稿すれば本クッキー

本クッキーある状態でbbs.cgiに接続
一般人:投稿可能、だが自然発生コロコロは最初からやり直し
コロコロ:クッキー破棄同然、最初からやり直し
スクリプト:前回投稿時間?を見て制限することにより連投不可
クッキー消し:最初からやり直し

同一IPアドレスからの書き込みがなければ24時間後に破棄

14 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 13:44:06.79ID:i8QJBPg5
>>13
たぶんね スクリプトでもしょっぱいやつだと
クッキー発行されないよ

15 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 13:45:16.59ID:i8QJBPg5
>>10
こんにちは!
すでに>>11さんがすてきな解説をしてくださってますです

16心得をよく読みましょう2018/04/14(土) 14:43:35.80ID:Q5Ae1eIC
適当にやってみた

生成 クキー生地をこねている感?
連投制限以内 マターリしていってくだしあ。。。

生成してから2分以上経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
10秒後書き込み
→書き込み完了

生成してから1分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
10秒後書き込み
→書き込み完了

生成してから20秒経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
20秒後書き込み
→書き込み完了

同一IPで5回目以降?で「クキー売り切れす><」と出て書き込めなかったが10秒後に書き込み可能

17 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:00:37.46ID:i8QJBPg5
>>16
てすとありがとうございます!

うーん…
クキー売り切れの条件がまだおかしいのか… (´・ω・`)

18 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:02:58.57ID:i8QJBPg5
有効な本クッキーもってれば、
クキー売り切れす にはとばないはずなんですが
なんでとんだんだろ…

19 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:09:09.57ID:i8QJBPg5
ちょっといじっておいた (`・ω・´)  > 仮クッキー、本クッキー発行要件

20 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:13:10.81ID:i8QJBPg5
>>16さんは
たぶんもう毎回「クッキー売り切れ」にとぶような気がするけど
うまく条件分岐できてなかったら書き込めちゃう (´・ω・`) じっけんよろしくおねがいします

21心得をよく読みましょう2018/04/14(土) 15:29:35.27ID:Q5Ae1eIC
>>20
実験しようにも書き込み後500番エラー出ます
vpnでIP変えても同じです

22 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:33:15.74ID:i8QJBPg5
>>21
すみません
いま >>20でうpしたphpにバグこんにゅーさせてたのを
ぶちっとなおしましたです (´・ω・`)

こんどはいける!うごく!!

http://by774643.site/local/bin/php/12.php

23R.I.P ◆RIPismJOmw 2018/04/14(土) 15:42:35.04ID:rOtHJEae?PLT(20340)

>>15
お疲れ様です
掲示板のシステムを似たようなので構築してテストした方がいいような気はします
http://zerochplus.osdn.jp/
ここにあるスクリプトが割と互換性があるので落として弄ってみてくださいな

24 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:45:34.37ID:i8QJBPg5
>>23
おおー
こんなものがあったとは!
さっそくおとして いじってみまーす 三 ( ´D`)

25R.I.P ◆RIPismJOmw 2018/04/14(土) 15:48:22.45ID:rOtHJEae?PLT(20340)

>>24
古めの専ブラならほぼ対応してるので色々テストできますよ

26 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:52:34.73ID:i8QJBPg5
( ゚Д゚) ホホゥ

27心得をよく読みましょう2018/04/14(土) 15:54:45.49ID:Q5Ae1eIC
>>22
試してみた

生成してから1分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
繰り返し

vpnでIPチェンジ
生成してから1分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
繰り返し

28 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 15:59:53.18ID:i8QJBPg5
>>27
てすとありがとうございます!

本焼きくっきー焼くのにはきっちり2分かかります (`・ω・´)キリッ
なお本番は、仮焼きクッキー焼くのに20分の設定でいきます。

>>25
って ぱーるじゃないですかー やっだー★
よけて通ってphpはじめたのに
結局フルコンプコースですぅー★ (∩´∀`)∩キャー

29 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 16:00:36.74ID:i8QJBPg5
なお
クッキーを急いで焼こうとすると、
どんどん焼けるまでの時間がかかるようになっていく仕様はもとからです。

30心得をよく読みましょう2018/04/14(土) 16:28:52.36ID:Q5Ae1eIC
今度はクキー生地をこねこねから進まない

31 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 16:39:20.93ID:i8QJBPg5
>>30
まっさらなIPにチェンジしても進まないようでしたら故障ですが
使ったことあるIPでなってるとしたら仕様です

32 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 16:39:47.30ID:i8QJBPg5
てすとありがとうございます

