【要望】書き込みにはしゅてきなクキー必須にしてクレクレ
◆しゅてきなくきー案◆
・IPを暗号化してクキーに保存、鯖側では復号してIPの同一性&発行時刻を確認
【鯖に保存するのは「IPアドレス−クッキーの新規発行数」のペアだけでおkにする】
・発行したクッキーの記録は20分後に同一IPアドレスからの書き込みがなければ24時間後に破棄
・同じIPアドレスからは短期間に複数のクッキーを生成しない&同一IPからのクッキーの発行数記録→スクリプト対策
・最初に発行するクッキーは仮登録で、書き込みはできない。20分経過以降24時間以内に同一クッキー同一IPアドレスからの書き込みボタン押下がないと破棄→KOROKORO対策
・「IPがころころ変わっちゃう普通ひと」は、
いまんところだと、Ronin買うか、毎回クキー焼きをがんばるかしてね…
(´・ω・`)誰かすんごいイイ解決方法の編みだし求む!
派生もと:
【規制議論板】質問でも雑談でもOKのスレッド★503
http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/
【規制議論板】質問でも雑談でもOKのスレッド★505
http://agree.5ch.net/test/read.cgi/sec2chd/1523560203/
実験場速報とかバグあったよとか要望とかつぶやきどころ(仮):
774643のすくつ
http://mevius.5ch.net/test/read.cgi/intro/1508136228/
規制議論板での意見の抜萃などなど>>2-5あたり http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/445-446
445 名無しの報告 ▼ 2018/04/08(日) 02:36:31.94 ID:bh+919CS0 [4回目]
>>436
それだと既存のcellphoneやMVNO類はほぼ書けなくなりませんか?
・同じIPアドレスを加入者側で共有しているため(重複IPアドレス・異なる利用者)
・セッションの切り替わりなどでIPアドレスが頻繁に変わるため以前のIPアドレスによる接続が出来なくなる(いつまで経っても新規の状態)
そしてcookieが無い状態では同一IPアドレスによる連投は出来なくなるかもしれませんが
繋ぎ変えることで毎度同じ新規状態となってそれによる連投が可能になりませんか?(投稿毎に繋ぎ変える)
446 名無しの報告 ▼ 2018/04/08(日) 02:39:43.71 ID:bh+919CS0 [5回目]
そしてcookie発行済みでかつ同一IPアドレスだけれども異なる加入者にはどのようなクッキーを発行するのでしょうか?
サーバ側では同一ユーザかどうかなんてのは判りませんですし(それを識別する情報が元から無いため) http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/520
520 名無しの報告 ▼ New! 2018/04/08(日) 19:07:57.38 ID:j166a2550 [6回目]
>>445
> ・同じIPアドレスを加入者側で共有しているため(重複IPアドレス・異なる利用者)
最初の1週間ほど無制限にクッキーを発行できるようにすればいい
全員に行き渡ったところで有効にする
有効後は端末をリセットしたり、OSをインストールしたり、新規に購入した人だけがクッキーを発行してもらうことになるので、
1IPアドレスあたり発行数○個までという設定をして、それ以上は発行しないようにすればいい
> ・セッションの切り替わりなどでIPアドレスが頻繁に変わるため以前のIPアドレスによる接続が出来なくなる(いつまで経っても新規の状態)
20分で変わることはほとんどないので問題ない。
仮に変わったとしても次の20分は大丈夫だから問題ない
>繋ぎ変えることで毎度同じ新規状態となってそれによる連投が可能になりませんか?(投稿毎に繋ぎ変える)
初回はクッキー取得だけで書き込みできない状態にするので、そもそも書き込みができない
その後にアクティベートして書き込めることができる
最初の1週間は書き込めるようにして行き渡ったところで有効にする
>そしてcookie発行済みでかつ同一IPアドレスだけれども異なる加入者にはどのようなクッキーを発行するのでしょうか?
>サーバ側では同一ユーザかどうかなんてのは判りませんですし(それを識別する情報が元から無いため)
5ch側が生成したユニークな連番を暗号化してクッキーに保存する
ユニークに生成しているからユーザごとに一意に決まるのでユーザを特定できる http://agree.5ch.net/test/read.cgi/sec2chd/1522846886/981
981 名無しの報告 sage ▼ 2018/04/13(金) 04:26:15.02 ID:gsOm/mNk0 [1回目]
>>20 http://agree.2ch.net/test/read.cgi/sec2chd/1521591546/949
> cookieが被らないとはどのような理屈でそうなるのか?
