PHP質問・雑談スレ【初心者お断り(ROM歓迎)】©5ch.net
■ このスレッドは過去ログ倉庫に格納されています
0001nobodyさん 転載ダメ©2ch.net
2016/04/22(金) 08:58:11.47ID:???初心者お断り(ROM歓迎)と書いてますが、初心者用のスレが用意されているからで、
難しい質問や話題をしなければいけないわけではありません。
PHPマニュアルの読み方を概ね理解していて、関数リファレンスが正しく読める方用のスレです。
PHP未導入の方や、手取り足取りが必要な初心者の方はくだスレへどうぞ。
【PHP】下らねぇ質問はここに書き込みやがれ 4
http://echo.2ch.net/test/read.cgi/tech/1457792733/
その他リンク
・PHPマニュアル
https://secure.php.net/manual/ja/index.php
・コードテスト・貼り付け用
http://ideone.com/
・プログラミングのお題スレ Part8 (求PHPer参戦)
http://echo.2ch.net/test/read.cgi/tech/1444216746/
このスレで扱う話題
・PHPのコード,設定や設定値に関する質問
・常識的範囲内でのコードレビュー依頼・改良相談
・PECL,PEARに関する質問
・PHP新機能やPHP関連トレンドの話題
(FWや非公式ライブラリの話題や特徴比較は良いが使い方から先の話題は専スレへ)
・PHPのバグ発見報告・公式に報告する前の検証依頼
このスレで扱わない話題
・直接関係ない○○特有の質問(専スレへ)
(HH,エディタ,IDE,サーバ,OS,DB,SQL,FW,テンプレート,非公式ライブラリ・アプリケーション等)
・PHPの改造
0226nobodyさん
2016/08/20(土) 01:20:53.23ID:???つまり、ログイン保持には使えない
という前提で話は進んでるか?
0227nobodyさん
2016/08/20(土) 01:52:27.09ID:???0228nobodyさん
2016/08/20(土) 08:31:31.02ID:???誰が誰だかわからん部分が何レスかある。
とりあえず、>>213のやつでいいと思うんだけど、
対象を1人で考えてるだろ。
10000万人規模で考えて、全員のパスワードが漏れた場合と、全員のログインセッションが漏れた場合の両方で、
どう対応するか、それぞれのシナリオ書いて、そのあとシステム管理者は何をするか考えろ。
それから
>一度でも侵入されたらそれで終わりだから
本当にそれで終わりかどうか、一般的なシステムはどうなってるか見てみろ。
特にAmazonあたりは参考になると思うぞ。
お前がいかにアホかよく分かるはずだ。
0229nobodyさん
2016/08/20(土) 09:53:14.24ID:???0230nobodyさん
2016/08/20(土) 12:21:55.17ID:???0231nobodyさん
2016/08/20(土) 13:12:10.87ID:???0232nobodyさん
2016/08/20(土) 13:50:06.19ID:???お前こそが、もうちょっとあっちで勉強してきたほうがいいと思うよ。
そうしないとお前は一生ゴミクズのままだ。
わかってるんだろう? 自分でも。
0233nobodyさん
2016/08/20(土) 14:04:31.93ID:???0234nobodyさん
2016/08/20(土) 14:05:20.60ID:???Googleにせよ何にせよ, セッションハイジャックされたところでアカウントそのものを乗っ取るにはパスワードか登録メールアドレスが必要だろう?
要するにアカウントの重要な情報を扱う際にはパスワードなりワンタイムキーなり要求される
セッションハイジャック=アカウント乗っ取り, つまりセッションキーがパスワードと等しいようなシステムは設計上の欠陥なんだよ
0236nobodyさん
2016/08/20(土) 14:09:29.88ID:???0237nobodyさん
2016/08/20(土) 14:34:41.49ID:???ちょーかわいそすw ちょーかわいそすw
0238nobodyさん
2016/08/20(土) 14:39:00.35ID:???そろそろ気づけ。向こうでも言ったとおり、お前はサルなんだと。
そしていい加減に進化する努力をしろ。
0239nobodyさん
2016/08/20(土) 14:42:40.05ID:???0240nobodyさん
2016/08/20(土) 14:44:01.97ID:???0244nobodyさん
2016/08/20(土) 15:10:37.23ID:???あがってるGmailなんてログインしたらもうその先はメール読み放題だし
Amazonだってカード番号下4桁以外は伏せられてるものの
名前やら住所やらの支払い情報は再ログイン必要なしに見れるし
0245nobodyさん
2016/08/20(土) 15:14:05.33ID:???> >>228は一緒に仕事したくないタイプ
なんで?おまえ、そんなに俺に突っ込まれそうなこと沢山あると自覚してるの?
0246nobodyさん
2016/08/20(土) 15:15:45.70ID:???> >>234が自分の味方してくれたとか思ってるガイジwwwww
馬鹿かお前は。敵か味方か、とか。漫画でも読みすぎてるんじゃないか?
肝心なのはどっちの言ってることが正しいと >>234 が思ったか、だ。
お前みたいなダチョウ級の脳みそでもそれは分かったからそんなに連投してるんだろう?
0247nobodyさん
2016/08/20(土) 15:20:28.67ID:???何が正しいと思ったかだよwwww笑わせんなwwwwwww
お前が何を正しいことを言ったって?