33心得をよく読みましょう2018/04/14(土) 16:55:52.18ID:Q5Ae1eIC
>>31
PCはvpn、スマホはキャリア回線で生成2分後→2分後やってみましたがこねこねから進みません

34 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 17:08:04.04ID:i8QJBPg5
>>33
ほんと 何度もてすとありがたいです ▲▲▲アリガ島▲▲▲

http://by774643.site/local/bin/php/13.php
これでどうでしょうか

35心得をよく読みましょう2018/04/14(土) 17:41:01.31ID:Q5Ae1eIC
>>33の方法でまたやってみたが進まない
自分がおかしいのか

36 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 18:28:14.03ID:i8QJBPg5
>>35
いや条件式がおかしいのかもしれません

またちょっといじってみました

http://by774643.site/local/bin/php/13.php
これでどうでしょうか

37 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 19:01:22.77ID:i8QJBPg5
◆現在の仕様

クッキーない状態でbbs.phpに初接続
一般人:クッキーこねこね発行、書けない
コロコロ:クッキーこねこね発行、書けない
スクリプト:クッキーこねこね発行、書けない

こねこね後2分以上経過20分以内
一般人:仮クッキー発行、書けない
コロコロ:仮クッキー発行、書けない
スクリプト:仮クッキー発行、書けない

仮クッキーあって2分以内(本番は20分以内)
一般人:書けない
コロコロ:書けない
スクリプト:書けない

仮クッキーあって2分以上20分以内(本番は20分以降24時間以内)
一般人:投稿すれば本クッキー
コロコロ:投稿すれば本クッキー
スクリプト:投稿すれば本クッキー

本クッキー餅
一般人:投稿可能、だが自然発生コロコロは最初からやり直し
コロコロ:クッキー破棄同然、最初からやり直し
スクリプト:前回投稿時間?を見て制限することにより連投不可
クッキー消し:最初からやり直し

鯖:
仮クッキー発行リスト24時間保持。
メンテスクリプトを走らせることで仮クッキー発行リストをメンテ。

38 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 19:04:42.33ID:i8QJBPg5
◆現在の仕様◆ >>37訂正
◎どのステップでも連投・連打をすると、どんどんペナルティが蓄積して書けない・焼けない時間がのびます。

クッキーない状態でbbs.phpに初接続
一般人:クッキーこねこね発行、書けない
コロコロ:クッキーこねこね発行、書けない
スクリプト:クッキーこねこね発行、書けない

こねこね後2分以上経過20分以内
一般人:仮クッキー発行、書けない
コロコロ:仮クッキー発行、書けない
スクリプト:仮クッキー発行すらしないで永遠にこねこねかも。書けない

仮クッキーあって2分以内(本番は20分以内)
一般人:書けない
コロコロ:書けない
スクリプト:書けない

仮クッキーあって2分以上20分以内(本番は20分以降24時間以内)
一般人:投稿すれば本クッキー
コロコロ:投稿すれば本クッキー
スクリプト:イケてるスクリプトで投稿すれば本クッキー、失敗してると永遠にこねこね

本クッキー餅
一般人:投稿可能、だが自然発生コロコロは最初からやり直し
コロコロ:クッキー破棄同然、最初からやり直し
スクリプト:前回投稿時間?を見て制限することにより連投不可
クッキー消し:最初からやり直し

鯖:
仮クッキー発行リスト24時間保持。
メンテスクリプトを走らせることで仮クッキー発行リストをメンテ。

39心得をよく読みましょう2018/04/14(土) 19:24:21.35ID:Q5Ae1eIC
>>36
VPNでのまっさらIPとスマホキャリア回線
生成してから2分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
2分経過後書き込み
→書き込み完了


散々試した生IP
生成してから2分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
2分経過後書き込み
→クキー売り切れす><
1分経過後書き込み
→マターリしていってくだしあ。。。
2分経過後書き込み
→クキー売り切れす><

うまくいった感じ?

40 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 19:28:06.24ID:i8QJBPg5
>>39
(ノ´▽`)ノオオオオッ♪ ありがとうございます ありがとうございます!

41 【東北電 78.6 %】 ◆By8774643E 2018/04/14(土) 19:29:21.23ID:i8QJBPg5
あとはこれを Perl+0ch仕様に翻訳するだけ… だけ…… (´・ω:;.:...