> 被らない元になるものがあるのならそれを利用すればいいのでは?
> 生で問題あるのならハシュ化するとか
うん、そうしたら被らないでしょ?むしろ何故被ると思うのか?
ハッシュの衝突で被る可能性もゼロではないけど、
ある程度長くしとけば被る可能性は低くなるし
> そしてunicornの考えたこれサイコーって言うのは
> そのcookieをいくらでも生成できるというバカげた弱点がある
> cookieを毎秒生成すれば、その3日後から永遠と使えるっと言うこと
http://agree.2ch.net/test/read.cgi/sec2chd/1521591546/250
俺は↑この案を推すわけではないけど、
毎秒生成されて困るなら、生成に制限をかけることもできる
> 毎秒生成なんていとも簡単だと思うんだが
cookieのストックを大量に作れることを問題視してるんだと思うけど、
949 が言いたいのはこれ↓
http://agree.2ch.net/test/read.cgi/sec2chd/1521591546/949
> IPを焼く→IP変える→IPを焼く→IP変える
> のいたちごっこを、
> cookieを焼く→cookieを変える→cookieを焼く→cookieを変える
> のいたちごっこに変えることに意味があるんだよ
IPは、生成しなくても、ストックが大量にある
cookieは、生成した分だけしか、ストックをもてない
大量に生成したい人は生成したらいいよ
それは、IPで言えば、IPを変えられる人というだけ きょうのところの成果物
http://mevius.5ch.net/test/read.cgi/intro/1508136228/510
510 【東北電 78.6 %】 ◆By8774643E age ▼ 2018/04/13(金) 21:02:35.75 ID:???0 [0回目]
KO・RE・DE・どうだぁぁあぁぁあぁぁ!!!
http://by774643.site/local/bin/php/12.php
・クキー焼くのに2分かかる
・連投制限10秒
・とりあえずにこにこ初期値登録済み。
あとは書き込みパスワード書いて送信 を押すだけ!
みんなで テストきぼん 試しにテストした
初期発行→クッキーこねる
2分以内→クッキー焼きはじめ
2分経過→書き込み完了
こんな感じかな >>7
くわしいかいせつありがとうございます!(`・ω・´)
ほかに
同一IPからの焼きすぎBAN機能も試験搭載してありまする(閾値てきとー)ので
いいぜ!焼かれても!!!の心意気でテストしてくれる方いらっしゃったらどんどんどうぞー ※焼かれちゃっても実験掲示板に書けなくなるだけで
各種Webアプリは使えますので。 >>10
警告の件ですかな?
firefoxでHTTPSのSSL暗号化が効いてない時の親切警告だから宜しいかと
パスワードを盗まれないようにってだろうけどウザイのは確かだけどね
そういえば「画像の文字を入力せよ」ってパターンはスクリプトやbotにある程度有効だね
コロコロ対策じゃないけど、なんで5chもこの手を使わないんだろう勿体ない >>1
乙です
現在のbbs.cgiが今どうなってるのか不安しかないだろうけどw
一歩前進するね まだ流れが掴めてないのだけど、こんなイメージなのでしょうか
クッキーない状態でbbs.cgi(?)に初接続
一般人:仮クッキー発行、書けない
コロコロ:仮クッキー発行、書けない
スクリプト:仮クッキー発行、書けない
仮クッキーあって20分以内
一般人:書けない
コロコロ:書けない
スクリプト:書けない
仮クッキーあって20分以降24時間以内
一般人:投稿すれば本クッキー
コロコロ:投稿すれば本クッキー
スクリプト:投稿すれば本クッキー
本クッキーある状態でbbs.cgiに接続
一般人:投稿可能、だが自然発生コロコロは最初からやり直し
コロコロ:クッキー破棄同然、最初からやり直し
スクリプト:前回投稿時間?を見て制限することにより連投不可
クッキー消し:最初からやり直し
同一IPアドレスからの書き込みがなければ24時間後に破棄 >>13
たぶんね スクリプトでもしょっぱいやつだと
クッキー発行されないよ >>10
こんにちは!
すでに>>11さんがすてきな解説をしてくださってますです 適当にやってみた
生成 クキー生地をこねている感?
連投制限以内 マターリしていってくだしあ。。。
生成してから2分以上経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
10秒後書き込み
→書き込み完了
生成してから1分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
10秒後書き込み
→書き込み完了
生成してから20秒経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
20秒後書き込み
→書き込み完了
同一IPで5回目以降?で「クキー売り切れす><」と出て書き込めなかったが10秒後に書き込み可能 >>16
てすとありがとうございます!
