2ちゃんねる ■掲示板に戻る■ 全部 1- 最新50    

セキュリティースレッド

1 :名無しさん@お腹いっぱい。:2001/07/13(金) 22:56 ID:E2ZAzpeM.net
ウェブプログラミング関係のセキュリティー関連スレッド

http://www.japu.org/sa/
http://www.lac.co.jp/security/information/Cgisecurity/
http://www.w3.org/Security/faq/001031wwwsfj.ja.sjis.html
http://www.cert.org/tech_tips/cgi_metacharacters.html
http://www.w3.org/Security/

2 :ひろゆき:2001/07/13(金) 23:06 ID:???.net
ニヤリッ

3 :age:2001/07/18(水) 20:49 ID:???.net
セッション管理の脆弱性
http://www.japu.org/cgi/security/session_vulnerability.html

刑事告発 or 民事訴訟?
http://www.japu.org/sa/

4 :名無しさん@お腹いっぱい。:2001/07/19(木) 09:03 ID:CQZNnuRk.net
http://www.small-j.com/small/

|また、某ホームページで記載されている件ですが
|「不正アクセス行為の禁止等に関する法律」
|(2000/02/13施行)
|の一部に該当するおそれがあると思われます。(不正アクセスを助長する行為)

わざわざ自分の馬鹿さ加減を世界に公開しなくてもいいのに。

5 :ななし:2001/07/19(木) 20:31 ID:0JFzIhxU.net
これはさらしageOK?

6 :名無しさん@お腹いっぱい。:2001/07/19(木) 21:04 ID:???.net
厨房がソフトウェアを公開

セキュリティホール満載

指摘

逆ギレ

ネタ(゚д゚)ウマー

7 :名無しさん@お腹いっぱい。:2001/07/25(水) 10:48 ID:???.net
終わったようだ・・・

8 :名無しさん@お腹いっぱい。:2001/07/25(水) 11:15 ID:???.net
サイト自体があぼーんされたようだけど
素直に受け入れていれば良いものを、

9 :名無しさん@お腹いっぱい。:2001/07/25(水) 11:40 ID:smbEF.cM.net

最高に・・・(・∀・)イイ!!
http://kame.tadaima.com/2ch/

10 :加奈子:2001/07/25(水) 13:15 ID:???.net
セキュリティは重要よねん♪夏休みであらしさん多いし〜♪♪(はぁと)

11 :名無しさん@お腹いっぱい。:2001/07/26(木) 23:39 ID:???.net
C-BOARD配布停止してたのね
http://skully.lib.net/c-board.shtml

http://www.nk.rim.or.jp/~t_kimata/cgi/

12 :名無しさん@お腹いっぱい。:2001/08/23(木) 02:41 ID:FYJUZ71g.net
ttp://php.s3.to/
What's NewでTHIS WEB SITE IS HACKED BY CHINESEと
出ているけど、マジかなぁ?

13 :名無しさん@お腹いっぱい。:2001/08/23(木) 02:44 ID:???.net
>>12
本当だとしても span が閉じてないのがへぼいな。

14 :名無しさん@お腹いっぱい。:2001/08/23(木) 02:52 ID:???.net
しかし、ウェブプログラミングほどセキュリティーホール作りやすい物もないのに、その意識が低いのは何故かね?
重要度が低い物ばっかだからかな?

15 :名無しさん@お腹いっぱい。:2001/08/23(木) 03:26 ID:???.net
ところで、モナーとギコはlinux板で使われてるから・・ゾヌか!

16 :15:2001/08/23(木) 03:27 ID:???.net
すみませぬ・・誤爆

17 :JAPU@このご時世、あゆ萌えとか言ってたらヤバイ?:2001/08/23(木) 05:26 ID:???.net
うぅ... 原稿書いていたらこんな時間に。

他と比べてセキュリティに関して書かれていることが少ないし、そもそもCGIプログラマの平均レベルが低いからでは。(もちろん、すごい人も多いんだけど。) やっぱ地道に啓蒙していくしかないのかな。

----
WebProgとはちょっと外れるけど、こういうペーパー出てるので、読んでおくと良いかも。
Paper: HTML Form Protocol Attack
http://www.remote.org/jochen/sec/hfpa/

18 :名無しさん@お腹いっぱい。:2001/08/23(木) 09:53 ID:???.net
何これ? こええなー、がんばって読んでみよう  (悲
あんがと>JAPUたん  あゆ萌えはダメ! :-)

19 :JAPU@じゃ、スクルド萌えってことで。B-):2001/08/23(木) 20:36 ID:???.net
簡単に言えば、悪意あるフォームから SMTP / NNTP / IRC などのテキストプロトコルに対して送信できちゃうってことです。
気をつけなくちゃいけないのは、サーバ・ブラウザの作者とユーザなんで、ちょっとWebProgとは外れちゃいますけどね。

20 :名無しさん@お腹いっぱい。:2001/08/24(金) 02:10 ID:???.net
>>12
BBSに管理人のコメントがあったけど、レベルの低さに閉口だな。
いくつかスクリプト配布してるみたいだけど、あれも全部ダメなんだろうな。

21 :名無しさん@お腹いっぱい。:2001/08/24(金) 04:45 ID:???.net
クッキーってクライアントが申告する物だから比較的簡単に自分で値を設定できると思うんですけど、この考えは間違ってますか?
それ自体セキュリティーホールには成り得ないけれども、CGI等で認証後IDをクッキーで引き回してるだけのところとかあるんで大丈夫か?と思いまして。

22 :JAPU@でも、最近は千影たんが気になるんです:2001/08/24(金) 05:23 ID:???.net
>>21
その考えて正しいです。
QUERY_STRING とか、クッキーの値はまず疑うことから始めなくちゃダメよん。いくらでも自由に設定出来ちゃうから。

23 :21:2001/08/24(金) 06:05 ID:???.net
>>22
ですよね。
ありがとうございます。うやむやが解消されました。
でも、やっぱ巷にあふれるCGIってセキュリティー甘いですね。
どもです。

24 :名無しさん@お腹いっぱい。:2001/08/24(金) 06:25 ID:ULL5uXLk.net
>>20
俺も掲示板の管理人コメント見て藁った。
面倒くさかったら、GETメソッドはダメ、
POSTメソッドでもリンク元が自分のとこじゃ
ないとダメとか自分のIP以外はダメとか
何らかの手段があると思うんだけどね。

25 :名無しさん@お腹いっぱい。:2001/08/24(金) 07:21 ID:???.net
すいません。
>>POSTメソッドでもリンク元が自分のとこじゃないとダメ

これについて解決法が無くて困っています。
一般的にはHTTP_REFERERを見て自サイトかどうか確認しますよね?
でもHTTP_REFERERはクライアント申告だから偽れますよね?
なので困ってます。

昔はCookieで何とかなると思ってたんですけどクッキーもクライアント申告なんですよね。
REFERERとCOOKIEの実装で大概大丈夫だとは思いますが、中途半端な実装であることは間違いないですよね。

今まで中途半端な実装できたんですけど、解決策お持ちの方がいらっしゃったら教えてください。

26 :名無しさん@お腹いっぱい。:2001/08/24(金) 17:56 ID:cjfCNev..net
>>20

今のページ、派手に書き換わってるな・・
保存しとこ。
ttp://php.s3.to/

なぜかShift-JIS。

27 :名無しさん@お腹いっぱい。:2001/08/24(金) 18:02 ID:cjfCNev..net
>>25
いたずら「しにくく」することは出来るけどね。。

完全な実装は無理だと思う

28 :名無しさん@お腹いっぱい。:2001/08/24(金) 18:41 ID:ULL5uXLk.net
>>26
俺も保存した。ここまで来ると完全な犯罪だね(w

>>27
すっげー面倒くさいが、

ログイン→認証成功→認証成功したメールアドレス宛に
本ログイン用URLを送信→本ログイン→書き込み

最初のログイン時にIPとセッションIDを作成して保存して、
そのセッションIDを含めたURLで本ログイン。
もちろん、最初のログイン時と本ログイン時のIPが
同一であるかどうかをチェック。

これでどうだろ? 俺はイヤだ・・・

29 :名無しさん@お腹いっぱい。:2001/08/24(金) 20:43 ID:???.net
毎回hiddenでランダムキー吐き出して認証するとか
ダサいなー。。 (-_-

30 :名無しさん@お腹いっぱい。:2001/08/24(金) 21:00 ID:???.net
とりあえず、あれだけ派手にやられたってことで
あのサイトの管理人のスクリプトは危険性大という
ことでよろしいのでしょうか?

31 :名無しさん@お腹いっぱい。:2001/08/24(金) 21:18 ID:???.net
しかし、サーバー管理者ももう少し頑張って欲しいと思うね
適当にApache走らせてcgiに馬鹿みたいな権限与えてるサーバーが
何と多い事か、、、
しかも金取って運営してる有料サーバーだと言うから呆れてしまう
そんなサーバーでは全ユーザーのファイルunlinkする事も簡単に
出来てしまうだろう。
そんな所は絶対使う気になれないよ

32 :名無しさん@お腹いっぱい。:2001/08/24(金) 23:49 ID:???.net
>>28, >>29
もうちょっとスマートで現実的な方法ないですかね?
あきらめてbasic認証するか。

あんなページ書き換えて、なんか楽しいんですかね?
踏み台用にこっそりアカ持っとくってならわかるんだけど・・・。
あそこを書き換えるのが最終目標ってのがなんか気まぐれ犯行ですね。
練習ってのが妥当な解釈でしょうか?