42心得をよく読みましょう2018/04/15(日) 11:01:02.25ID:J0+o/LrD
>>14
スクリプトを調べてみた
自前exe版も少なからずあるようだが
ブラウザベースでjavascriptループ使うやつとかはそもそも正常なプログラムで茎操作できる前提にあるからはじけなさそうかな

43心得をよく読みましょう2018/04/15(日) 11:02:44.05ID:J0+o/LrD
>>23
これはいいですな
きっと動くソースなんでしょ

東北電さんファイツ!

44心得をよく読みましょう2018/04/15(日) 11:18:56.61ID:J0+o/LrD
ふと思った懸念事項

現在のbbs.cgiソースの公開はおろか修正できる人がいるのかという懸念

仮茎リストは各鯖に置くか、それとも一括する鯖か
各鯖ならNGリストも各鯖に配布する機能も必要

20分って利用者の利便性とコロコロ防御力の睨み合いですな
利用者の我慢の限界>20分>コロコロ間隔 じゃないとだめだけど
ユニコーン氏は鉄壁の3日禁止案出してたようだが利用者は死ぬし
現在のコロコロは数時間ごとに切り替えてるとこ見ると60〜240分設定でもいいかなという印象
コロコロによく荒らされてる板は閾値高めにとか

45心得をよく読みましょう2018/04/15(日) 11:53:15.47ID:J0+o/LrD
>>38-39
いい感じに見えてきたね

単純な疑問なのだが、こねこね発行と仮クッキーが時間は違えど同義なら
最初のクッキーの「発行時刻から何分経った」という考えでもいいのでは?と思えてきた

そして現在はこんなリクエストを鯖に渡してるから
こういうとこにコネコネ機能をぶっこむやり方もありかなと
GET /test/read.cgi/accuse/1523631410/ HTTP/1.1
Host: mao.5ch.net
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: (クローム等々)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng;q=0.8
Accept-Encoding: gzip,deflate
Accept-Language: ja,en-US;q=0.9,en;q=0.8
Cookie: __cfduid=xxxxxxxxxx; READJS="off"; SUBBACK_STYLE="1"; yuki=akari; PREN=%xx%xx%xx%xx%xx
↑例えばここのCookieヘッダのIDを見て
発行時刻は鯖側で見て、是非を問うというイメージ
(もちろん鯖側の茎発行方法を>>38のやり方に変えた上で)

46心得をよく読みましょう2018/04/15(日) 12:00:58.33ID:J0+o/LrD
あと圧縮あらし・保守荒らしに対する書き込み可能スレ数制限もどうにか考慮したいところ
このIDがいくつのスレに投稿したとか、それこそ追加の小データベースが必要になってくるから重くなるだろうか

リアルタイム検査だと鯖が死ぬから5分毎にとか、多少あとで走る処理でもいいと思うけどね
IDごとの投稿スレを収集カウントして、いくつのスレだったその茎無効!みたいに

47 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 13:45:30.56ID:i0ux3b5i
>>42
ざんねん(´・ω・`)

>>43
自パソで0chぷらすけーじばんをたちあげるところまでいきましたよー
簡単な英文スパムをはじく機能まではインスコできましたー

がんがる (`・ω・´) シャキーン

>>44
現茎も各鯖発行っぽいから
仮茎リストも各鯖に置くのがたぶんらくちん… とみせかけて
茎管理&プラグイン構築的には一括の方がよいアンビバレンツ

>NGの各鯖配布機能
鯖またいでの大規模ってやろうとしてもどうせすぐどの全鯖でブラリ入りするようななな

>コロコロによく荒らされてる板は閾値高めにとか
こーゆー細やかな板別設定値機能も、
ぱーるにくわしくなったらできる気がする

48 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 13:51:41.64ID:i0ux3b5i
>>45
(*゚∀゚)(゚∀゚*)ネー

>こねこね
最初のクキーの設定はぎっそが簡単というかスクリプトで値ぶっこまれそうだから
こねこね→仮焼き→本焼き のほうがいいかなとおもってしてみたっていうかなんかなったんだけど
__cfduidなるものをつかえばかぶらないんだろーか


>>46
全板横断で延べ何回書いたか数えるっぽいプラグインが既にあるから
それ改造したらつくれるかもしんない

>IDごとの投稿スレを収集カウントして、いくつのスレだったその茎無効!
おおおおおおくのスレに1つずつ書き込んでる茎を焦がせばいいのかな?