うーん…
クキー売り切れの条件がまだおかしいのか… (´・ω・`) 有効な本クッキーもってれば、
クキー売り切れす にはとばないはずなんですが
なんでとんだんだろ… ちょっといじっておいた (`・ω・´) > 仮クッキー、本クッキー発行要件 >>16さんは
たぶんもう毎回「クッキー売り切れ」にとぶような気がするけど
うまく条件分岐できてなかったら書き込めちゃう (´・ω・`) じっけんよろしくおねがいします >>20
実験しようにも書き込み後500番エラー出ます
vpnでIP変えても同じです >>21
すみません
いま >>20でうpしたphpにバグこんにゅーさせてたのを
ぶちっとなおしましたです (´・ω・`)
こんどはいける!うごく!!
http://by774643.site/local/bin/php/12.php
>>15
お疲れ様です
掲示板のシステムを似たようなので構築してテストした方がいいような気はします
http://zerochplus.osdn.jp/
ここにあるスクリプトが割と互換性があるので落として弄ってみてくださいな >>23
おおー
こんなものがあったとは!
さっそくおとして いじってみまーす 三 ( ´D`)
>>24
古めの専ブラならほぼ対応してるので色々テストできますよ >>22
試してみた
生成してから1分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
繰り返し
vpnでIPチェンジ
生成してから1分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
30秒後
→クキーを焼きはじめた感? 少々お待ちくだしあ...
繰り返し >>27
てすとありがとうございます!
本焼きくっきー焼くのにはきっちり2分かかります (`・ω・´)キリッ
なお本番は、仮焼きクッキー焼くのに20分の設定でいきます。
>>25
って ぱーるじゃないですかー やっだー★
よけて通ってphpはじめたのに
結局フルコンプコースですぅー★ (∩´∀`)∩キャー なお
クッキーを急いで焼こうとすると、
どんどん焼けるまでの時間がかかるようになっていく仕様はもとからです。 >>30
まっさらなIPにチェンジしても進まないようでしたら故障ですが
使ったことあるIPでなってるとしたら仕様です >>31
PCはvpn、スマホはキャリア回線で生成2分後→2分後やってみましたがこねこねから進みません >>33の方法でまたやってみたが進まない
自分がおかしいのか >>35
いや条件式がおかしいのかもしれません
またちょっといじってみました
http://by774643.site/local/bin/php/13.php
これでどうでしょうか ◆現在の仕様
クッキーない状態でbbs.phpに初接続
一般人:クッキーこねこね発行、書けない
コロコロ:クッキーこねこね発行、書けない
スクリプト:クッキーこねこね発行、書けない
こねこね後2分以上経過20分以内
一般人:仮クッキー発行、書けない
コロコロ:仮クッキー発行、書けない
スクリプト:仮クッキー発行、書けない
仮クッキーあって2分以内(本番は20分以内)
一般人:書けない
コロコロ:書けない
スクリプト:書けない
仮クッキーあって2分以上20分以内(本番は20分以降24時間以内)
一般人:投稿すれば本クッキー
コロコロ:投稿すれば本クッキー
スクリプト:投稿すれば本クッキー
本クッキー餅
一般人:投稿可能、だが自然発生コロコロは最初からやり直し
コロコロ:クッキー破棄同然、最初からやり直し
スクリプト:前回投稿時間?を見て制限することにより連投不可
クッキー消し:最初からやり直し
鯖:
仮クッキー発行リスト24時間保持。
メンテスクリプトを走らせることで仮クッキー発行リストをメンテ。 ◆現在の仕様◆ >>37訂正
◎どのステップでも連投・連打をすると、どんどんペナルティが蓄積して書けない・焼けない時間がのびます。
クッキーない状態でbbs.phpに初接続
一般人:クッキーこねこね発行、書けない
コロコロ:クッキーこねこね発行、書けない
スクリプト:クッキーこねこね発行、書けない
こねこね後2分以上経過20分以内
一般人:仮クッキー発行、書けない
コロコロ:仮クッキー発行、書けない
スクリプト:仮クッキー発行すらしないで永遠にこねこねかも。書けない
仮クッキーあって2分以内(本番は20分以内)
一般人:書けない
コロコロ:書けない
スクリプト:書けない
仮クッキーあって2分以上20分以内(本番は20分以降24時間以内)
一般人:投稿すれば本クッキー
コロコロ:投稿すれば本クッキー
スクリプト:イケてるスクリプトで投稿すれば本クッキー、失敗してると永遠にこねこね
本クッキー餅
一般人:投稿可能、だが自然発生コロコロは最初からやり直し
コロコロ:クッキー破棄同然、最初からやり直し
スクリプト:前回投稿時間?を見て制限することにより連投不可
クッキー消し:最初からやり直し
鯖:
仮クッキー発行リスト24時間保持。
メンテスクリプトを走らせることで仮クッキー発行リストをメンテ。 >>36
VPNでのまっさらIPとスマホキャリア回線
生成してから2分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
2分経過後書き込み
→書き込み完了
散々試した生IP
生成してから2分経過後書き込み
→クキーを焼きはじめた感? 少々お待ちくだしあ...