33 :名無しさん@お腹いっぱい。:2001/08/25(土) 01:49 ID:???.net
>>31
激同
あったかい管理人になると「ユーザー同士は信頼関係で成り立ってますから」
とか、ほんとポカポカしたメッセージをくれたりするんだが(俺が実際喰らった)
こう言う鯖にはこれまたほんわかしたユーザーがevalてんこ盛りの
ファイラー置いてたりして、後者の存在する確立は限りなく100%に近いんだよね
こうなるとベーシック認証も糞もあったもんじゃ無くてテスト以外には
とてもじゃないけど使う気にならない。
むしろCGI止めて欲しいよね。借りるの止めるけど w

34 :名無しさん@お腹いっぱい。:2001/08/25(土) 01:57 ID:???.net
今度は写真の色がちょっと変わったね。
自分のサイトに興味がないんだか・・・

35 :33:2001/08/25(土) 02:03 ID:???.net
因みに中華鯖でUNIX互換使ってる所は(何故かNTが多いのだが w)
***非常に***そう言う所が多いです。
なま温かい目で見守ってやりましょう

36 :名無しさん@お腹いっぱい。:2001/08/25(土) 02:38 ID:???.net
↑  知ったかぶり厨房が居るね  プププ
お前が気にする程管理人は馬鹿じゃ無いから言ってみな
それとも薄っぺらい能書きがばれるのが嫌かい   pupu

37 :33:2001/08/25(土) 02:57 ID:???.net
ん? 俺の事を言ってるのかい
残念ながら、ケビンニトミックに憧れている若き戦士に捧げる
戦術は僕にはにゃぃ  ヽ(´ー`)ノ

cgiのセキュリティーに付いて知りたいならJAPUさんのサイト(一番上を良く見てね :−D )
や他のコマンドや汚染チェックの方法なんかを調べてみれば良い
中華鯖と言ったのが解りにくなったなら、服務器、免費、空間、UNIX、(木富)案、上載
なんかのKEYで探してみるといい、彼等が色んなスクリプトを動かしてるのが解るだろう

実は俺も知ったかぶりしてるだけなんで、これ以上聞かないでくれ (わ

38 :33:2001/08/25(土) 03:01 ID:???.net
s/ケビンニトミック/ケビンミトニック/; 寝よ、、

39 :名無しさん@お腹いっぱい。:2001/08/25(土) 07:08 ID:???.net
> ■ 2001/08/25(Sat) 05:25
> なんっつたりして。ネタです

そして苦しいイイワケ

40 :名無しさん@お腹いっぱい。:2001/08/25(土) 08:55 ID:???.net
暑いねえ
まだセミが鳴いてるわ   (ワラ
後1週間  か・・・

41 :名無しさん@お腹いっぱい。:2001/08/25(土) 09:17 ID:???.net
夏厨沸きまくりで2chも閉鎖らしいな
あーなむなむ

42 :名無しさん@お腹いっぱい。:01/08/29 05:27 ID:1UTTw6kk.net
ASPやPHP4はセッション管理が可能ですが、具体的にどのようにしているのでしょう?
Cookieを使ってるのは分かるのですが、自分のクッキーを発行されるたびに見ててもいまいち理解できないです。

知ってる人がいたら教えてください。

43 :名無しさん@お腹いっぱい。:01/08/29 05:37 ID:1UTTw6kk.net
すいません。
PHP4やASPは言語レベルでセッション管理の機能が提供されているのですね・・・。
Cookieとの関連が分からないのはあたりまえで、そもそも関連が無いんですね。

セッション管理のような概念の物をCで実装するにはどのような仕組みを実装すればいいのでしょうか?
ある程度セッションが正しく張れている保証が欲しいので単純なクッキーでは不安です。
良い方法は無いものでしょうか?

44 :名無しさん@お腹いっぱい。:01/08/29 06:17 ID:1UTTw6kk.net
http://corn.2ch.net/test/read.cgi?bbs=php&key=990627898&ls=50
があるけど解決して無いですね。

45 :名無しさん@お腹いっぱい。:01/08/30 23:22 ID:Nfn/L6PE.net
ttp://php.s3.to/
書き換えられている模様
ムーノーっぽくなっちゃってます

46 :名無しさん@お腹いっぱい。:01/08/31 00:28 ID:ui51vdtk.net
>45
これだけやられているのに全然防備しようという意識がないみたいですね。

これほどセキュリティーに鈍感な管理人なのに掲示板でオンライン
予約システムの構築を依頼している人がいて藁った。
自作自演だろうか? こんな管理人が作った予約システムなんて
個人データの流出が頻繁にありそうで怖いぞ。

47 :名無しさん@お腹いっぱい。:01/08/31 01:27 ID:bQeiim3I.net
>>45
あー、見れなかった。今みたらいつものTOPだった。
前の書き換えは管理人のジサクジエンってBBSに
書いてあったけど、また自分でやってんのかな・・・?
それとも、マジハクされたのを言い訳してるだけ?
あのページ、管理人がよく分からん。

48 :名無しさん@お腹いっぱい。:01/08/31 02:10 ID:PZKcVyBA.net
最近見つけた面白い秘孔。

 open(OUT,">./charalog/$in{'id'}.cgi");
で、北斗神拳スクリプト。
http://www8.tok2.com/home/onemu/

49 :名無しさん@お腹いっぱい。:01/08/31 06:09 ID:xPEo4xH2.net
やっと気付いたみたいだな、、SSIもこええなー

50 :と言うか・・・・:01/08/31 07:05 ID:.jMWjKYg.net
方法も論ぜずに、php.s3.to/は糞だの、スクリプトもやばいねだの
言うのはここが2chだからか?
それともスクリプトクレクレ君しか見てないのかこの板は・・・
こんなこと言うと降臨とか言われるんだよなー
いやちょっと気になったんでね 鯛は無いです

51 :名無しさん@お腹いっぱい。:01/08/31 11:03 ID:pfDOYTd..net
ここで方法を論じたとしてその方法がここに書かれたら
どうなるか想像できない?

52 :名無しさん@お腹いっぱい。:01/08/31 11:11 ID:D5v3hjIY.net
php.s3.to管理人現る。

53 :と言うか・・・・:01/08/31 14:48 ID:xPEo4xH2.net
>>51
うん、まあ良く考えればそうよね。
ちょっとくらい漠然とした話でも出来ないかなと思ったからさ
でも上の方読んで分かったよ  w
結局この板を読んでる人はまともな人が多そうだけど
書き込むの批判屋と厨房とクレクレ君が圧倒的に多いんだよね
しかしpass抜かれてるだろうに、余裕だね。。。
あ、もう辞めるっす  (^^

54 :と言うか・・・・:01/08/31 14:52 ID:xPEo4xH2.net
オカマか漏れは。。。 =>そうだよね

55 :名無しさん@お腹いっぱい。:01/09/01 19:12 ID:O2LnlNbc.net
>53
>しかしpass抜かれてるだろうに、余裕だね。。。
これなんだけど、
ttp://php.s3.to/simple/source.php
このsource.phpのソース見てみると、(ttp://php.s3.to/simple/source.php?source.php)

> if (ereg("^[^\.]*(\.php3?|\.inc)$",$QUERY_STRING)) {
こんな感じで汚染チェックらしきことやってるんだけど、
先頭が "/"の場合を考えてないから、
絶対パス(/home/php/public_html/・・・)で指定すれば、
.phpであれば何でもソースが見れちゃうわけ。
で、
ttp://php.s3.to/simple/source.php?/home/php/public_html/update.php
こんな感じで逝けば、ソースが・・・

なぜかパスワードは生だし。。

56 :55:01/09/01 19:15 ID:O2LnlNbc.net
追記。
ttp://php.s3.to/simple/source.php?aaaa.php
みたいに、存在しないものを開こうとすると、、
エラーが出る(ってこのあたりもエラー処理やってないし、ダサいけど)
から、その中にフルパスが書かれてるし。

57 :名無しさん@お腹いっぱい。 :01/09/01 19:51 ID:EyspkUdI.net
なんでそんな事を。。。

58 :名無しさん@お腹いっぱい。:01/09/01 19:58 ID:qTmlYOPM.net
こうして今日も名無しは人の為に無償で働くのであった。

59 :名無しさん@お腹いっぱい。:01/09/01 20:02 ID:EyspkUdI.net
一応メールにて報告しておきました。

60 :名無しさん@お腹いっぱい。:01/09/02 00:13 ID:EuE1F3p..net
少し上の方でも書かれてますが、同じサーバーのユーザー(と思われる)
に困っています。初めは穴の有るスクリプトが原因と思われるファイルの
削除などの被害だったんですが、今はどうやらcgiでやられている様です
しょうも無い閑古鳥サイトなのに。。。。 (鬱

それで、自分なりに色々考えてリンクを貼って本体は別のディレクトリに
置いたり、普段はパミを落しておいて書き換え時だけchmodしたりして
みたんですが、決定的では無いです
て言うか人のスペースを変なファイルでパンパンにすんなーー!!

