人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

ディレクトリ・ゲイトを見つけまして、ディレクトリごと制限できてすごく良さそうですが質問です。
ttp://www.webpower.jp/websofts/others/web_protection/directory_gate/
こちらダウンロードして、readme.txt読んでみましたがわからないところがあります。以下
- ログイン毎に異なる16バイトのランダムなセッションID (62^16の組み合わせ)
- セッションIDが漏洩しても、認証IP/UAチェックにより他の端末ではアクセス不可
とありますが、
・違う端末を使って同じIDで2重にログインできるのでしょうか?携帯電話が壊れてしまって、実験できません。
・それとも、もうちょっと下に
Q.認証IPチェック機構を外すには?
A.350行目前後にあるコードを以下のように変更してください。
if ($USER_AGENT eq "OTHER" && $cookie{'IP'} ne $ENV{'REMOTE_ADDR'}) {

if (0) {
とありますが、これを書き換えないとIPとUAが同じじゃないとだめで、2重ログインできないでしょうか?同じセッションIDに対してのチェックで上記のように書き換える必要は無いんでしょうか?
的外れな質問をしてるかもしれませんが、わかる方いらっしゃいましたらよろしくお願いします。

●質問者: rain2003
●カテゴリ:コンピュータ ウェブ制作
✍キーワード:.jp cookie EQ IP ttp://
○ 状態 :終了
└ 回答数 : 1/1件

▽最新の回答へ

1 ● たも
●60ポイント ベストアンサー

>違う端末を使って同じIDで2重にログインできるのでしょうか?

できないようになっています。


>携帯電話が壊れてしまって、実験できません。

匿名プロキシを使えば試してみることができると思います。

http://www.cybersyndrome.net/


>これを書き換えないとIPとUAが同じじゃないとだめで、2重ログインできないでしょうか?

はい、できないことになっています。

>同じセッションIDに対してのチェックで上記のように書き換える必要は無いんでしょうか?

349 行目 (if (getSession($SESSION...))) でセッションID をチェックして、

合っている場合に 352 行目 (if ($USER_AGENT...))のチェックに移るようです。

349 行目まで if (0) にしてしまうと、

セキュリティ機構がまったく無効になると思います。

つまり、セッション ID など関係なく、誰でもアクセス可能になるはずです。

◎質問者からの返答

今、XXXというユーザーIDで、パソコンと携帯シミュレータで試したらログインできました。認証CGIのログ見るとIPは同じですが、UAは携帯はDocomoになっていたので、違う端末からということになっていると思うのですが。

私の質問の仕方がわるかったでしょうか。もうちょっと簡単に質問内容を直しますと、ユーザーID、Passがわかるとどの端末からでも同時にはいれるのかどうかということです。

PROXYって使ったことないのでわからないんですが、閲覧だけなら大丈夫な気がするんですが、ID、Passとか入力しても問題ないんでしょうか。知識がないのでやめておきます。

自宅でログインして、ネットカフェに行ってログインしてみるのが一番はやいでしょうか。

ちなみに、Yahooなんかは、ID、Passがわかると自分がログインしていても、他の端末から同時に利用することってできるんでしょうかね。

次の方から、こちらの質問の回答ということでお願いします。

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