2分経過後書き込み
→クキー売り切れす><
1分経過後書き込み
→マターリしていってくだしあ。。。
2分経過後書き込み
→クキー売り切れす><
うまくいった感じ? >>39
(ノ´▽`)ノオオオオッ♪ ありがとうございます ありがとうございます! あとはこれを Perl+0ch仕様に翻訳するだけ… だけ…… (´・ω:;.:... >>14
スクリプトを調べてみた
自前exe版も少なからずあるようだが
ブラウザベースでjavascriptループ使うやつとかはそもそも正常なプログラムで茎操作できる前提にあるからはじけなさそうかな >>23
これはいいですな
きっと動くソースなんでしょ
東北電さんファイツ! ふと思った懸念事項
現在のbbs.cgiソースの公開はおろか修正できる人がいるのかという懸念
仮茎リストは各鯖に置くか、それとも一括する鯖か
各鯖ならNGリストも各鯖に配布する機能も必要
20分って利用者の利便性とコロコロ防御力の睨み合いですな
利用者の我慢の限界>20分>コロコロ間隔 じゃないとだめだけど
ユニコーン氏は鉄壁の3日禁止案出してたようだが利用者は死ぬし
現在のコロコロは数時間ごとに切り替えてるとこ見ると60〜240分設定でもいいかなという印象
コロコロによく荒らされてる板は閾値高めにとか >>38-39
いい感じに見えてきたね
単純な疑問なのだが、こねこね発行と仮クッキーが時間は違えど同義なら
最初のクッキーの「発行時刻から何分経った」という考えでもいいのでは?と思えてきた
そして現在はこんなリクエストを鯖に渡してるから
こういうとこにコネコネ機能をぶっこむやり方もありかなと
GET /test/read.cgi/accuse/1523631410/ HTTP/1.1
Host: mao.5ch.net
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: (クローム等々)
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng;q=0.8
Accept-Encoding: gzip,deflate
Accept-Language: ja,en-US;q=0.9,en;q=0.8
Cookie: __cfduid=xxxxxxxxxx; READJS="off"; SUBBACK_STYLE="1"; yuki=akari; PREN=%xx%xx%xx%xx%xx
↑例えばここのCookieヘッダのIDを見て
発行時刻は鯖側で見て、是非を問うというイメージ
(もちろん鯖側の茎発行方法を>>38のやり方に変えた上で) あと圧縮あらし・保守荒らしに対する書き込み可能スレ数制限もどうにか考慮したいところ
このIDがいくつのスレに投稿したとか、それこそ追加の小データベースが必要になってくるから重くなるだろうか
リアルタイム検査だと鯖が死ぬから5分毎にとか、多少あとで走る処理でもいいと思うけどね
IDごとの投稿スレを収集カウントして、いくつのスレだったその茎無効!みたいに >>42
ざんねん(´・ω・`)
>>43
自パソで0chぷらすけーじばんをたちあげるところまでいきましたよー
簡単な英文スパムをはじく機能まではインスコできましたー
がんがる (`・ω・´) シャキーン
>>44
現茎も各鯖発行っぽいから
仮茎リストも各鯖に置くのがたぶんらくちん… とみせかけて
茎管理&プラグイン構築的には一括の方がよいアンビバレンツ
>NGの各鯖配布機能
鯖またいでの大規模ってやろうとしてもどうせすぐどの全鯖でブラリ入りするようななな
>コロコロによく荒らされてる板は閾値高めにとか
こーゆー細やかな板別設定値機能も、
ぱーるにくわしくなったらできる気がする >>45
(*゚∀゚)(゚∀゚*)ネー
>こねこね
最初のクキーの設定はぎっそが簡単というかスクリプトで値ぶっこまれそうだから
こねこね→仮焼き→本焼き のほうがいいかなとおもってしてみたっていうかなんかなったんだけど
__cfduidなるものをつかえばかぶらないんだろーか
>>46
全板横断で延べ何回書いたか数えるっぽいプラグインが既にあるから
それ改造したらつくれるかもしんない
>IDごとの投稿スレを収集カウントして、いくつのスレだったその茎無効!