setuExecされて無いサーバーで、自分のファイルを守る手段は
無いでしょうか? 防御方法を話しませんか

あ、そのしょうも無いWEBは現在安全なサーバーに引っ越したです ^^

61 :名無しさん@お腹いっぱい。:01/09/02 18:05 ID:EuE1F3p..net
今読み返してみたけど、良く考えたらsuidされないって事は
誰のスクリプトで同じgid.uidで動いてる(httpとか?)んだから
無理に決まってますね、何をトチ狂った事言ってるんだろ。。

サーバー屋さんにもポリシーとか有ると思うんですけど、
suidしないでCGI走らせてるのは、何か意味があるのかな
一昔前はsuidする事で色々不具合が有ったとか聞きましたけど

62 :名無しさん@お腹いっぱい。:01/09/03 13:04 ID:q4PFiNww.net
上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
+環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが

63 :名無しさん@お腹いっぱい。:01/09/03 13:04 ID:5EXVIAGY.net
上の方で書かれてるセッション管理ですが、24h.co.jp(フリーメール)
の管理方法は固そうじゃ無いですか?
入り口がベーシック認証なのはアレですけど、ログイン後は毎回hidden key
+環境変数色々で管理してる様です。よってクッキーも不要
昔、クッキー無し && uidと日付けがメールのURIとか、凄い所があった時から
このシステムでした。個人的にかなり信頼してるんですが

64 :名無しさん@お腹いっぱい。:01/10/07 17:57 ID:???.net
perlCGIでセッション管理の良い方法は有りますか?
今は生パスをhiddenで吐いてるんですが、色々有って辞めたいんです

65 :名無しさん@お腹いっぱい。:01/10/07 18:52 ID:???.net
Apache::Session

66 :こんなのはどう?:01/10/08 01:17 ID:???.net
nobodyな駄目鯖でもそこそこ安心になって欲しいと思って昔書いた
I/F的にどうしてもGETを使いたかったから。

パス合致でセッション開始→ランダムKEY作成(KEY1)→暗号化(CRYKEY1)
session.txtにCRYKEY1を保存、→session.txtのstat[8](KEY2)を取得→
これを暗号化(CRYKEY2)してクッキーに焼く
KEY1をGETで渡すパラメータに使う

後は全部合致ならOK、
クッキーに焼いた最終アクセス時が合致しなかったら(だれかがCGIで覗いたら)バイバイ
KEY1照合して駄目でもバイバイって感じ
更にExpireを短めにしたり、hostとかも記録してたなあ、、
勿論パケット拾われたら意味ないけど w

でもサーバー時計狂ってるって信じられない某無料鯖が
あったりで苦情殺到したんでムカついてGETで生パス垂れ流しに変更して配布辞めた w

67 : :01/10/08 01:52 ID:???.net
そんな事より66よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
昨日、鏡見たんです。鏡。
そしたらなんかめちゃくちゃ不細工な奴がっ映ってるんです。
で、よく見たら、いや、よく見なくても、それ俺なんです。
もうね、アホかと。馬鹿かと。
俺な、不細工にも程があるだろうが、ボケが。
超不細工だよ、超絶不細工。
なんか頭も薄くなってるし。デブ、ハゲ、オクメ、ニジュウアゴの4重苦か。死にて―よ。
子供が見たら泣き出すの。もう生きてらんない。
俺な、こりゃ人間の顔じゃねえぞ。猿だぞ。
顔ってのはな、もっと人間っぽくしてるべきなんだよ。
Uの字テーブルの向かいに座った奴がいつ気分悪くなってもおかしくない、
吐くか殴られるか、そんな顔じゃねーか俺は。女子供は、すっとんで逃げる。
で、やっと落ちついたかと思ったら、俺、鏡にむかって、ファイト、とか言ってるんです。
そこでまた自己嫌悪ですよ。
あのな、キャンディキャンディか俺は。ボケが。
二目と見られぬ顔して何が、ファイト、だ。
俺は本当に人間なのかと問いたい。問い詰めたい。小1時間問い詰めたい。
俺、進化の歴史から取り残されてるんちゃうんかと。
クロマニョン人の俺から言わせてもらえば今、俺の間での最新流行はやっぱり、
整形、これだね。
整形失敗ギョクサイ。これが俺の生きる道。
整形っては金がかかる。そん代わり成功率が少なめ。これ。
で、それに韓国エステ(ぼたくり)。これ最強。
しかしこれをやっちまうと人間でないことを完全に認めてしまう、諸刃の剣。
真人間にはお薦めできない。
まあお前ら真人間は、俺のぶんまで幸せになってくださいってこった。

68 :名無しさん@お腹いっぱい。:01/10/09 22:42 ID:eV573JsY.net
adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll

ある安全保障局系のサイトにアクセスしてから、
不正アクセスが増えたのです。
変に思い調べたら、
こんなファイルを植え付けられました。
スパイウエアらしいのですがウイルスバスターは認識せず、
手動で削除しました。
CIA系のHPは危険みたいです。

69 :名無しさん@お腹いっぱい。:01/10/09 23:04 ID:???.net
>>67
バクショウシタ(w

70 :名無しさん@お腹いっぱい。:01/10/14 19:20 ID:G+Oqantk.net
PKIをやってる会社もこんなもんか。
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/10.html#20011009_baltimore

71 :JAPU ◆JAPUTeX. :01/10/19 14:46 ID:???.net
/FYI/

PHP variables passed from the browser are stored in global context
http://www.kb.cert.org/vuls/id/847803

何でもデフォルトではURLで渡された値がグローバル変数に入る。
この動作を変更しておかないと外部から様々な操作される危険も伴う、諸刃の剣。
素人にはお薦め出来ない。

ってことで合ってる?

# メイドさんベストも買ってきたことだし、寝るー

72 :名無しさん@お腹いっぱい。:01/10/19 15:37 ID:???.net
ちゅうか、PHPってTaintチェックとかは無いの?

73 :名無しさん@お腹いっぱい。:01/10/20 01:07 ID:???.net
メイドさんベストって何だ〜〜〜〜〜〜〜〜〜!?

74 :JAPU ◆JAPUTeX. :01/10/20 01:17 ID:???.net
>>73
http://www.hobibox.co.jp/products/swaf/swaf_me/
しかしこれを買うと次から店員にマークされるという危険 (以下略)

75 :ちょっと遅いけど一応:01/11/21 02:57 ID:/hKlGx5U.net
ActivePerlにバッファオーバーフロー問題が発覚
http://slashdot.jp/article.pl?sid=01/11/20/0418200&mode=thread

76 :名無しさん@お腹いっぱい。:01/12/13 23:03 ID:zgPJrrI6.net
これ、ここの人なら前から気付いてたんじゃない?
DLしちゃうんだよなぁ・・・・
http://slashdot.jp/article.pl?sid=01/12/12/229254&mode=thread

77 :名無しさん@お腹いっぱい。:01/12/17 16:48 ID:???.net
あほがpostバグ付いてるね age

78 :名無しさん@お腹いっぱい。:01/12/17 18:01 ID:???.net
>77
裏2chの事?(笑
ちょっと見たけどスクリプト使ってるみたいだね。
取り合えずJavascript関連全てOFFを呼びかけるしか無いんじゃないかな
実際問題そろそろ2chにも認証コードが必要な段階だと思う。
IEにはもう一つこわ〜〜ぃ仕様が潜んでるからね(笑
こっちはセキュリティーレベル関係無いし・・・

79 :名無し:01/12/18 04:45 ID:???.net
>>78
罠が起動するのはIEだけだよ。
NetscapeやOperaじゃJavaScriptのイベントが起動しないので
書き込まれない。ってこの部分はWeb制作板だーね。

80 :仕様書無しさん:01/12/18 06:16 ID:???.net
>79 問題なのはIEだと静的なhtmlで同等の事が出来てしまう所だ
78もその辺りを言ってるんだと思う。
何時か来るとは思ってたが、こう言う事する奴はそのうち気が付いて
しまうからね。

81 :しぽなし〜:01/12/18 07:40 ID:???.net
IEのお節介機能(何でも補完何でも解釈)はもはや犯罪
でも一番使いやすいんだよなぁ。。。。

82 :名無しさん@お腹いっぱい。:02/01/30 16:57 ID:???.net
あげよう。

83 :名無しさん@お腹いっぱい。:02/02/10 09:52 ID:???.net
そうだね。

84 : :02/02/17 15:24 ID:4sbq6zfT.net
白痴西村読みなさい D-Bornで攻撃してるのは私です
http://qb.2ch.net/test/read.cgi/accuse/1013447591/l50
<アース神族軍メンバー一覧表>
氏名     役職       種族    領地     神格 HP メール 現住所 
Messiel  リーダー   アース神族  八畳程度    二  ○  ○  東京都府中市
ネオ麦茶  エインフェリア  人間  実家に自室あり /  ○  /  京都府医療少年院
むねお   エインフェリア  人間    不明      /  ○  /   不明
神風    エインフェリア  人間    不明      /  /  ○  兵庫県神戸市
たかし   エインフェリア  人間    不明      /  /  /  大阪狭山市
テキーラ  エインフェリア  人間    不明      /  /  /   不明
佐々木   ヤクザ      人間    不明      /  /  ○   北朝鮮
木村    ヤクザ      人間    不明      /  ○  /  東京都荒川区東日暮里
(´ー`)y−~~~トイレ掃除   人間    不明      /  /  /   不明
あひゃ   調理師      人間    不明      /  ○  ○  愛知県半田市


85 :名無しさん@お腹いっぱい。:02/02/19 17:09 ID:???.net








げ。

86 :名無しさん@お腹いっぱい。:02/02/19 19:22 ID:KfIYHh+M.net
人んちのプロクシ―を勝手に使うのって
なんかの法に抵触する行為?