49 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 13:54:16.33ID:i0ux3b5i
なお きのうから 本格的に始めたぱーる(ポケモソじゃないよ)さんは
クキーの1点のみの発行と(ぱーるはクキー複数作って送るところがドクトクでこまる)
通信内容の暗号化・復号部分と
生成に必要な情報収集部分
それぞればらばらならテストスクリプトがまわるところまできております (`・ω・´) シャキーン

50 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 14:39:25.07ID:i0ux3b5i
ちょっとぐぐってみた
__cfduid は くらうどふれあさんが発行してる永続クキーなのね

51心得をよく読みましょう2018/04/15(日) 16:20:40.99ID:J0+o/LrD
乙乙!

>>47
>茎管理&プラグイン構築的には一括の方がよいアンビバレンツ
いいすね

>>48
>こねこね→仮焼き→本焼き のほうがいいかなと
あ、なるほど。偽装対策にって考えなら全然OKかと

>1つずつ書き込んでる茎を焦がせば
1つとは限らないけど>数えるっぽいプラグインが既にある、のならそれで例えば20スレとか50スレで焦がすでいいね

>>49
>ぱーるはクキー複数作って送るところがドクトクでこまる
うーんそこは複雑になるかもね確かに

>>50
逆プロキシと思わしき?クラウドの__cfduidはそのまま使えないすなー多分
ユニークなid(3段階茎だと*3)を鯖側で認識し統率させることが肝だしね
でも鯖で__cfduidを見て何らかのチェックには使えそうな、検討の価値はある

現在は5ch.netというドメイン単位のクッキー発行してるからのままでいいかと、茎重複防止も兼ねて
ただしmax-age(茎有効期限)2分のこねこね茎、20分仮焼き、24時間本焼きは別々の新発行茎という構想だよね(間違ってたらスマソンw)

52心得をよく読みましょう2018/04/15(日) 16:21:45.45ID:J0+o/LrD
>簡単な英文スパムをはじく機能まではインスコできましたー
>それぞればらばらならテストスクリプトがまわるところまできております
てか凄くね
運営にこれを入れて!って日が来ることを願って応援してますぞ

53心得をよく読みましょう2018/04/15(日) 16:25:52.93ID:J0+o/LrD
訂正:
>max-age(茎有効期限)2分のこねこね茎
2分で消えちゃったらダメだwリセットくらう
 max-age付けるとしたら20分のこねこね茎、ですな

54 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 16:29:34.57ID:i0ux3b5i
>>51
クキー名__cfduidさんは
「おれのぱそこんはとってもくりーんだよ」ってことをIP(+マシン個有の伺か?)を練り込んで主張しているものらしい?
(なまら理解)
これを逆算して何かに使えちゃったら、すーぱーはかー!(なまらりかい)
そして真のご新規さんは これ、もってない。(確信)

>2分のこねこね茎、20分仮焼き、24時間本焼きは別々の新発行茎という構想だよね
それぞれの段階で別名をもってる茎を作ってますが
生成ルーチンはちょっとふくざつで
こね茎&仮焼きをごにょごにょして、
なんかいい感じに
みんながまずぜってーかぶらない&IPかえたら無効になる本焼き茎を生成させております

>>52
がんがる!(`・ω・´)シャキーン

55心得をよく読みましょう2018/04/15(日) 16:33:08.92ID:J0+o/LrD
IEで茎の扱い方が全然違う!とかで苦労したのを思い出した
大昔のことだから今はどうなってるのか知らないけど
そいうのもあると留意しておくと吉、とだけ

56心得をよく読みましょう2018/04/15(日) 16:36:44.36ID:J0+o/LrD
>>54
>くりーんだよ」ってことをIP(+マシン個有の伺か?)を練り込ん主張しているものらしい?
>そして真のご新規さんは これ、もってない。(確信)
なるほどなるほど

57 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 16:41:35.05ID:i0ux3b5i
>>55
いまもIE6さんだとね もうね (´・ω・`) らしいけど
とりあえずそのへんは
Perlさんのもってるクキー読み書きシステムにまるなげする。
いまおいてあるphp掲示板のほうは、じっさいphp7.1さんにそのへんの処理はまるなげている。

58心得をよく読みましょう2018/04/15(日) 16:46:01.29ID:J0+o/LrD
>>57
ああやっぱり
じゃあ連投ツールexeみたいなのも独特過ぎて合わないのはもうお断り!でいいだろうねもうそういうのは

59 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 16:50:45.32ID:i0ux3b5i
>>58
>連投ツールexe
むしろふつうにおことわりwww

茎を普通に送信してくれて、変なプロトコル使わないやつ限定!