おおおおおおくのスレに1つずつ書き込んでる茎を焦がせばいいのかな? なお きのうから 本格的に始めたぱーる(ポケモソじゃないよ)さんは
クキーの1点のみの発行と(ぱーるはクキー複数作って送るところがドクトクでこまる)
通信内容の暗号化・復号部分と
生成に必要な情報収集部分
それぞればらばらならテストスクリプトがまわるところまできております (`・ω・´) シャキーン ちょっとぐぐってみた
__cfduid は くらうどふれあさんが発行してる永続クキーなのね 乙乙!
>>47
>茎管理&プラグイン構築的には一括の方がよいアンビバレンツ
いいすね
>>48
>こねこね→仮焼き→本焼き のほうがいいかなと
あ、なるほど。偽装対策にって考えなら全然OKかと
>1つずつ書き込んでる茎を焦がせば
1つとは限らないけど>数えるっぽいプラグインが既にある、のならそれで例えば20スレとか50スレで焦がすでいいね
>>49
>ぱーるはクキー複数作って送るところがドクトクでこまる
うーんそこは複雑になるかもね確かに
>>50
逆プロキシと思わしき?クラウドの__cfduidはそのまま使えないすなー多分
ユニークなid(3段階茎だと*3)を鯖側で認識し統率させることが肝だしね
でも鯖で__cfduidを見て何らかのチェックには使えそうな、検討の価値はある
現在は5ch.netというドメイン単位のクッキー発行してるからのままでいいかと、茎重複防止も兼ねて
ただしmax-age(茎有効期限)2分のこねこね茎、20分仮焼き、24時間本焼きは別々の新発行茎という構想だよね(間違ってたらスマソンw) >簡単な英文スパムをはじく機能まではインスコできましたー
>それぞればらばらならテストスクリプトがまわるところまできております
てか凄くね
運営にこれを入れて!って日が来ることを願って応援してますぞ 訂正:
>max-age(茎有効期限)2分のこねこね茎
2分で消えちゃったらダメだwリセットくらう
max-age付けるとしたら20分のこねこね茎、ですな >>51
クキー名__cfduidさんは
「おれのぱそこんはとってもくりーんだよ」ってことをIP(+マシン個有の伺か?)を練り込んで主張しているものらしい?
(なまら理解)
これを逆算して何かに使えちゃったら、すーぱーはかー!(なまらりかい)
そして真のご新規さんは これ、もってない。(確信)
>2分のこねこね茎、20分仮焼き、24時間本焼きは別々の新発行茎という構想だよね
それぞれの段階で別名をもってる茎を作ってますが
生成ルーチンはちょっとふくざつで
こね茎&仮焼きをごにょごにょして、
なんかいい感じに
みんながまずぜってーかぶらない&IPかえたら無効になる本焼き茎を生成させております
>>52
がんがる!(`・ω・´)シャキーン IEで茎の扱い方が全然違う!とかで苦労したのを思い出した
大昔のことだから今はどうなってるのか知らないけど
そいうのもあると留意しておくと吉、とだけ >>54
>くりーんだよ」ってことをIP(+マシン個有の伺か?)を練り込ん主張しているものらしい?
>そして真のご新規さんは これ、もってない。(確信)
なるほどなるほど >>55
いまもIE6さんだとね もうね (´・ω・`) らしいけど
とりあえずそのへんは
Perlさんのもってるクキー読み書きシステムにまるなげする。
いまおいてあるphp掲示板のほうは、じっさいphp7.1さんにそのへんの処理はまるなげている。 >>57
ああやっぱり
じゃあ連投ツールexeみたいなのも独特過ぎて合わないのはもうお断り!でいいだろうねもうそういうのは >>58
>連投ツールexe
むしろふつうにおことわりwww
茎を普通に送信してくれて、変なプロトコル使わないやつ限定! >>54
>こね茎&仮焼きをごにょごにょして、
ここで細かい仕様公開話しなくていいよムフフフ
>>59
wwwww
__cfduidのない輩は怪しいとかお断り!にできるのかもねもしかしたら
まあ運転がてら穴があるか考えて探してみます
今ちょっと怪しいのがショットガン攻撃を例にした同時初接続
まだ茎が作られてない時点でやられと後々の処理でデータがダブったりしないかなとか