87 :名無しさん@お腹いっぱい。:02/02/19 19:27 ID:???.net
>86
パスワードかかってたらね。

88 :名無しさん@お腹いっぱい。:02/02/19 19:34 ID:KfIYHh+M.net
>>87
サンクス。つまりパス掛かってなければ合法と・・・φ(..)メモメモ
8080とか3128とかアリキターリなポート使ってるところは
バンバン使って良しですね!サンクス!

89 :名無しさん@お腹いっぱい。:02/02/21 01:37 ID:Jl0qH0YL.net
ジオシティーズが落ちているようですが、これは
だれかが攻撃したのでしょうか?

90 :名無しさん@お腹いっぱい。:02/02/21 20:21 ID:???.net
セッション管理が甘くて個人情報が漏れた?
http://pc.2ch.net/test/read.cgi/mobile/1012982631/n410-
かわいそうな山田くん…。

91 :名無しさん@お腹いっぱい。:02/02/21 21:48 ID:???.net
>>90
まあ、これは違法アクセスには該当しない好例だね。
ただのリンクだからな。


92 :串厨逝ってよし ◆JAPUTeX. :02/02/27 23:55 ID:???.net
/FYI/

Multiple Remote Vulnerabilites within PHP's fileupload code
http://security.e-matters.de/advisories/012002.txt


93 : ◆JAPUTeX. :02/03/01 00:47 ID:???.net
みんなセキュリティには興味無いのかなぁ。

ちょっと古いけど BUGTRAQ より:
mod_ssl Buffer Overflow Condition
http://marc.theaimsgroup.com/?l=bugtraq&m=101484301309557


94 :ガイシュツかなぁ:02/03/03 20:41 ID:???.net
フォームメールのスクリプトとかでさぁ、
sendmailの標準入力に、(submitするデー
タに改行を入れて)外部から宛先を仕込
めるスクリプトが結構あるような気がす
るんだけど、あれってスパムの送信に使
われたりしないのか?

95 :nobodyさん:02/03/03 20:44 ID:???.net
>>94
そのスクリプトが世の中に出た頃からガイシュツです

96 :94:02/03/03 20:49 ID:???.net
>>95
うぇ、そうなんですか。
「これって大発見!」って思った
漏れは逝ってヨシだな。

97 :nobodyさん:02/03/04 11:06 ID:???.net
http://www.ipa.go.jp/security/awareness/vendor/programming/index.html
結構役に立つと思う。

98 :nobodyさん:02/07/20 13:26 ID:ttoiziGE.net
OfficeタンレッツPHPにキレてます。
http://www.office.ac/tearoom/noframe.cgi#No.962


99 :nobodyさん:02/07/22 13:08 ID:???.net
メールフォーム1つ直せない総務省マンセー!
什器ネットマンセー!

100 :nobodyさん:02/07/22 13:38 ID:anf0ZJkj.net
>>98
レッツPHPが昔やったIP抜きには萎えた

101 :nobodyさん:02/07/23 03:02 ID:???.net
http://online.securityfocus.com/archive/79/277154

ショピングカートのもろよわ性キタ━━━━━━━(゜∀゜)━━━━━━━!!
実はコマンドも飛ばせる様で大変な事になってまつ

102 :nobodyさん:02/07/23 03:38 ID:n0NOCmVf.net
>>101
半分以上化け化けで読めないのでなんとかしていただけませんか?

103 :nobodyさん:02/07/23 07:49 ID:???.net
>>101
おまえ読めるのか。
化け化けで全然わかんねーよ。

104 :nobodyさん:02/07/23 10:12 ID:???.net
禿げ同

105 :nobodyさん:02/07/23 10:45 ID:???.net
PHP4.2.0,4.2.1にセキュ穴見つかったらしいから
オマエラとっとと4.2.2にあげませう.

106 :nobodyさん:02/07/23 15:06 ID:???.net
>>103
ああーバカには読めないみたいだね

107 :nobodyさん:02/08/07 16:19 ID:npc3aggE.net
あげ

108 :nobodyさん:02/08/07 16:32 ID:j7/wvgk/.net
ちうか、レッツPHP,半角カタカナ使ってる時点でおわってないか?

109 :名無しさん@Meadow:02/08/07 22:52 ID:???.net
適切なcharsetを指定すれば、半カナを使ってもなんら問題ありません。

110 :nobodyさん:02/08/07 23:09 ID:???.net
CGI program security advisories
http://ch2.s2.xrea.com/source/035.txt



111 :nobodyさん:02/08/20 14:44 ID:???.net
----

112 :山崎渉:03/01/15 13:51 ID:???.net
(^^)

113 :nobodyさん:03/01/29 18:20 ID:???.net
>>108
なんでやねん?
別におかしくないと思うが?
半角カタカナコードをちゃんと持っているキャラクタエンコードで
ドキュメント書いてあるじゃん。
今時Shift_jisに対応できないブラウザも皆無だしね。
だから>>108はもちっと勉強してきなさい。

114 :nobodyさん:03/01/29 18:23 ID:???.net
PHPのポートスキャナを自鯖に来た客人に使えるように
してあるのだが、まずいか?

115 :nobodyさん:03/01/29 21:37 ID:???.net
メール送信プログラムを誰でも誰宛にも使えるように
してあるのだが、まずいか?

116 :nobodyさん:03/01/29 22:58 ID:???.net
PHP版探検君を誰でも使えるように
してあるのだが、まずいか?

117 :nobodyさん:03/02/25 20:10 ID:???.net
この板にJAPUたんもういないのかな。

118 :山崎渉:03/03/13 17:23 ID:???.net
(^^)

119 :山崎渉:03/04/17 12:22 ID:???.net
(^^)

120 :山崎渉:03/04/20 06:12 ID:???.net
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

121 :山崎渉:03/05/22 02:14 ID:???.net
━―━―━―━―━―━―━―━―━[JR山崎駅(^^)]━―━―━―━―━―━―━―━―━―

122 :山崎渉:03/05/28 17:14 ID:???.net
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

123 :100 ◆at3WtOaT8I :03/06/25 18:32 ID:???.net
>>116
禿同

話変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

 このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF7のように。

突然こんな事言い出してごめんなさい・・・

124 :山崎 渉:03/07/15 11:20 ID:???.net

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

125 :山崎 渉:03/08/02 02:32 ID:???.net
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

126 :ぼるじょあ ◆ySd1dMH5Gk :03/08/02 05:09 ID:???.net
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

127 :nobodyさん:03/08/12 13:00 ID:qodMea/v.net
あああ

128 :nobodyさん:03/08/12 13:13 ID:4SueGnu3.net
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
★☆ 夏休みは GETDVDで 満喫・満喫!   
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆
☆★ 送料激安!!  送料激安!!  送料激安!!
★☆      http://www.get-dvd.com      
☆★  激安アダルトDVDショップ        
★☆    お買い得!! 1枚500円〜 急げ!   
☆★    インターネット初!「きたぐに割引」  
★☆    北海道・東北の皆様は送料も激安!   
☆★      http://www.get-dvd.com      
★☆        スピード発送!        
☆★      http://www.get-dvd.com      
★☆        商品が豊富!         
☆★      http://www.get-dvd.com      
★☆                       
☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆

129 :nobodyさん:03/08/12 13:28 ID:???.net
ああああああ

130 :nobodyさん:03/08/14 21:46 ID:1oiwHjhP.net


131 :nobodyさん:03/08/14 21:46 ID:1oiwHjhP.net
あえ

132 :nobodyさん:03/08/14 21:46 ID:1oiwHjhP.net
あえr

133 :nobodyさん:03/08/14 21:46 ID:1oiwHjhP.net
あえrg

134 :nobodyさん:03/08/14 21:46 ID:1oiwHjhP.net
あえrgs

135 :nobodyさん:03/08/14 21:47 ID:1oiwHjhP.net
あえrgsx

136 :山崎 渉:03/08/15 22:31 ID:???.net
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

137 :nobodyさん:04/03/23 22:44 ID:QuSZZVdw.net
自サイトのページに以下のように外部サイトのスクリプトを読み込んでアクセスログを取ってます。
<img src="http://www.hoge.com/fuga.php">
しかし、ブラウザのステータスバーの地球マークの左横に
赤い「セキュリティレポート」のマークが出てしまいます。
外部スクリプトの何が原因でこれが出るのでしょうか?
出さない方法を知りたいです。
外部スクリプトで行っているのは、閲覧者のIPアドレス、ユーザーエージェントを取得して、
DBに保存しているだけです。Cookieの取得はやっていません。


138 :nobodyさん:2005/08/09(火) 19:39:08 ID:7ru0P+Yn.net
おい、おまいら。
今なら、はてなダイアリーにて、ウザいキーワードをこっそり削除できますよ?
----
naoya 『キーワード登録の際のPOSTの中身に、cnameとoldcnameというのがあって、
 これらが異なっていればカテゴリ移動と判断されて「change category to」扱いになります。
 つまり、もともと削除予定キーワードであっても、oldcmaneをウェブとかにして、
 cnameを削除予定にすれば、 change category to 削除予定キーワードが連続で
 記録されることになります。』 (2005-08-08 13:15:43)
naoya 『ということは逆に、削除予定にしたいけど編集者に通知メールを送りたくない、
 という場合には、oldcname,cnameをともに削除予定にしてしまえば
 (change category扱いにならないので)よいわけです。』 (2005-08-08 13:17:36)
----


139 :nobodyさん:2005/08/10(水) 03:44:35 ID:???.net
>138
http://i.hatena.ne.jp/idea/4775

140 :nobodyさん:2005/10/29(土) 01:57:47 ID:???.net
初歩的なことで申し訳ないですが
isapiフィルタを使って、もしくは何かしらのフィルタをかけて
querystringの特定文字列をreplaceする方法ってどうやりますか?
サニタイジングを一括で出来ればいいなと思ってまして。
またpostの場合も同様の処理は出来ますか?


