ログイン
RSSで全文を購読する
会員登録
検索
カレンダー
ねこ認証には単純すぎる穴があります。それを無視して公開したのでちょっと弄った人は発見したでしょう。
ねこ認証は回答と答え(暗号化したもの)をGETメソッドに送っていました。
neko.php?post=回答&acth=答え(暗号化されたもの)
となっていましたが、同じ回答と暗号化された答えを送り続けることによって永遠に認証される
状態となっていました。
改善するために使用したものは「SESSION」
サーバに宝箱を設置してユーザーに鍵を渡すという説明がわかりやすいでしょうか。
回答はPOSTに、答えは出題時に暗号化+整数xをDES暗号化したものを
SESSIONに格納してSESSIONの鍵をクッキーに食べさせました。
一回正解したらSESSIONは破棄されるから同じ鍵では開けれないようになった・・・と思います。
SESSIONの仕組みをいまいち理解できていないのであやふやですが、お試し下さい。
ねこ認証はこちら
ネコ認証の落とし穴修正
ねこ認証には単純すぎる穴があります。それを無視して公開したのでちょっと弄った人は発見したでしょう。
ねこ認証は回答と答え(暗号化したもの)をGETメソッドに送っていました。
neko.php?post=回答&acth=答え(暗号化されたもの)
となっていましたが、同じ回答と暗号化された答えを送り続けることによって永遠に認証される
状態となっていました。
改善するために使用したものは「SESSION」
サーバに宝箱を設置してユーザーに鍵を渡すという説明がわかりやすいでしょうか。
回答はPOSTに、答えは出題時に暗号化+整数xをDES暗号化したものを
SESSIONに格納してSESSIONの鍵をクッキーに食べさせました。
一回正解したらSESSIONは破棄されるから同じ鍵では開けれないようになった・・・と思います。
SESSIONの仕組みをいまいち理解できていないのであやふやですが、お試し下さい。
ねこ認証はこちら
- 投稿者:慈円
- 投稿日時:2006/09/08 19:17:29
- コメント(0)
- トラックバック(0)
- プログラム
本文中でこの記事のアドレスを引用(リンク)してください。 引用がない場合はスパムとして削除し以降の全トラックバックを拒否します
この記事と関連してそうな記事
この記事へのコメント
この記事にコメントを書く
トラックバック
本文中でこの記事のアドレスを引用(リンク)してください。 引用がない場合はスパムとして削除し以降の全トラックバックを拒否します
