タグ・スタイルシート・JavaScriptのイベントハンドラは文字参照に置換する。
メソッドはPOST以外受けつけない。
イメダグ・自動投稿フォーム・類似フォーム等は
リファラーチェックしてはじく(不完全)
正規の投稿者の文面も崩れかね無いのであまり(・A・)イクナイ!!と思う。
改行数やバイト数制限は必要だけど
限られた条件の中で表現の自由は保守したい。AAとかね。
連続投稿の禁止も、レスの早い掲示板ではストレスがたまるので極力避けたい。
単純にIpではじくのもきりが無いし、ドメインではじくのも
巻き添え食らう人が出て来るだろうし。
カル板系の画像チェックコードは、いちいち入力するのが('A`)マンドクセ。
かといって、2chみたいにクッキーでチェックコード発行してる場合
普段クッキー切ってる人は、ON・OFFが('A`)マンドクセ。
JavaScriptでいろいろやるのも、切ってる人には(ry
オープンな場所で、多くの人が快適に利用できるような掲示板を目指します。
言い忘れた…スマソ(´Д`;)
は俺です。誰かщ(゚Д゚щ)カモーン。話し合おうZE!
時間が時間だからかなぁ…
もう寝るぽ(´・ω・`)
プロキシ制限すればある程度は大丈夫だと思うが?
だから、串制限したら
荒らしてる当人以外も弾かれる人がでてくるではないか(´Д`;)
串制限しなくてもいい方法考えようZE!
荒らすつもりもないやつがなぜ串を使う?
せめてスクリプト上では廃止したいね。
本当に硬い掲示板ならそんなものは必要無いはずだ…と俺は思う。
串の本来の目的を忘れてないか?(´∀`;)
究極の連続書き込み対策だけど
チェックコード系でもなんでも、突破されたらログ流されちゃうから
被害を最小限に食い止めるためにプロテクトモードを作るのはどうかと。
書き込み手順・投稿間隔・内容を比較して
黒かったらカウントする。
一定時間でカウントが一定数まで達したら、攻撃を受けたと認識し
強制的にログファイルのパーミッションを変更して書き込めなくする。
一定時間たって、攻撃がやんだと認識したらログファイルのパーミッションを元に戻す。
カウント数も初期化。
とかかなり荒業。
復帰時のついでに、攻撃を受ける前のログ(バックアップ用)に巻き戻したりするのもいいかもしれない。
でも、これは判断基準が難しいよな。
しかもプロテクトモード時は一般の利用客に迷惑かかるし。
う〜ん…。
あれもダメ、これもダメって制限多すぎ。
あとは、荒らされないような雰囲気の掲示板にするぐらいしか対策ねーんじゃね?
あぁ、そういう人もいるね。
全員分セーフリスト作るのにも限界あるし、串制限はやっぱりダメぽ。
>あれもダメ、これもダメって制限多すぎ。
既出の方法に頼れば、そこそこ硬い掲示板作れるけど
いろいろ制限出てくるから、何か画期的な方法は無いかと。
>あとは、荒らされないような雰囲気の掲示板にするぐらいしか対策ねーんじゃね?
それ言っちゃお終いだ(´Д⊂、
とりあえず、精神論は置いといて、技術的な対策考えたい(´∀`;)
行っちゃやだ。協力してよ(´・ω・`)
80番や8080番開いてたら、串とみなすってやつ?
掲示板なければ荒らされない
「荒らされない」っていう発想はどーでもいいんだよ。
攻撃される。
防御する。
知恵比べさ。
掲示板無かったら何も始まらんよ。
解除した時にまた連投されたら誰も利用できない板の出来上がり
どこにあったか失念。
もちろん敵をかく乱する為
復帰時間はランダムで生成。なんにつけてもパターン化は避けたい。
荒らしつづけたくても、掲示板に貼りついて無いと
連続して荒らしつづけるのは難しい。
荒らしにくい掲示板なら諦めると思うのだが。どうだろう?
シカトって
ダミーログに飛ばして
気の済むまで書き込んでもらうとか?
無駄な上限を外して、データを流れないようにすればいいのでは?
ずっと復帰できない状態になるでしょ?