141 :nobodyさん:2005/11/03(木) 00:32:17 ID:TOE31wc5.net
PHPに深刻な脆弱性がある事が発表されました。今まで見つかったPHPの脆弱性の中でも「最悪」の脆弱性です。全てのPHPユーザは今すぐ対処を行う必要があります。

142 :nobodyさん:2005/11/04(金) 13:35:35 ID:Q76NS+42.net
PHPに“最悪”のセキュリティ・ホール,全ユーザーは今すぐ対処を
http://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/

Fedora core3の場合はどうすればいいんだろう。
RPMがどこかで公開されているのだろうか、それとも自分でmakeとやらを
しなければいけないのだろうか。
自鯖ってこういう時に困る。

143 :nobodyさん:2005/11/04(金) 13:39:36 ID:8vYWqcZu.net
User-Agentをサニタイズしてないスクリプトが多すぎ

144 :nobodyさん:2005/11/04(金) 19:48:30 ID:???.net
Cookieもね。

145 :nobodyさん:2005/11/05(土) 08:44:47 ID:???.net
$HTTP_COOKIE_VARS = array_map('htmlspecialchars', $HTTP_COOKIE_VARS);
$_SERVER = array_map('htmlspecialchars', $_SERVER);

これでおk?

146 :nobodyさん:2005/11/05(土) 08:52:14 ID:???.net
ありゃ、2行目でエラー出た。

User-Agentだけでも大丈夫かなあ。

147 :nobodyさん:2005/11/05(土) 09:40:45 ID:???.net
>>146
$_SERVER['PHP_SELF'] はサニタイズ必要

148 :nobodyさん:2005/11/05(土) 11:44:15 ID:???.net
>>145
$_SERVER使うなら$_COOKIEの方がいいんじゃない


149 :nobodyさん:2005/11/05(土) 11:46:22 ID:???.net
$HTTP_COOKIE_VARS 使うなら $HTTP_SERVER_VARS 使え、と

150 :nobodyさん:2005/11/05(土) 17:49:34 ID:???.net
htmlspecialcharsよりむしろコントロールコードのほうがヤバイんだけど・・・
改行、ヌル、タブが送られてきてもそのスクリプトは大丈夫かい?
HTTPヘッダが丸見えになったり、ブラウザが真っ白になったり、データファイルが破壊されたりしないかい?

151 :nobodyさん:2005/11/07(月) 12:46:07 ID:X4GSH3T+.net
俺はある共有レンタル鯖を借りてるんだが、

ttp://itpro.nikkeibp.co.jp/article/NEWS/20051102/223939/
上のソース付きで
PHPのセキュリティホールが見つかったのでバージョンを上げてくれって
メールを4日ほど前に送ったんだが、未だに返事が無い・・・
うかつにバージョン上げたら、既に動いているスクリプトに影響があるので
対応が難しいのは判るんだが、セキュリティホールに対して対応するのは鯖屋の
義務じゃないのだろうか?
サーバがダウンするようなスクリプト組めば、鯖屋も対応してくれるかな?

152 :nobodyさん:2005/11/07(月) 13:38:08 ID:???.net
WADAXは問答無用でバージョンアップの連絡が来た。
ECとかで不具合起こした会社とかってあるのかな。
こういうことがあると商用の共有サーバはリスキーだね。

153 :nobodyさん:2005/11/07(月) 15:18:16 ID:ST4RY6Ao.net
つい最近まで、悪質なJavaスクリプトを作成して、個人を笑いものにしていたサイト
http://members.jcom.home.ne.jp/j-bridge/
http://j-bridge.da.tvdo.net/cam.htm

154 :151:2005/11/09(水) 13:23:07 ID:???.net
PHPのメーリングリストに、本日付で大垣氏よりPHP4.4.0以下のセキュリティホールに
ついてのまとめが投稿されたようです。

ttp://ns1.php.gr.jp/pipermail/php-users/2005-November/027936.html

思ったよりたいした事無いのかな?
register_globals = offなら、問題ないということで。


155 :nobodyさん:2006/01/04(水) 23:40:24 ID:???.net
なんて過疎スレなんだ。

PHPがいかにセキュリティ的にダメダメかを物語っているな。'

156 :nobodyさん:2006/01/05(木) 16:37:59 ID:pttN5xUJ.net
cookieを自動で[deleted]とかって書き換えるようなソフトってある?
漏れが発行したcookieが結構な確率でdeletedってなってるみたいなんだけど・・・

157 :nobodyさん:2006/01/09(月) 02:15:18 ID:???.net
過疎スレだとセキュリティ的にダメな言語??

158 :nobodyさん:2006/01/22(日) 15:58:21 ID:WlGV7h6d.net
>>157

1 PHP
2 Perl
3 C

159 :nobodyさん:2006/02/14(火) 03:26:25 ID:???.net
色々読み漁ってみたり、人に話し聞いてみたりしたけど、
イマイチ自信が持てないセキュリティー

これを押さえとけってのがあるといいんだがなぁ

160 :nobodyさん:2006/03/03(金) 23:25:40 ID:R8+Du6gi.net
>>159
http://takagi-hiromitsu.jp/diary/20060129.html#p01

161 :nobodyさん:2006/03/28(火) 20:10:52 ID:fZ61wIgX.net
はてなAPIを調べていて、気になった事が。
認証時に送るデータのひとつに、PasswordDigest というものがあって、
「Nonce, Created, パスワード(はてなアカウントのパスワード)を文字列連結し
SHA1アルゴリズムでダイジェスト化して生成された文字列を、
Base64エンコードした文字列」という説明があります。
自分のパスワードに色々文字列をくっつけた、ハッシュ (ダイジェスト) 値って事ですよね。

という事は、正しいかチェックするには生パスワードが必要になるわけですよね。
つまり、はてなのサーバ側ではパスワードの管理を、ハッシュ値ではなくて、
元の文字列そのままデータベースに保存している、と。

話にならないセキュリティですね。
WEB2.0だアジャイルだと寝言ポエム唱える前に、基礎的な技術を習得すべきですよ。

162 :nobodyさん:2006/03/28(火) 23:09:15 ID:???.net
コピペを得意に語るなよ

163 :nobodyさん:2006/04/09(日) 04:27:52 ID:???.net
WEB2.0 = アジャイル = 寝言ポエム

164 :nobodyさん:2006/05/05(金) 04:48:24 ID:0pIEn1FP.net
上げるわよ

165 :nobodyさん:2006/05/05(金) 21:35:35 ID:DVXSQw0s.net
>>164
お前なんでこんな面白スレ、今まで隠してたんだよ。
>>161には大笑いさせてもらった。さすがwebprog板、香ばしさが一味違う。

166 :nobodyさん:2006/05/21(日) 06:36:50 ID:???.net
>>161の件について回ってみたら、パスワードを使い回してる香具師は馬鹿だから何の問題もないとか、
費用対策効果を考えると順当だとか、問題視することかなぁ、とか書いてあるが、
問題なく出来ることをしないのは訳が分からない。
アホか?とか思うんだけど、俺がアホなんでしょうか。

167 :nobodyさん:2006/05/21(日) 09:25:22 ID:???.net
>>166
大丈夫、俺もアホさ。

168 :nobodyさん:2006/05/23(火) 22:37:52 ID:???.net
Fujitsu MyWeb Products SQL Injection Vulnerabilit
ttp://secunia.com/advisories/20178/
CRITICAL: Moderately critical
SOLUTION: Contact the vendor for updated versions. ttp://www.myweb-jp.com/resq/

169 :nobodyさん:2006/05/30(火) 08:23:54 ID:???.net
hana=mogera

170 :nobodyさん:2006/08/03(木) 06:41:53 ID:HjJyuduF.net
メール送信プログラムのセキュリティについて。

昨夜、うちのメールフォームから10通連続で変な送信がありました。
遅れないはずの BCC やら CC に宛先を加えているのです。

ヤフってみたら同じようなのが数件出てきました。
CC:buletmann@aol.com
BCC:buletmann@aol.com

ttp://search.yahoo.co.jp/search?p=buletmann@aol.com

これは、スパムの中継にしようとしてるのでしょうか?