60心得をよく読みましょう2018/04/15(日) 17:06:58.31ID:J0+o/LrD
>>54
>こね茎&仮焼きをごにょごにょして、
ここで細かい仕様公開話しなくていいよムフフフ

>>59
wwwww

__cfduidのない輩は怪しいとかお断り!にできるのかもねもしかしたら

まあ運転がてら穴があるか考えて探してみます
今ちょっと怪しいのがショットガン攻撃を例にした同時初接続
まだ茎が作られてない時点でやられと後々の処理でデータがダブったりしないかなとか

61心得をよく読みましょう2018/04/15(日) 19:03:45.34ID:TftBNP+h
Janeやらが使えなくるような案なら通らないと思うぞ
あれも浪人なら過去ログも拾えるとか色々あるからな

62 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 19:35:18.85ID:i0ux3b5i
>>60
>ショットガンあたっく対策
いまうpってあるphpだと
データベースファイルのロック時点で失敗して追い出される仕様のはずだけど
ぱーるさんがどうするのかはわからない
ぱーるさんのファイル読み書きはまだ練習してないや そういえば

63 【東北電 78.6 %】 ◆By8774643E 2018/04/15(日) 19:36:14.38ID:i0ux3b5i
>>61
専ブラで不具合でないようにテストまでこっちでやるよ
0chぷらすで になるけど

64 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 04:20:30.87ID:ehQZvxyq
んんん…
うめたてあらし御用達であろう↓こんなツールへの対策はまだ不十分だぬ(´・ω・`)
http://fate.5ch.net/test/read.cgi/lovelive/1521524419/
現在の仕様の本焼きクキーひとつ所持で突破される悪寒がする >>36の掲示板

Perlばんの本焼きクキーには
最終投稿時刻と
延べ書き込みスレ数を
組み込んだ方がいいやもしらん木がしてきた

65 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 05:04:11.52ID:ehQZvxyq
Σ(´A` ) >>64
>延べ書き込みスレ数
これは鯖さんにしかわからないきがする
とりあえず個々人のくきーに焼くにはたぶんデータが大きすぎる

66 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 05:08:29.06ID:ehQZvxyq
>>48で書いた
のべ書き込み回数 のカウントは ほんと けっこかんたんなスクリプト。
いっぽう
のべ書き込みスレ種類数 のカウントとなると… (;´Д`)

いよいよ、自動茎焦がし機を別途作って鯖側ではしらせるしかないきがしてきたぞ

67心得をよく読みましょう2018/04/16(月) 13:35:42.52ID:HWqcx85z
>>64
こんな風に処理が走って
リクエスト処理A ■■■■
リクエスト処理B■■■■
perlってリクエスト毎にプロセスが走ってる?だろうからどっちも正常終了しちゃいそうなね

・同時接続対応の案1
一つのリクエストに200ミリ秒かかるなら
最低200ミリ秒分のデータを共有メモリにプールする
めんどくさいしまるっきし別実装×

・同時接続対応の案2
cgiが走ったら仮茎ファイル(全利用者一つのファイル方式)を真っ先にロックしてしまう
ロックした上で待ち行列化して同一IP検査。
20分しか要らないデータしか残さないようにすればそんなに大きくならないハズ、、、ハズ

同時に数十人が来ると画面が少し止まる現象が起こることでしょう
まだ整理券配布してない状態で暗号化やらで待ち時間長いけど
受付窓口なのだからいいじゃん少しは待てとw
不要データ削除バッチも必要、うーん

・同時接続対応の案3
複数仮茎ファイル方式前提
20分以内なら拒否できるから裏で走るバッチで同一IP等々を検査する

68心得をよく読みましょう2018/04/16(月) 13:38:57.41ID:HWqcx85z
>>66
>本焼きクキーには 最終投稿時刻と 延べ書き込みスレ数を

延べ書き込みスレ数の案1
鯖側本焼き茎ファイルにスレキーのレコードを書き出す
当スレウラル末尾の"1523631410"みたいな小さい番号データの30件ぐらいならなんとかなるかも?
でも多少は操作性が重くなる0ch
すぐにBBS_THREAD_TATESUGIならぬBBS_THREAD_KAKISUGIが返ってくるパターン

延べ書き込みスレ数の案2
>>46でも触れたが5分毎バッチで
だが凄まじいデータ量になると予想できる
利用者が投稿する都度にスレキーを別途ファイルに書き出してしまって
あとでそのテキスト内容をソートしてバッチで数える
該当がいたら茎焦がしに行って
いつの間にかBBS_THREAD_TATESUGIならぬBBS_THREAD_KAKISUGIみたいになる想像

延べ書き込みスレ数の案3
優秀なデータ収集者hissi.orgに聞いちゃう
まあないか

取り急ぎ思ったことだけ

69 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 16:14:16.12ID:ehQZvxyq
>>67
同時接続対応案2と3の中間くらいのものがそうていのはんいない

>>68
>BBS_THREAD_KAKISUGIの判定
本焼きクキーに書いておけるスレ数&投稿時刻のペアは
多くて100から150くらい、安全をとるなら70くらいなんだけど
1日にそんなにいっぱいのスレに書いちゃうような人は
もぅ自動的に本茎とりあげちゃっていいよね よね?