いくら大容量化が進んでも、HDDは有限だよ(´∀`;)
永遠とスクリプトぶん回しとくの?(゚Д゚)
そんな事したら鯖が落ちて
荒らしてる香具師は鯖缶に訴えられてあぼーん。
AAだと判断する基準が難しいよね。
サーバーに置くにしても定期的にスクリプト起動する方法なんていくらでもある
ローカルから撃っても、大量のリクエストが常に放たれてるんだから
被害元のスクリプトは常にerror吐き出して負荷がものすごい事になるよ。
定期的にどっかから来るんだったら、アク禁にすれば解決すると思われ。
生成したランダムな数値を元に画像を連結するとこまでは従来の物と一緒。
ただ、記録する発行済みチェックコードリストには、
生成された連結画像のpack値をこれまたランダムに生成した種を元にcryptした値と、種を記録。
投稿時には、表示されてる画像のpack値を、記録されてる種でcryptして、記録されてる値と比較。
一致したら、投稿許可。
criptした値の桁数も、これまたランダムで生成した値を元に調整するとさらに頑丈かも。
どうだろう?
間隔あけてりゃ問題ない
もっといえばレスポンス見て間隔変えればいい
アク禁なんて串でどうにでもなる
串制限しないんだろ?
いってみれ
そう言われてみると、粘着にやられたらおしまいなような気がしてきた(´Д⊂、
ぇ?普通に送れない?(´∀`;)
それ以外に方法あるならいってみれ
あらかじめ、hiddenに入れとくわけじゃないよ?
投稿時にリアルタイムで、表示されてる画像をpackして送るんだ。
誰がどのようにして送るか
それをどうチェックするのか
これ、俺、ちゃんと書きこめてるよね?
見えてるしょ?
返事してください!
了解。自分でもわけわかんなくなってきたからまとめてみる。
見えてるぽ
↓
code.cgi(チェック用)をreadモードで起動
↓
ランダム値(1)を生成
↓
ランダム値(1)を元に用意しておいた画像を連結して、連結画像を生成
↓
連結画像を元にpack値を生成
↓
ランダム値(2)を生成
↓
ランダム値(2)を種として、pack値をcrypt
↓
ランダム値(3)を生成
↓
ランダム値(3)を元にして、crypt値の桁数を調整し、コード(1)を生成
↓
コード(1)、ランダム値(2)、ランダム値(3)を記録。
↓
掲示板には連結画像を表示
↓
code.cgi(チェック用)をwriteモードで起動
↓
掲示板の連結画像を元にpack値を生成
↓
記録されてるランダム値(2)を種として、crypt
↓
記録されてるランダム値(3)を元にして、crypt値の桁数を調整し、コード(2)を生成
↓
記録されてるコード(1)とコード(2)を比較
↓
一致したら、書き込み許可。一致しなかったらはじく。
書き込み時に、code.cgiが起動するので
そっちで送ります。
例え、画像を読みこんでpackするスクリプト書かれても
記録されてる、ランダム値(2)と(3)がわからないので
コード(1)と同じコード(2)を生成するのは不可能かと。
そうだとするとcode.cgiに投稿者がアクセスするのはbbs.cgiの処理がおわった後になるわけだが・・・
code.cgiをライブラリみたいな感じでbbs.cgiから使えばいいんじゃないの?
IP規制して数時間後に規制したIPを開放ってのはどうですか?
その場合、串規制も付けないと
いくらでも突破してくるかも〜。
プログラムレスで簡単な抑止力になるかとふと思った。
ハッタリは、本物の荒らしを食いとめられるかなぁ…
余計燃えるやつが居ると思われ
だよね。
下手な煽り入れて、神のような人が来ちゃったら
笑いながらボコボコにされると思われ。
IP変わってもIDが変わらないんだったら
IP規制じゃなくてID規制にするとか
IP変わればID変わる
IDは・・・
$idnum = $ENV{'REMOTE_ADDR'};
$idnum =~ s/\./0/g;
$idcrypt = substr(crypt(substr($idnum,0,8),$mday), -8);
if ($iddagora > 0){
if ($iddagora == 1){
if ($in{'email'} eq ""){ $date = "$date ID:$idcrypt"; }
else { $date = "$date ID:???"; }
}
if ($iddagora == 2){$date = "$date ID:$idcrypt";}
}
こんな感じ?
そんな感じ。
日付が変わってもID変わるね。
とりあえず色々とわからん
組めるなら組んでみろ
そのほうがはやそうだ
・掲示板の連結画像を元に
連結画像はcode.cgiが作るのではないのか?
code.cgiが毎回ランダムな数字をだなら連結画像を元にすることはできないのではないか
・code.cgiをライブラリ
はじめからbbs.cgiにそのルーチンだけ組み込めばいいのではないか
・書き込み時にcode.cgiが起動するのでそっちで送る
どうやってcode.cgiにpack値を送らすのか?QUERYか?