171 :170:2006/08/03(木) 16:16:35 ID:R1Mf9tar.net
誰か教えて下さい。これは危険なんですか?
CGIのセキュリティホールを突かれてる?



172 :nobodyさん:2006/08/03(木) 22:31:38 ID:???.net
>>170
まずメールフォームに使ってるCGIとそのバージョンを書け。
世の中にメールフォームがどれだけあると思ってるんだ。

173 :nobodyさん:2006/08/04(金) 15:33:16 ID:???.net
そもそもそれは本当にメールフォームからなのか

174 :nobodyさん:2006/08/07(月) 16:33:42 ID:yYQHYFxU.net
サーバ上に置いたデータファイルを不特定の第三者に
閲覧されないようにするためにすべき常套手段ってどんなの?
「オレはこうやってる」というのでも良いので披露して下さい。

1.htaccessでCGI等からしかアクセスできないよう制限をかける。
2.拡張子をcgiにする(必要に応じてパーミッション変更)。
3.上記併用。
4.その他。

ちなみに、1と2だとどっちの方が強固?

175 :nobodyさん:2006/08/07(月) 18:19:46 ID:???.net
ドキュメントルートの上の階層に置く

176 :nobodyさん:2006/08/07(月) 19:31:48 ID:???.net
ディレクトリのパーミッションを700にするのもあり。
拡張子をcgiにするのは格好悪いからやめたほうがいいんじゃないかな。

多くのHTTPDでは.で始まるファイルはインデックスに表示されないし
標準的なApacheなら.htで始まるファイルは Deny from all なので
.htmydataみたいなファイル名にするのが俺的おすすめ。
でも他人の管理が前提なら必ず.で始まるファイルが作れないと言ってくるので
やめたほうがいいと思うけど。

177 :nobodyさん:2006/08/07(月) 20:35:39 ID:???.net
>>175か、別サーバのDBMSに突っ込む

拡張子を.cgiにするのはクズ

178 :174:2006/08/08(火) 15:52:09 ID:x4/Y+pQ1.net
レスありがとうございます!
自分の知識の低さを露呈してしまって恥ずかしい限りです。

>>175
うぅむ、確かにそれが一番手っ取り早くて安全かも。

>>176
詳しいアドバイスどうもです!
レン鯖なんかだと無作法な覗き屋さんが居たりすることもあるっぽいので
拡張子をcgiにしとけばcsvやdatなんかよりは多少なりともカモフラージュになるかな、
という理由もあって、おまじないのような感じでcgiにしてる。
でも、やっぱカコ悪いよね・・・。

>.htmydataみたいなファイル名にするのが俺的おすすめ。
こんな発想微塵もなかった!すごい!
Windows環境で直接データファイルを扱うときのことや
レン鯖のことを考えると汎用性は若干落ちるけど、
現状では問題ないので、さっそくマネさせてもらいます。
でも、
>ディレクトリのパーミッションを700にするのもあり。
これが一番簡単な気がする・・・。けど磐石ではない?

>>177
>別サーバのDBMSに突っ込む
これだと、第三者はパスもほぼ推測不能だし最強だなぁ。
でも、セキュリティと手間とを天秤に掛けると個人的には気後れしちまう。
いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり?

179 :nobodyさん:2006/08/08(火) 23:18:27 ID:???.net
>>178
>いわゆる一流企業の個人情報管理とかだとこんなの当たり前だったり?

それ以上。暗号化して格納してたりする。鯖ごと持ってかれても解読不能。

180 :nobodyさん:2006/08/09(水) 00:11:30 ID:???.net
拡張子cgiは格好悪くとも実用的で実際に効果がある方法だろ。
保険という意味でも悪くないと思うがな。
phpだと大規模なフレームワークやオープンソースプロジェクトも同じ対策取ってるし。

181 :nobodyさん:2006/08/09(水) 17:12:26 ID:???.net
そもそも拡張子cgiがなぜ格好悪いのか理解できないオレガイル。
既存のシステムだけでこと足りて、その利点をうまく流用した評価すべき例だと思うんだが。
無知なクライアントに対してはとりあえず使っとけ、みたいな感じはするけど、
そんなとこから「格好悪い」というイメージが出たのかな。

182 :nobodyさん:2006/08/09(水) 22:11:43 ID:???.net
セキュリティを考えた場合は、拡張子がなんであれ、
サーバのドキュメントルートの配下に、
不特定の第三者に、見られて困るような情報を、置くべきではないです。

183 :nobodyさん:2006/08/09(水) 22:20:21 ID:???.net
そうは言っても無料スペースはpublic_htmlだけだからなぁ。

上の例は極端ですが、前提条件を明確にせずに言い合いしても
意味ないですよ。セキュリティーは青天井ですから。

184 :nobodyさん:2006/08/09(水) 22:46:28 ID:???.net
仕様外の動作が偶々動いているだけだから。

cgiという拡張子で実行ビットが立っていないものは、そのまま
送信するという動作に、突然変えられたらどうする気だ?

185 :nobodyさん:2006/08/11(金) 22:16:49 ID:???.net
正攻法とか裏技とか原則とかそういう観念的なことは別にして、
実際のところドキュメントルート下に置いてある拡張子cgiのファイルを
悪意の第三者が見ることは可能なの?

186 :nobodyさん:2006/08/11(金) 23:10:30 ID:???.net
>>185
>正攻法とか裏技とか原則とかそういう観念的なことは別にして


そこを別にされるとなんとも答えようが無いが、何も対策してなければ
覗き見自体はいくらでも可能。

187 :nobodyさん:2006/08/12(土) 00:37:16 ID:???.net
条件設定していない設問は無意味。

188 :nobodyさん:2006/08/12(土) 01:30:13 ID:???.net
あと、安全性の議論で言うところのリスクとハザードみたいな考え方も大事だな。

189 :nobodyさん:2006/08/13(日) 01:45:24 ID:???.net
議論のための議論になってるな。

190 :nobodyさん:2006/08/13(日) 16:33:52 ID:???.net
素人の見解であることをあらかじめ断っておきます。
間違いがあれば容赦なく訂正してください。

>>185
187の言う通り条件による。拡張子をcgiにする方法は、httpdが
1. cgiの拡張子がついたファイルを常にcgiとして実行しようとすること
2. 1で実行属性のない場合や実行するファイルとして不正な内容だった場合にエラーを返すこと
3. 2のエラー表示にファイルの内容が含まれないこと
という動作をする場合に限り有効。ファイルの存在そのものを隠すためには
4. 2のエラーは404を返す
こと。

191 :nobodyさん:2006/08/13(日) 16:42:20 ID:???.net
取りあえず404は違うだろ。

192 :nobodyさん:2006/08/13(日) 16:49:50 ID:???.net
>>190
4はないな。

193 :nobodyさん:2006/08/14(月) 09:07:30 ID:???.net
>>190
> 不正な内容だった場合にエラーを返すこと
不正な内容であることを確認するためには実行する必要があるが、
その結果エラーになることをhttpdは担保できない。

194 :nobodyさん:2007/03/23(金) 17:16:32 ID:???.net
PHPの投稿フォームで<a>タグ <img>タグと ダブルクオートを許可したのですが、
セキュリティは、どんなところに気をつければいいでしょうか?


195 :nobodyさん:2007/03/29(木) 19:31:14 ID:???.net
全部NGにして
wiki風の言語を作る

196 :nobodyさん:2007/04/25(水) 23:19:16 ID:B1ZZgxV3.net
imgタグで画像ファイルでないものを画像ファイルの拡張子で指定した場合、
IE6馬鹿ブラウザは、HTMLファイルとしてレンダリングしてしまうので、
XSSなどの脆弱性が生じる。
つまり、投稿フォームを閲覧しただけで、何らかのスクリプトが発動可能になる。

<img>タグは、許可しない方がいい。

ダブルクォートは、実体化した方がいい。





197 :nobodyさん:2007/04/28(土) 01:19:52 ID:2O4EKOL8.net
*[日記]id:Hamachiya2さんのこと
WEB+DBプレスを見た。

はまちちゃんがデブサキモヲタでショック。
あのサスペンダーはありえないでしょう。

そりゃ「中学出たての未成年女子」だとは
思ってなかったけどさ。これはひどい。
いまどき吊りズボンかよっ。

198 :nobodyさん:2007/05/18(金) 17:52:29 ID:GL1hkE7j.net
すいません、何か最近サイトのindex.phpが勝手に書き換え
られるんですけど、これ何なのでしょう? ページの最後に
見覚えのないJavaScriptのタグが埋め込まれています・・・。

<script language="JavaScript">e = '0x00' + '54';str1 = "%EF%B・・・

といった感じのやつです。
一つではなく、複数のサイトで被害にあっているんですが、これ
ってウイルス仕込まれているんでしょうか?


199 :nobodyさん:2007/05/18(金) 18:24:00 ID:???.net
そのコードをそのまんまヤフー検索したら、index.php開いて最後にあるやつ消せとか書いてるページがあった
ttp://www.rockettheme.com/forum/index.php?topic=11361.msg56175

200 :nobodyさん:2007/05/18(金) 18:33:03 ID:GL1hkE7j.net
スクリプト部分を抜き出してjs(WSH)化し、出力しようとしている文字列を抽出したら

ttp://givecnt.info/ld/ment/

というurlを隠しフレームで表示するコードでした・・・。


201 :nobodyさん:2007/07/09(月) 07:25:08 ID:L9K9FUBd.net
セッション管理不備のネットショップが多すぎます><

202 :nobodyさん:2007/07/09(月) 07:48:28 ID:???.net
どんな不備かkwsk

203 :nobodyさん:2007/09/06(木) 22:00:53 ID:OvtHfWTA.net
fusianasan

204 :nobodyさん:2007/09/07(金) 00:08:55 ID:???.net
数字のみの総当たり攻撃からパスワードを守るには…
0000232
というパスを文字列として認証すれば大丈夫ですかね?