70心得をよく読みましょう2018/04/16(月) 17:40:49.74ID:HWqcx85z
>>69
>同時接続対応案
プロセスIDでソートして順番通りに受け付けてくれるといいんだがね
そんなことしてくれる機能つくってられないだろうし
本当に多人数の同時接続来たなら例えば1ファイル式でのファイルロック中は100ミリ秒waitループさせて、最大5秒までにして
残念ながらタイムアウトエラーで弾かれた人は「今鯖が混んでるからまた後で来て」表示とか
まあこの辺はきっと東北電さんの方がソースも含めて良く加味できてるのでしょう

>スレ数&投稿時刻のペア
ペアいいねうんうん
本茎ファイルもロックしちゃえばいいね、ファイル制御式にするなら

>もぅ自動的に本茎とりあげちゃっていいよね よね?
いいと思いまーす。で同一IPからの要求はもう拒否
70でも多いかもよ
コロコロも兼ねたら69個のスレタッチ&茎消しコロコロ20分待ち×3=1時間に207スレ保守が可能になるから
200保守されたらいよいよ板崩壊レベルに近付いちゃうから30〜50未満が好ましいという印象
茎待ち時間を長くするかスレ数制限を低くするなどして絞った方がよいかと

それも一時間に何スレ(10スレとか)、一日に何スレ(30スレ)という制御が出来れば尚良し
今すぐperlでそれ作った方がいいと話ではなくてね

71心得をよく読みましょう2018/04/16(月) 17:41:31.34ID:HWqcx85z
まあ今は別の話として例えば:
スレタッチ数+スレ立て数が一日30スレまで[乱立対策]
スレ毎レス数制限(一人1スレ300レスまで)[一人クソスレ、埋め対策]
時速レス数制限(40/hour)[連投対策]
一日レス数制限(500/day)[連投埋め対策]
(あくまでも例)などなど板別に細かい制限付けるのもいつか考慮されたし

TATESUGIはきっと0chにもうあるよね

72 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 18:24:53.30ID:ehQZvxyq
>>70
>>どうじせつぞくたいさく
> 本当に多人数の同時接続来たなら例えば1ファイル式でのファイルロック中は100ミリ秒waitループさせて、最大5秒までにして
> 残念ながらタイムアウトエラーで弾かれた人は「今鯖が混んでるからまた後で来て」表示
タイムアウトとか処理落ち状態になるとは何も表示しないか、「なにかがおかしいです」って出るはず > 今のphp

>まあこの辺はきっと
ぐぐりカスざこ虫レベルのphpスキルでなんとかなってる(はず)にできるの 先達に感謝

73 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 19:14:47.18ID:ehQZvxyq
>>70
本茎「は」鯖による管理を(今は)一切してないのが
重くならないみそらしいです

>スレ数&投稿時刻のペア式で
>KAKISUGIたら本茎ボッシュート
30スレカキコ(立ても含め)/dayくらいを閾値にするなら しっかり暗号化保持できるとおも
「ふつーのひと」の定義はそのくらいでいいよね!よね!!!

なお

>>71
>板別に細かい制限付けるのもいつか考慮されたし
理想(あう゛ぁろん)は とおくにみえている ね
Perlのべんきょうがんがる! (`・ω・´)

>TATESUGIはきっと0chにもうあるよね
ありますた! (`・ω・´)


/*0ch式掲示板動作テストできゃっぽ作ったり消したりしてみた
なんか自分がすごい偉くなった気がして
たのしぃぃぃぃぃ 三三三三└(┐L^ω^)_ <でもまだまともに動いてないぞ!スレが!!
あと
スレ・レス削除支援スクリプトのたたき台をどっかのあーかいぶから拾ってこれれば(あるいは0からつくる…)
いまいる少ない削除人さんたちにレス削除までてをまわしてもらえるかも!?*/

74心得をよく読みましょう2018/04/16(月) 20:53:55.67ID:nbe56XaQ
必死チェッカー見てたら基本閾値はこれぐらいでいいんじゃない
板別で
一日あたりのスレッド書き込み数 15
時間あたりの累計レス数 25/hour
一日あたりの累計レス数 300/day

書き込みの多い板(https://stat.5ch.net/SPARROW/)や実況板はゆるくしたりして
荒野カテゴリーは基本なんでもありだから入れておかない

閾値超えたら「書きすぎです」と警告、?回目の警告でクッキーを炭にするとか

75 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 21:07:20.14ID:ehQZvxyq
>>74
でーたありがとう!!!

