サイト防衛Q&A
| 更 | 件名 | 内容 |
|---|---|---|
| - | クレーム荒らしが来ました。 | 口が強ければ、知識があれば言い負かしても良いでしょう。ただし正論の通じない相手やエスカレートする荒らしに対しては無視した方が効果的です。 |
| - | 厨房荒らしが来ました。 | 通報しました。意味不明なコピペ、AAの多用、不愉快な名前等は厨房荒らしの可能性が高いです。問答無用で削除するか放置しましょう。 |
| - | 成りすまし荒らしが来ました。 | トリップ機能や削除パスから(IPは時々変わるから△)IDを作成して表示できる掲示板を付けましょう。また、紛らわしくなるので捨てハンを禁止しましょう。 |
| - | タグ荒らしが来ました。 | とりあえず、タグは禁止しましょう。ただ、タグを禁止してもメールフォームやHP入力から強引にタグを使える場合もあるので気をつけましょう。その場合はスクリプトを改造するか乗り換えるか禁句ワードとして弾きましょう。また、アイコンBBSもimgタグを使うと言う性質上、フォームを複製されリファを偽装されてアクセスログを取るCGI等を送り込まれる場合があるのでこれにも気をつけましょう。またtextフォームを<TEXTAREA>に入れ替えるだけでバグを起こす脆弱性を持ったスクリプトも存在します。 |
| - | リロード荒らしが来ました。 | アンチリロードスクリプトやクッキーで弾いてください。htaccessもなかなか有効です。もしくは耐久性のあるサーバーやアカウント取りツールによる物量作戦で行きましょう。 |
| - | 連続投稿荒らしが来ました。 |
投稿フォームにチェックコードもしくはGIFやPNGのチェックコードを付けましょう。これも突破可能ですが荒す側も設定が面倒になりますし、これを突破してくる荒らしは1割以下でしょう。またIPによる投稿間隔を付けても良いでしょう。厳重なProxy制限があればこれだけでも防げます。第三者によるリモート爆撃にも注意してください。これはリファ制限で防げます。リファを偽装する高度なものならチェックコードを。またログが流れてしまわないようにログの最大保存数を多くしたり、バックアップを取っておくと良いでしょう。 |
| - | 高度な荒らし、クラック全般に対する対策は? | 連続投稿をしたことある人 やスクリプト開発者ならよく分かると思いますが連続投稿にはフォームを解析する必要があります。送信する値には掲示板独自の名前が割り振られているのでまずこれを複製する必要があるのです。また、タグ荒らしやクラックする場合も掲示板の処理を解析するためhtmlソースを覗くことがよくあります。これを隠す方法は幾つも紹介していますが一番有力なのはフレームと本体をそれぞれ作りツールを使い暗号化してしまいます(ブラウザが復号化)。それをリファ制限で繋げば完璧です。CGIやPHPも投稿フォームはhtmlになっていることが多いので同じ方法で暗号化できます(手順は一度htmlにコピペして、ツールで暗号化して、CGIのソースに戻す)。htmlソースの暗号化には種類が幾つかありましてこれを組み合わせるか市販の強力なものを使うことにより上級者も解読することは困難になります。 |
| - | 荒らしがしつこい場合。または数が多い場合は? | 例え何ヶ月無視しようとストーカーのように荒らしてくる奴もたまにいます。無視しても良いですが荒らされ具合によっては利用者もいなくなってしまいます。まずはアクセス制限の前にクッキーやJavaScriptによって制限を掛けてみましょう。神経質な荒らしはこれだけで来なくなります。JavaやActiveXも強制にするとなお良いです。それでもしつこいようなら今度はProxy制限です。これがないと幾らアクセス制限しても意味ありません。なおこれらの対策は事前にやっておいても良いでしょう。特にProxy制限はクレームが来る場合や誤爆も考えられると思うので。ちなみに誤爆を自分で確認できる(弾いた人のログを取る)スクリプトも存在します。会員募集のページでも同じことが言えますね。 |
| - | 生で荒らしてくる場合は? | 生でも荒らしてくるしつこい荒らしも中にはいます。その場合はアクセス制限です。出来るだけ地域を特定して弾きましょう。地域を特定するサービスもございます。弾き方はプロバイダによって違いますが2ch等のアクセス規制情報なども参考になるでしょう。抑止力として晒し揚げても構いません。最後の手段はプロバイダに通報です。 |
| - | 会員制のパスを乗っ取られました。 | 考えられる原因はサーバーやスクリプトの脆弱性です、パーミッションやログファイルの名前等に気を付けましょう。次に考えられるのが会員の意識の低さです(パスが簡単すぎるとか)。もしくはスパイがいるかトロイに感染した会員がいるかです。 |
| - | 会員制にスパイ侵入された。 | 会員募集の時、メールの文章をよく読んで怪しい内容のメールが無かったか思い出してみましよう。とりあえず一人一人と怪しい人物を絞って行きましょう。普段から会員とコミュニケーションが取れていれば分かりやすくなりますし、IDやパスの管理が徹底していればなお更良いです。Proxy刺している会員が多ければクッキー等で特定しても良いですし、Proxy自体を禁止していればほぼ確実に スパイを特定できます。とりあえず疑いの無い会員を非難させて移転するか、アクセス制限するか、IDを剥奪してスパイを排除しましょう。リストの回収を呼びかけるのも忘れずに。規模の大きいサイトほど対応が難しくなります。 極限られたサイトが対象の情報ですが… |