205 :nobodyさん:2007/09/07(金) 05:42:47 ID:???.net
>>204
バカ発見

206 :nobodyさん:2007/09/07(金) 05:58:38 ID:???.net
釣り

207 :nobodyさん:2007/09/12(水) 21:12:43 ID:???.net
CSRFやXSSの脆弱性って、腐るほどありますね。

208 :nobodyさん:2007/09/21(金) 15:18:30 ID:ChIVEQuV.net
なかなかよい会社だったよ
http://www.tyranno.co.jp/

209 :nobodyさん:2007/09/21(金) 18:07:00 ID:???.net
しらんがな

210 :nobodyさん:2007/09/27(木) 18:49:15 ID:???.net
>>207
ページ間の遷移がしっかり設計できてないと穴だらけになるな。
それさえできてれば大丈夫ではないが。


211 :nobodyさん:2007/12/09(日) 09:49:39 ID:xonW/myH.net
ttp://takagi-hiromitsu.jp/diary/20060409.html
ちょっとこれ是非も含めて三行でまとめてくれ

結局どうするのがいいんだ

212 :nobodyさん:2007/12/09(日) 12:31:58 ID:???.net
まず続きを読めよ

213 :nobodyさん:2007/12/09(日) 20:12:50 ID:???.net
ややこしいことなんてする必要なし
ってことだろ?

214 :nobodyさん:2008/06/04(水) 11:26:41 ID:iHjER+/w.net
jp2.php.netがさくらのルータクラックの被害にあってたらしいぞ

ソース:さくら専鯖スレ

215 :nobodyさん:2008/06/04(水) 14:14:35 ID:???.net
>>214
懐かしい話題だな。

216 :nobodyさん:2008/06/05(木) 01:32:35 ID:???.net
>>215
おいおまい、jp2のマヌアルを参照してたんだが、ウイルススキャンは必要か?
ちなみにセキュリティソフトは期限切れで使えない

217 :nobodyさん:2008/06/05(木) 11:41:12 ID:???.net
>>216
セキュリティソフトをなんとかしろ話はそれからだ

218 :nobodyさん:2008/06/12(木) 02:36:11 ID:aNIzmTBv.net
takano32,TAKANO Mitsuhiroこと高野光弘(日立製作所社員、日本UNIXユーザ会幹事)が、
自身の『32nd diary』で公然と日立の機密を開示し、障害者差別発言をしている問題。

1981年11月12日 千葉県のディズニーランドのそばで誕生
2001年4月1日 千葉大学に入学
2005年4月1日 千葉大学大学院へ進学、日本UNIXユーザ会に入会
2007年4月1日 日立製作所に入社、神奈川県秦野市の寮へ
2007年8月22日 「ついに職場で人が倒れた」と公表
2007年11月13日 「情報漏えい」を言う上司に「死んだほうがいいよ」と暴言
2007年12月28日 「社内システムクソうんこ」と発言し、仕組みも暴露
2008年5月23日 機密漏洩問題について一応の謝罪
2008年5月26日 「給料泥棒とかうんぬん言われた」と謝罪を忘れて告白
2008年5月27日 「心バキバキ川田くん」と前日の発言者の名前を公言
2008年5月31日 「キチガイ」と日立のユーザーに障害者差別発言を連発

2006年10月27日(日立製作所に入社前に忠告されたこと)
「日記やコメントの投稿日時から勤務時間に業務外のことをしていることが判明」は
某社の某親会社が 2ch で祭られたように、NG です。

6月も勤務時間中に更新し続ける高野光弘君の『32nd diary』にツッコミをどうぞ


219 :nobodyさん:2008/06/18(水) 03:38:14 ID:L/0lP+ed.net
Cookieデータってブラウザの何かの設定ファイルとか手書きで
編集とか出来たりしますか?クッキーにID入れておいて次回表示時に
IDとパスワードを自動的にテキストボックスに値を戻す
プログラムを組んでるんですが
誰かがクッキーの値を盗んで他のマシンにそのクッキー値を手書きで
書かれてしまったらパスワードとか盗まれて
セキュリティー上問題があります。


220 :nobodyさん:2008/06/22(日) 20:16:40 ID:???.net
セキュリティー上問題があります。

221 :nobodyさん:2008/08/30(土) 11:46:56 ID:???.net
ttp://gihyo.jp/dev/serial/01/php-security/extra/001217
ttp://gihyo.jp/dev/serial/01/php-security/extra/001218

ここで17で言ってる秘密のsalt(saltって一般に別のものを指すのが普通だと思うが)と、
18で言ってるチャレンジレスポンス認証を両立させる方法があるなら教えてくれ。



222 :nobodyさん:2008/11/17(月) 19:30:44 ID:+x4gvrpS.net
>>219
今、私もそれで悩んでたんですけど
テキストボックスにパスワードを戻すってことは
どっかに平文のパスワードを入れなきゃならないんですよね。

まあ、cookieかDBってことになるんでしょうけど
cookieなら盗まれても一人ずつだけど、DBは下手すると全員のパスが盗まれることもあるじゃないですか。
どんなに、気をつけてつくっても、例えばDBに直接接続できるスタッフとかは防ぎようないし。

まあ、セキュリティー的に問題あるといえばあるけど、ようはトレードオフだと思うんですよ。
例えばワンクリックショッピングなどはやめた方がいいし、簡単なアカウント機能なら、つけたほうが断然便利だし
特に、使う人がパソコン使い慣れていないと、毎回入力するのなんてありえないと思うんですよね。

色々考えた結果潔くcookieに平文パスワードしまっちゃおうと思うのですが
どう思います?他に何か良いアイデアありますか?


223 :nobodyさん:2008/11/18(火) 01:37:11 ID:???.net
IEのID覚える機能でいいじゃん
どっちにしてもパスワード生でCookie保存はやばい

224 :nobodyさん:2008/11/18(火) 01:39:46 ID:???.net
この御仁の記事は微妙に突っ込みたくなったりもするんだが、
http://gihyo.jp/dev/serial/01/php-security/extra/001208
とりあえずこれに関してはまあ参考になるんでね?

225 :nobodyさん:2008/11/18(火) 03:53:39 ID:???.net
クッキーのパスワード暗号化ってフォームのパスワードが*****になるのと
同じぐらいの効果しかないだろ
銀行のパスワードと糞掲示板のパスワードをいっしょにしてて、
誰かに覗き見られたり、抜かれたりして被害を被っても、
んなもんはユーザーが悪い

226 :nobodyさん:2008/11/18(火) 11:17:36 ID:???.net
何を言ってるの?

227 :nobodyさん:2008/11/21(金) 10:36:25 ID:???.net
パスワードなんてその都度入力させればいい。
5分かからないだろ。

228 :nobodyさん:2008/11/28(金) 22:42:07 ID:FLoAQsXc.net
 hiddenは危険脳
ってやつは信じていいのか。ページキャッシュとしてhiddenの値が残るのは考慮にいれなくていいのか?

229 :nobodyさん:2008/11/28(金) 23:31:44 ID:???.net
>hiddenは危険脳
の意味が分からない。

ああ、ゲーム脳とかそういう脳か?
どっかで誰か言ってるの?

hiddenじゃ危険てかそういう意味じゃ基本的にみんな危険だけど、
使い方によるわな。


230 :nobodyさん:2008/11/28(金) 23:32:46 ID:???.net
おお検索したらなんか出てきたわw


231 :nobodyさん:2008/11/29(土) 15:22:36 ID:???.net
でみんなどうしてる?

232 :nobodyさん:2009/04/13(月) 11:57:09 ID:???.net
PHPでウェブプログラミングしています。
GET変数について詳しいかたがいらっしゃったらお聞きしたいことがあるのですが…。

GET変数は、「変数がURLに埋め込んで渡される変数」という理解で間違いないでしようか?
必ず「…?…」の形で渡されるという考えでよろしいのでしょうか。
それとも、なにか特殊なURL記述方法でGET変数を渡せたりしますか?

よろしくお願いします。

233 :nobodyさん:2009/04/22(水) 02:38:48 ID:57zKWx3g.net
有名なサイトで会員登録の時にJavaScript入れたら弾かれつつも動くんだが、
これってXSSになるのか?

234 :nobodyさん:2009/05/05(火) 13:39:50 ID:???.net
>>222
複合可能な暗号にして、パスワード・ユーザー名などをまとめて暗号化したら?