76心得をよく読みましょう2018/04/16(月) 22:35:36.90ID:HWqcx85z
>>74
板別ってことだね
二つの板往来してたら15+15スレ
アリだし良いと思いまーす
決めの問題だし色々な意見を聞きたいところですな



RIPさんなんかどんな意見なんでしょ

77心得をよく読みましょう2018/04/16(月) 22:36:50.96ID:HWqcx85z
>>73
>本茎「は」鯖による管理を(今は)一切してない
それ行けるの?まあお任せですが

>たのしぃぃぃぃぃ 三三三三└(┐L^ω^)_ <
wwwww

そんな楽しそうなあなたに、
新お怒りBBQ仕様の提案(半分ふざけて)

NGリスト入りの荒らしには:
・410Goneを返す(閲覧すら不可)
・statusすら返さない
 →鯖落ちかのように見えて、ブラウザクルクルのままタイムアウトさせる
 →これは連投ツールにエラー処理→次のループ処理に行かせないためにも良い。フリーズしたらざまあと
・警察サイト、激重エロサイトなんかにmeta redirectさせる、のはやりすぎか
・荒らしのレスをfusianasan化して全情報公開、メニューのどこかに焦げた荒らし達を一覧表示
・焦げIPが多いとこはaaa.bbb.ccc.ddd/32→aaa.bbb.ccc.xxx/24→aaa.bbb.xxx.xxx/16と段々BBQ期間と範囲が大きくなる
 →コロコロ先も使えなくする。巻き添えは避けられない
・逆引不可IPは当然お断り
・__cfduidがなかったり、範囲焼きドメインで浪人使ってる奴は「怪しいIP」扱い、きつめの閾値

78心得をよく読みましょう2018/04/16(月) 22:46:19.77ID:HWqcx85z
あそうだ、それと変動性閾値
荒らしに予測される数値だとそれ未満に抑えてくるだけなので
少しばかりランダム性を付与する

使用可能スレ数が15のはずが日や稼働によって-3=12スレと変動する
(うーんもうちょっと良い方法があってもいいかな)

79 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 22:59:48.01ID:ehQZvxyq
>>77
>>本茎「は」鯖による管理を(今は)一切してない
IPコロったら自動的にその茎は折れますから… あれ?その茎折り機搭載してたっけ?
ともかく、自動でいりぐちにもどるーも搭載してるはずなんだけど。

>BBQ仕様の提案
あぁぁ
あう゛ぁろんが
霧にかすんでゆくよぉぉぉお (´・ω:;.:...

80 【東北電 78.6 %】 ◆By8774643E 2018/04/16(月) 23:01:26.34ID:ehQZvxyq
>>78
>少しばかりランダム性を付与
何からランダムゆとりぶんを採取してくるかがカギになりそー

81心得をよく読みましょう2018/04/16(月) 23:27:05.39ID:HWqcx85z
>>79
>あう゛ぁろんが
すんませんw理想論言っててもしょうがないね確かに

とにかく茎制御がイケてるという証明と、運営に叩きつけるソースですな

82 【東北電 78.6 %】 ◆By8774643E 2018/04/17(火) 05:52:59.42ID:oHWj1Eg1
>>81
いえいえ
ごーるがとおくても見えることはいいことですょ

83R.I.P ◆RIPismJOmw 2018/04/17(火) 18:58:09.41ID:C1FlSo/P?PLT(20340)

>>76
【規制議論板】質問でも雑談でもOKのスレッド★505
http://agree.5ch.net/test/read.cgi/sec2chd/1523560203/359

ぜろちゃんねるプラスってこの脆弱性ないんですよね…実は

84 【東北電 78.6 %】 ◆By8774643E 2018/04/17(火) 19:37:12.61ID:oHWj1Eg1
>>83
(・∀・)ほう
その差はいったいどこからくるのか… うごごごご