| - | 会員制に見知らぬIPのアクセスログが | 考えられるのは会員がプロバを変えたか他のPCを利用している場合。もしくは生に見えるProxyだと言うことも考えられますがアクセスが急増した場合、 悪意のある会員がいるか、telnetで見つかったか、リファが漏れたか、内部抗争か、会員の不注意かどれかでしょう。検索エンジンにも掛かっていないか時々チェックした方が良いかも。 |
サイト防衛Q&A(利用者編)
| 更 | 件名 | 内容 |
|---|---|---|
| - | 生IPで巡回しても大丈夫? | 基本的には大丈夫です。あなたのIPが分かったところで何かしようところでどこの誰かも分からない相手に何かしようとする基地外管理人はまずいません。IPから分かるのはプロバイダと都道府県まででそれ以上の情報は警察が法的調査権を使わない限り不可能です。今のプロバイダをクラックするのはスーパーハッカーでも難しいのです。また、サーバーのセキュが著しく低い場合はサーバー全体のログが漏洩することがあり ますが、他のサイトに書き込みをしていたことが可能性も無くはありません がサーバー全体のログから特定するのは過剰にアクセスしていない限り把握するのは難しいと思います。だからどうしたと言ったらそれまでですし。固定IPや自サーバー使っている人 でなければ見る分には何の不自由も無いはずです。むしろProxy刺していると重くなったり弾かれますし。Proxyよりもwindowsアップデートをまめにやりましょう。 |
| - | 生IPで活動しても大丈夫? | 普通にサイトを利用しているだけでは誰も気にしないと思います。ただ、マナーを完全無視して、荒らしたりした場合、晒し揚げられたり通報される場合があります。 |
| - | 結局Proxyを刺すのはどうなのか? | 用心深い事は良い事です。ただ、怪しいサイトだからっていつも刺すのは無駄のような気がします。重くなりますし、時々弾かれますし。逆に海外のアカウントを取 る時は刺した方が良いと思いますが。 |
| - | JavaScriptオンでも大丈夫? | - |
| - | Javaアプレットオンでも大丈夫? | - |
| - | ActiveXオンでも大丈夫? | - |
| - | クッキーオンでも大丈夫? | - |
サイト構築Q&A
| 更 | 件名 | 内容 |
|---|---|---|
| - | スクリプトを改造したいのですが… |
まずはHTTPDと言われるフリーのサーバーソフトをインストールしましょう。日本製の物も出ています。公開するのが目的ではありませんのでセキュリティーの心配はありません。これを導入することによりCGIやPHPが自前で動かせるようになるのです。サンプルが設置して無い場合も気軽に試せますし、サーバーの仕様で動かないと言うことも無くなるでしょう。 改造に関してですがHTMLやJavaスクリプト等の中級者以上なら、ある程度は手探りでも行けます。とりあえず、ソースが綺麗でシンプルな(プログラムは単体の物)CGIやPHPに機能を付け加えて練習しましょう。基本的には関数や変数の定義と処理を追加するだけです。高機能なものから抜き取って追加してみましょう。 特にカウンターとかProxy制限やアクセス制限系は簡単です。 |
| - | アイコンが欲しいのですが… |
アイコンとは二種類ありましてgifやjpg等、掲示板に使う画像とicoファイルの二種類があります。画像アイコンは配布しているサイトが多いので検索して探してください。壁紙等も素材屋等にあります。自分で用意したい場合はキャプチャーソフトやアイコン抽出ソフトを使いましょう。 |
| - | 新しいタグを導入したいのですが… |
メモ帳の置換コマンドを最大限に使いこなしましょう。ただこれは複数のファイルや改行に対応していないのでその場合は文章の一括置換ソフトを使いましょう。 |
| - | リンク集が作りたいのですが… |
お気に入りをそのまま(ツリーも再現)htmlにしてリンク集を作ってくれるソフトもあります。後は見やすいように仕上げて説明文を入れれば完成。 |
| - | 外国語が分からないのでアカウントが取れません。 | まずは翻訳ソフトを手に入れましょう。無料翻訳サービスもありますし、アカウント取り解説サイトもあります。 |
| - | ソフトは何がお勧めですか? |
ここで説明するようなソフトは大抵フリーソフトですが長所は評価する部分によっても違います。更新頻度、機能の多さ、動作の速さ、一つの命令に対する高機能さ…色々ありますね。全てにおいて最強なソフトはそうありませんし、更にいいソフトが開発されるかもしれません。これは自分で調べるしかなさそうです。雑誌等は写真付きでわかりやすいですが乗っているのは極一部です。 |
| - | ツールサイトを作りましたが注意点は?。 |
これは常識ですがファイル名に日本語やスペースなどが含まれているとサーバーの環境によってはダウンロードできません。これはファイルに限ったことではありません。htmlや画像もです。日本語に対応しているのは自サーバーと 和サーバーだけです。また、拡張子にも気をつけましょうzipやlzhやexeは良くてもrarやcabは文章として開こうとするサーバーもあります。rarやcabは圧縮率が高いので転送量の節約になるのですが…。この場合極窓や偽装ツールで拡張子を変えましょう。または自動解凍書庫も良いでしょう。 |