ライブラリで読み出すならそれも不可能だろう
この部分がスッポリ抜けているのではないか
もっと他に荒らしと言える行為があるんじゃないか?
とうとう最後までXSS放置されてたカル板か?
に書いたぞ。
>組めるなら組んでみろ
現時点で実現可能か不明なので(´∀`;)
>連結画像はcode.cgiが作るのではないのか?
code.cgiが生成した連結画像を掲示板が表示するって事です。
>はじめからbbs.cgiにそのルーチンだけ組み込めばいいのではないか
これは途中から、移植を考えたら別ファイルの方がいい気がしてきたから;
>どうやってcode.cgiにpack値を送らすのか?QUERYか?
普通に処理したら値を返せばいいんじゃないの??
具体的に言うと?
XSSって聞いた事なかったから調べたけどスタイルシート?
CSS荒らし?
code.cgi自体はContent-type:image・・・で表示しないんだな?
(・∀・)ソレダ!!
説明下手でスマソ(´Д`;)
ついでにpack値送る手段未だわかんねー
FORMの値以外送る手段ないだろ
それとも送るのは投稿者じゃないとかいうのか
じゃあ、分けない方向で。
よくよく考えたら
やっぱり、生成され、セットされたファイル名hiddenで送らないと
どの画像をpackするか判断できないんじゃ…?(・∀・;)
入力する必要ない数字画像が掲示板に表示されてても激しく謎だし……。
複数の人間がアクセスしたら画像が複数できることなんて予想できたことだろ
XSSは
ttp://lovemorgue.org/xss.htmlでもみとけ 記録するコード数を増やせばいいんじゃないの?
投稿時にどれかとマッチすればOk、みたいな感じで。
正規の投稿者は、今見えてる画像付きの投稿フォームで書き込むんだし。
XSSありがd
読んで来る(´∀`)
とりあえず、数字画像以外のものを連結して貼り付けると見栄えはグッドかもしれないと思った。
いっその事、背景画像に指定しちゃうとか?毎回背景画像が謎の連結画像…嫌過ぎるな…
誰かもっと自然で効率いい荒らし対策キボンヌヽ(`Д´)ノ
別に律儀に画像を表示しなくてもいいな。
なんで?生のデータ送るわけじゃないし
読み取られてもOkじゃん?
送った後に、対象データをcryptするし。その種も記録されたランダム値だし。
連投スクリプトで読みとられて平気つーことは
ブラウザに読みとられても平気=書けないてことです
あー、わかった!
俺、アフォだ(´Д`)
とりあえず画像チェックコードの改良は諦めるとして、
他の手を考えないとな(´・ω・`)
連投防ぎたかったら画像使え(ものによっては破られるしめんどいがナー)
それがイヤなら串禁しとけ(関係ない人間も多少は巻き込まれるかもナー)
マルチパートには対応してないからな
なるほど。その手があったか!(゚∀゚)
悪いな。どうしても独りだとネタが尽きるしな。
考えてはいるんだが。
ttp://pc2.2ch.net/test/read.cgi/php/991274614/l50 荒らし甲斐のないほど人の少ない掲示板。
それこそが究極の荒らし対策掲示板だ。
半日以上放置して10くらいしか下がってないし
はじめは、みんなsage進行なのかと思った。
掲示板にアクセス時に
何らかの手段でコネクション張らせて、生IP抜いておいて
投稿時にそれと一致しなかったらはじく
って考えは究極の串制限だと思った。
抜けなかったら抜けなかったで不許可の方向で
それはで否定したんじゃないのか?
つーか姉妹スレのもたぶん撃てるよ
>いや・・・だからJAVAアプレットやら使わないとムリだから
JAVAアプレット以外にも
おなじみのtelnetでもいいし、メディアプレイヤーでもOEでも
ユーザーが持ってそうなアプリ起動しまくってGO!
>それはで否定したんじゃないのか?
そもそも串制限自体否定してるからね
もしも串制限するんだったらって話。
>つーか姉妹スレのもたぶん撃てるよ
同意。あれだけじゃいくらでも穴あると思われ。
しかもクライアントは書き込む度にtelnet起動させられるのか・・・
そんな鬱な板いるかっ
しかも串にアクセスさせるだけでいくらでも捏造可能・・・ナムー
だめか〜
なんだか、下手に小細工すると
どんどんヘンテコな使いにくい掲示板になっていく(´Д`)
シンプルでいい方法は無いものか・・・…。
つか2月かよ・・・時が止まってるな
