GETとPOST…パスワード 2004-08-05 (木) 15:40:20+09:00

 ソフトウェア

パスワードはURIに含めちゃダメだと聞いて先日POST版のキャッシュ更新画面をつけた。

が、昨日ふと思ったが結局POSTにしても、べたテキストがネットに流れるのには違いないんじゃないかなぁ。

POSTなら検索エンジンのキャッシュに残ったりはしないかも知れないが、パケット除いたり、経路のサーバーにクラッキングを受けてバックドア仕組まれてるものがあったりしたら一発アウトか。

本気でセキュリティーを言うんだったら結局、SSL(だっけ?)とかの暗号認証の仕組みを組み込むしかないんじゃないかな。個人日記サイトにそこまで労力かけるのもなんだかなぁ…。まぁ作ってしまえば使う方はそれに乗っかれるから楽出来るのも確かだが。

…そこまでしても結局、レンタルサーバー自体がクラックされたら意味ないし、僕の設定なんて穴だらけだし、趣味の向上心でマイペースでいいや(^^;。

お絵かきBBS 2004-08-01 (日) 20:49:16+09:00

 ソフトウェア

設置したことがなかったので、やってみた。

BBSNote+しぃペインター/PictureBBSでテスト設置。

とりあえずしぃペインターで投稿はできるようだ。描いた絵のアニメはなぜか表示できない。(アニメを見るためには別のJAVAバイナリが必要だった。)

FireFoxの問題を発見。この構成でお絵かきBBSの機能を使うと(JAVA VM を使うと)、その後ページを開いたりできなくなり、終了してもプロセスが残ってしまう。IE6は問題なし。MozillaとJREの相性問題の様子。6月頃からなおっていないようだしbugzillaの経緯を読んだ感じだと、当分しぃペインター等JAVA VMを使うものは開いちゃだめですなぁ。(^^;>Mozilla&FireFox。

…というわけで、いずれ時間ができたらrNoteのBBSと連動するようにしてみたいなと思いつつ、その頃に既に絵BBSが出ていることを祈りつつ、つかどっか行ってなくなったタブレットのペン出て来てよと泣きつつ(;;)。

管理メニュー 2004-07-31 (土) 00:14:20+09:00

 ソフトウェア

試行錯誤して、今の形に落ち着いた。

最初は、まずログインフォームがあって、パスワードを入れてsubmitしたら、記事の投稿とキャッシュ更新のできる管理メニューフォームが表示されて、「キャッシュ更新」ボタンを押すとキャッシュ更新するような仕様で作りかけたが挫折。

ログインフォームで入力されたパスワードを管理メニューのフォームにPOSTするまでは良いが、そこからさらにキャッシュ更新ボタンが押されたときに、キャッシュ更新フォームにパスワードをPOSTするには、どうしても管理メニューのフォームのinputタグのvalueに値をセットしてやらないといけないので、htmlソースを表示されるとパスワードが丸見えになって非常に間抜けな結果になるので、この方式は断念。今のような形にすれば、入力されたパスワードはPOST一回しかされないので、たとえソースを見られてもパスワードは見えない。

…と、なぜかさっき(午前零時回ったあたり)から、ブラウザで更新ボタンを押すたびにカウンターがアップしていってしまう…。なぜだろ…。(^^;

原因判明。FireFoxで更新ボタンを押したときに、リファラだけ送信されずユーザエージェントは送信される、という状態になることがあるためらしい。(たとえば、カウンタの設置されたページを表示して、そのタブで記事投稿ページに飛び、「←」(戻る)ボタンでカウンタの設置されたページに戻ると、以降更新ボタンを何度押してもリファラだけが送信されない状態になる。他のブラウザでもそうなるのかは未確認。

とりあえず:
if((!$_SERVER['HTTP_REFERER'])&&(!$_SERVER["HTTP_USER_AGENT"])) $bCount = false;

if((!$_SERVER['HTTP_REFERER'])||(!$_SERVER["HTTP_USER_AGENT"])) $bCount = false;
と変更してみた。オリジナルはなぜ論理積なのだろう。これで問題ないのか知らん。(^^;

追記:論理和にするとカウントが増えないようなので元に戻した。リファラかユーザエージェントが送信されないケースが大半なのかも知れない。…とすると、やはり直近アクセスのIPアドレスを保存しておいて同じならカウントしない…というような処理が必要になる気がする。

追記2:カウンタ修正。counter.logに、リモートアドレス、GMTタイムスタンプの2フィールドを追加して、「(counter.logに記録されてるのと同じリモートアドレス)かつ(counter.logに記録された時刻から1時間以内)」の条件のときは、カウントアップしないようにしてみた。今のところうまくカウントできているようだ。

[コメントの受付は終了しています ]
1: りん (08/04 14:46)
例えばブックマークからお気に入りのサイトに行ったような場合、前のページというのが存在しないから、当然リファラは入って来ないです。
あと、再読み込みでカウントアップするのは別に構わないと思った。
2: 冬星 (08/05 15:27)
あ、なるほど…。理解できました。
today_pageviewとtoday_accessに分けてあったので前者が更新でカウントアップする方かと思いましたが後者もですか…カウンタ1個でも奥が深いですね(><
この記事のリンク元 | 1 |

管理者ログインフォームを追加 2004-07-30 (金) 14:25:37+09:00

 ソフトウェア

パスワードは絶対にURIに含んではいけない

おぉそうなのか…。追加してみる。

管理者フォームでパスワードを入力して、POSTでrnote.phpにパスワードを渡すだけ(^^;。rnote.phpの該当箇所をGETからPOSTに換えるだけなので修正は簡単。

自分パスワードは結構気恥ずかしい内容なので、漏れてなかったらいいなぁと思いつつ(笑)。

rNote0.9.4に… 2004-07-29 (木) 23:43:30+09:00

 ソフトウェア

差し替えました。

html_head.skinのDOCTYPEをXHTML 1.0 Transitionalに変更してあると、EVAL_ENABLEをtrueでページ表示時にeval()でparse errorになるのはなぜだろう。むーん…難しい(^^;。

カウンターのプラグインも入れてみました。元気に動いているようです。

BBSと管理人の投稿記事の外見が区別つかないのが、なんか不思議な気分です。