85心得をよく読みましょう2018/04/17(火) 19:41:52.27ID:yB9Cwu5S
>>83
そうなんだ
ここ(5ch)はその脆弱性は塞がないの

86 【東北電 78.6 %】 ◆By8774643E 2018/04/17(火) 19:52:49.68ID:oHWj1Eg1
>>83-84
ぜろプのほうには「同一IP同一バイト数の連続書き込みを自動で弾く」っていうチェックボックスがあるから
もしかしてソレがいい仕事してるのかなぁ…

87R.I.P ◆RIPismJOmw 2018/04/17(火) 20:09:25.63ID:C1FlSo/P?PLT(20340)

>>85
API化する前ってこんなことなかったでしょ?
クローラー対策に・・・なんでしょうけど

>>86
更新履歴見ればわかるかもです
多くの人に使ってもらう、でも簡単でセキュアにってコンセプトな筈

88心得をよく読みましょう2018/04/18(水) 19:21:32.55ID:MVxtGsjN
>>87
ライバル叩きに注力してたら穴が空いてたなんて・・・

89心得をよく読みましょう2018/04/18(水) 19:26:01.78ID:MVxtGsjN
>>86
>「同一IP同一バイト数の連続書き込みを自動で弾く」
便利だねー
今はスクリプトがランダム文字列投げて来たりするのもあるから
いたちごっこでも先ず基本中の基本を押さえて欲しいものだ

90 【東北電 78.6 %】 ◆By8774643E 2018/04/18(水) 19:32:53.87ID:bd7g7TOI
>>89
ランダム文字列でも半角英数だけだと弾きますぉ > ぜろプ

91心得をよく読みましょう2018/04/18(水) 19:50:20.03ID:PwhH5vJ6
>>87
確かになかったような・・・
なにが元凶なんだろう

92R.I.P ◆RIPismJOmw 2018/04/18(水) 20:32:43.87ID:8OyTWCrE?PLT(20340)

>>88
直すにしても複雑になっちゃってるんじゃない?多分

>>91
HTMLでクロール→Goneで取得不能
そうだAPIサーバーからクロールしよう→APIサーバーの負荷が大きくなる
じゃない?APIサーバーって2台くらいだった筈、クローラーで負荷かけられたら耐えるとも思えませんし

93心得をよく読みましょう2018/04/18(水) 23:36:58.44ID:PwhH5vJ6
うーんなんだろう

https://pastebin.com/raw/paAW1cX5
リンク先にperlでできた連投ツールのソース
なんかのヒントになるのかな

94 【東北電 78.6 %】 ◆By8774643E 2018/04/19(木) 00:06:17.25ID:0JRL+tb+
>>93
ぱーるはじめてまだ7日もたってないざこむしさんてきには
これけっこうそのままつかえる連投機にみえるんだけど
ぜろプ(でふぉると設定)にはつうようしないね
連投規制入る

95 【東北電 78.6 %】 ◆By8774643E 2018/04/19(木) 12:27:44.94ID:0JRL+tb+
でええええええええええええええええええええええええ
きいいいいいいいいいいいいいいい
たああああああああああああああああああああああああああああああ
@ローカルばーちゃる鯖環境

あとはxrea鯖でのテストがうまくいけば
php版とおなじうごきをするぷらぐいんの完成でーすーよーーーーーーー
゚.+:。(´∀`)゚.+:。

96 【東北電 78.6 %】 ◆By8774643E 2018/04/19(木) 12:33:15.12ID:0JRL+tb+
http://by774643.site/local/bin/perl/sandbox/

ヒャッハー (゚∀゚∀゚∀゚∀゚∀゚∀゚∀゚∀゚∀゚∀゚∀゚∀゚∀゚) ヒャッハー

97 【東北電 78.6 %】 ◆By8774643E 2018/04/19(木) 15:48:18.07ID:0JRL+tb+
「だいたい」15スレくらいにマルポスしたら本茎ボッシュートするプラグインも
それっぽく作っていれといた。ので500エラーするかも。 >>96

98心得をよく読みましょう2018/04/19(木) 18:33:59.38ID:beqGVRlD
>>96
スレ開こうとしたらパーミッションガーと怒られたよん(´・ω・`)

99心得をよく読みましょう2018/04/19(木) 18:50:13.49ID:2k9XWCE/
開けない書き込めない

100 【東北電 78.6 %】 ◆By8774643E 2018/04/19(木) 19:25:05.82ID:0JRL+tb+
>>98-99
ごめんなさい m( __ __ )m おてすうおかけしております
設定変更してみました & 茎焼き浦さんはとりあえず止めました

新着レスの表示
レスを投稿する