235 :nobodyさん:2009/05/05(火) 22:46:18 ID:???.net
どうやってそういうの安全にやるわけ?
IEの保存機能に任せるんでないなら、
安全にするにはどうせサーバ側でやるしかないんだから、
もはやIDとパスワードって方式にする必要ないでしょ。
>>224のリンクみたいな感じでやりゃいい。


236 :nobodyさん:2009/10/09(金) 09:56:52 ID:WcuIFqLs.net
ttp://d.hatena.ne.jp/IwamotoTakashi/20091006/p1
PHP板の人間にとってはちんぷんかんぷんだろうなw

237 :nobodyさん:2009/10/13(火) 15:56:34 ID:ICZgWXYU.net
実証サンプルコードとどう直したらいいのかが併記されてないとw

238 :nobodyさん:2010/02/18(木) 20:12:41 ID:???.net
同一ドメインのURLを呼び出すiframe内のdomへのアクセス制限をサーバー側のアクションでかける方法か、
サーバー側でiframeからのアクセスを拒否する方法はありませんか?

239 :nobodyさん:2010/04/20(火) 22:19:18 ID:cFW60NlN.net
最近うちの弟が妙に金持ってる思ったら
こんな所で稼いでやってやがったよ!!
http://okamikakushi.net/jp/8ned1qi
なんかムカつくから、俺も明日やってみるわ(ワラ

240 : 【32.4m】 電脳プリオン ◆3YKmpu7JR7Ic :2012/06/17(日) 22:09:19.35 ID:???.net ?PLT(12079)

  ∧_∧
  ( ・∀・)      | | ガガッ
 と    )      | |
   Y /ノ      .人
    / ) .人   <  >_∧∩
  _/し' <  >_∧∩`Д´)/
 (_フ彡 V`Д´)/   / ←>>125
            / ←>>120

241 :nobodyさん:2012/08/17(金) 20:33:54.62 ID:???.net
CSRF対策というのは
認証されている状態であってもシステム側が用意したページ以外のリクエストは受け付けない
でよろしいでしょうか?

242 :nobodyさん:2012/08/18(土) 13:19:08.76 ID:???.net
>>241
論理的にはそうなるね

243 :nobodyさん:2012/09/15(土) 18:47:30.21 ID:???.net
http://www.symantec.com/connect/blogs/facebook-csrf
facebookでCSRFを突破した方法
1.ユーザに偽のページを開かせる
2.どうにかしてTOKENを含むページをコピペさせる
3.攻撃者のサイトで解析をしウマー
こんな攻撃どうやって防ぐんだよ…


244 :nobodyさん:2013/01/21(月) 02:03:04.91 ID:???.net
ファイルを暗号化してて鍵を変更したいときにファイルを暗号化し直さないで済む方法ってある?
WindowsのEFSは共通鍵生成してそれでファイルを暗号化してその共通鍵をさらに別の鍵で暗号化してるらしいけど
他に良い方法があれば

245 :nobodyさん:2013/03/16(土) 21:58:24.47 ID:???.net
OAuth認証でサイト制作者はコールバックURLを自分のページにしてそこで
リクエストトークンとverifireを保存しようと思えば保存できてしまいますよね
この2つから制作者はconsumerkeyとシークレットを持っているので
アクセストークンを受け取れてしまうのでしょうか?

サードパーティの制作者は情報を抜き取ってアクセスはできないという
証明が欲しいのですが

246 :nobodyさん:2013/03/26(火) 08:57:57.15 ID:???.net
いやOAuthってそういうもんだろ。
製作者が受け取れてしまうもクソも、受け取って使うんだよ。
ユーザーはクライアント(>>245のいう製作者)を信頼し
サービスアカウントに対する自由なアクセスを許可する。

247 :nobodyさん:2013/07/15(月) NY:AN:NY.AN ID:???.net
重複アカウント対策に電話番号認証を組んでます。
過去に認証した電話番号かをチェックする必要があるんですが、電話番号
自体は流出が怖いので保存したくありません。かといって電話番号は
数が限られているので、ハッシュも総当たりで掘られてしまいます。
ハードコーディングしたsaltを付けてもソースが流出したら(以下略
こういう時、みなさんならどういう設計をしますか?

248 :nobodyさん:2014/02/21(金) 20:55:50.05 ID:???.net
セキュリティースレッド

249 :nobodyさん:2014/05/31(土) 21:29:31.52 ID:???.net
そもそも2ちゃんねらーってセキュリティの話題が苦手だからな
セキュ板見てみろ

250 :nobodyさん:2014/06/18(水) 01:55:32.52 ID:???.net
http://54.178.166.242/

251 :nobodyさん:2014/06/21(土) 15:44:00.96 ID:???.net
サイボウズ、サービス脆弱性報告に対する報奨金制度を開始

これやろうぜ!

252 :nobodyさん:2014/12/11(木) 00:04:20.03 ID:???.net
セキュリティースレッド

253 :nobodyさん:2015/01/16(金) 23:16:46.14 ID:???.net
ぬるぽ

254 :nobodyさん:2015/01/21(水) 15:29:48.28 ID:???.net
運命

255 :nobodyさん:2015/01/31(土) 14:44:24.44 ID:???.net
イカスミ

256 :nobodyさん:2017/02/06(月) 22:03:41.91 ID:+H4HhTpY.net
http://video.fc2.com/content/20170206c5H1Au9M

257 :nobodyさん:2017/12/30(土) 15:31:38.84 ID:YhlYw6jg.net
誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『半藤のブブイウイウレレ』 というサイトで見ることができます。

グーグル検索⇒『半藤のブブイウイウレレ』

H4E3GV5VTO

258 :【東京五輪】大会ボランティア約390人が辞退:2021/02/09(火) 05:13:39.62 ID:0hyqUNzD.net
http://this.kiji.is/731471612230189056?c=39550187727945729

東京五輪・パラリンピック組織委員会は8日、森喜朗会長の女性蔑視発言後の5日間で
大会ボランティア約390人が辞退したと明らかにした。

259 :ゼレンスキー大統領、南部奪還を決意:2022/06/20(月) 00:18:23.58 ID:k9CjdveT.net
ウクライナのゼレンスキー大統領は19日、ロシア軍との交戦が続く南部の前線を訪問した後のビデオ演説で「南部を誰にも渡さず、すべて取り戻す」と奪還への決意を示した。ロシア軍が封鎖する黒海もウクライナが支配権を握ると訴えた。

 この中で、ゼレンスキー氏は現場からの報告では、ロシア軍の攻撃で多くの家屋や施設が破壊されたと指摘。「損失は大きい」と認めつつ、ウクライナの軍や治安部隊は「自信にあふれている」と強調した。

 ゼレンスキー氏は18日、ウクライナ軍が反攻強化の機会をうかがう南部のミコライウ州やオデッサ州を訪問。各地で軍幹部や当局者から戦況報告を受けた。病院にも足を運び、負傷者らの治療に当たる医師や看護師を激励した。

260 :日本テレビ側など争う姿勢:2023/05/17(水) 07:52:43.07 ID:GaoH1DyN.net
宗教団体「世界平和統一家庭連合」いわゆる「統一教会」が、番組の出演者の発言で名誉を傷つけられたとして日本テレビなどを訴えた裁判で、日本テレビ側などは争う姿勢を示しました。

この裁判は、いわゆる統一教会が、去年8月に日本テレビの情報番組に出演したジャーナリストの有田芳生さんの発言で教団の名誉を傷つけられたとして、日本テレビと有田さんにあわせて2200万円の損害賠償などを求めているものです。

東京地裁では16日、第1回口頭弁論が開かれ、日本テレビ側と有田さん側は請求を退けるよう求め、争う姿勢を示しました。

教団側は、この裁判以外にもテレビ局やラジオ局などを相手取り、同様の訴訟を4件起こしています。

261 :nobodyさん:2023/11/03(金) 07:32:47.65 ID:nH8ANBZU2
岸田異次元増税憲法カ゛ン無視地球破壞覇権主義文雄の所信表明演説[直訳〕
『気侯変動 地球破壊 災害連發 私は何より強盗殺人に重点を置いていく 変化の流れをつかみ取るための1丁目1番地は私権侵害た゛』
世界最悪の脱炭素拒否テ囗国家に送られる化石賞連続受賞して世界中から非難されながら憲法13条25条29条と公然と無視してカによる━方的な
現状変更によってクソ航空機倍増,閑静な住宅地から都心まで数珠つなぎて゛鉄道の30倍以上もの莫大な温室効果カ゛スまき散らして騷音まみれ
氣候変動させて海水温上昇させてかつてない量の水蒸氣発生させて土砂崩れ.洪水、暴風,熱中症にと災害連発させて住民の生命と財産を
破壞して静音か゛生命線の知的産業まて゛壊滅させて子供の学習環境まで奪いながらケ−ザヰた゛の笑わせんなや
要するにやることなすこと全てか゛自民公明か゛私腹を肥やす利権のためのマッチポンプと理解すれば何もかも完璧に説明つくのか゛分かるだろ
民主主義国なら間違いなくあちこちて゛煙か゛上がってるた゛ろうにいまた゛にこいつらに政権やらせてるNPCジャップに北朝鮮人民まて゛ト゛ン引きだな
(羽田)ttps://www.call4.jp/info.php?type=items&id=I0000062 , ttps://haneda-project.jimdofree.com/
(成田)ttps://n-souonhigaisosyoudan.amebaownd.com/
(テ囗組織)ttps://i.imgur.com/hnli1ga.jpeg

67 KB
新着レスの表示
掲示板に戻る 全部 前100 次100 最新50
名前: E-mail (省略可) :

read.cgi ver.24052200