管理者の対応とかどっちが漏れてもユーザにとっては変わらない損失をよそに斜め上なことを言って
>>244の例の通り個人情報駄々漏れのAmazon例に出して馬鹿丸出しじゃねーかwwww
>>234はただお前に呆れてるだけだっつーのwwww
0248nobodyさん
2016/08/20(土) 15:23:18.98ID:???> 重要な情報がどこにあるかなんて人それぞれじゃね?
いい加減に気づけ。
どこに何を保存しているかなんて関係ないんだ。
保存されている場所にアクセするのにどんな手段があるかが問題なんだ。
何の秘匿情報も持っていない奴が、なんかちょろっとやったら全部見えちゃいました
って可能性のあるところに「見られてはいけないもの」を保存するのは馬鹿だろう?っていう話をしてるんだ。
これで分かんなきゃお前はカニ味噌以下だ。ちなみにわかってると思うが、カニ味噌は脳みそですらないからな。
0249nobodyさん
2016/08/20(土) 15:23:36.98ID:???システム側にとって最も重要なことは, 利用者やシステムが攻撃者の踏み台にならないことだ
アカウント乗っ取りはその踏み台になり得るという点で最も重点的に対策しなければならん
0250nobodyさん
2016/08/20(土) 15:25:22.79ID:???>管理者の対応とかどっちが漏れてもユーザにとっては変わらない損失をよそに斜め上なことを言って
おまえ、>>234読んだか?
それとも、文字が100文字超えると理解できなくなる脳の障害でもあるのか?
詰まってるのがカニ味噌なら、脳ではなくて肝機能障害あたりか…
0251nobodyさん
2016/08/20(土) 15:27:02.51ID:???>システム側にとって最も重要なことは, 利用者やシステムが攻撃者の踏み台にならないことだ
どこの誰の定義だよw ノータリン
「最も」って言葉好きだよな、馬鹿は。
システム管理側が考えなければいけないことは沢山有るんだよ? カニ味噌くん。
0252nobodyさん
2016/08/20(土) 15:30:09.80ID:???> ようアホ
さっきからお前もこっちもずっといるのに、なんで改めて挨拶してるの?
ゆだー、ちょーうけるー
ってJKなら言いそうだな。俺は別に「こいつ、本物のアホだな」と思うだけだけど。
0253nobodyさん
2016/08/20(土) 15:33:27.19ID:???> >>244の例の通り個人情報駄々漏れのAmazon例に出して馬鹿丸出しじゃねーかwwww
自分で書いた何の証明もされていない事を「例の通り」という程の馬鹿は、本当にたまにしか居ないな。まさしくカニ味噌だ。
ほれ、駄々漏れの証拠出してみろ。ソースだ。分かるか? ウスターとかじゃないぞ。
0254nobodyさん
2016/08/20(土) 16:03:44.99ID:???何おまえらはサルカニ合戦やってんだ?
0255nobodyさん
2016/08/20(土) 16:17:01.65ID:???お前が
> 欠陥糞サイト乙
と言っていたとしても、普通に>>201につながっただろうな。
そして、それで終わったところで、ここまで続いたことと比べて何も変わっていないだろう。
「カニ味噌は結局カニ味噌のままだった」という事実においてな。
お前みたいなヒトコブラクダではわからんだろうが。
あるいはお前はカニ味噌本人か? まぁ、人でないことは確かだろう。
0256nobodyさん
2016/08/20(土) 16:30:34.02ID:???早く帰れよゴミクズ >>3で移ったんだろ?早く消えろ
ミジンコ脳のくせに威勢だけはいいな
なんかちょろっとやったら全部見えちゃいましたじゃねえよボケ
秘匿情報入手したらの話をしてんのに馬鹿かおまえ
それがどこにあろうが同じ話
強固なシステム作ればいいなんて当たり前の話をするわけないだろカス
だからドヤ顔で当たり前のこと言って笑われてるんだろ
0257nobodyさん
2016/08/20(土) 16:41:51.47ID:???0258nobodyさん
2016/08/20(土) 16:48:43.22ID:???> だからドヤ顔で当たり前のこと言って笑われてるんだろ
カニみそくん、そろそろ理解したまえ。
君が思ってるだけのことは物事の評価の対象にならないんだよ。
君を馬鹿だという意見はたくさんあった。
私を馬鹿だという意見はどれかね? ちょっと書き出してみてくれないかな?
そうすれば、仮に肝臓で物を考えていたとしても君がどれほどアッパラパーか、
君でも理解できるだろう。
0259nobodyさん
2016/08/20(土) 16:52:36.20ID:???「でないと、ノータリンの僕ちゃんがここで虚勢をはれないじゃないかぁーーーーー!」
かね? 実にアッパラパーだ。
0260nobodyさん
2016/08/20(土) 16:55:52.30ID:???君を馬鹿だという意見はたくさんあったってお前だけだろwwwwww
何印象操作してんの?ゴミクズ
IDも見えないとこで見えない敵と戦わないで見えるとこに戻ったほうがいいのでは()
>>234に馬鹿にされてないことに気づかない哀れ池沼
0261nobodyさん
2016/08/20(土) 16:56:28.16ID:???おっと危うくお前みたいな馬鹿を擁護するとこだったぜwwwww
0262nobodyさん
2016/08/20(土) 16:59:14.80ID:???お前と同じ当たり前のことをドヤ顔で言ってるだけなのに
全く自分が見えていないwwwww
0263nobodyさん
2016/08/20(土) 17:05:21.81ID:???0264nobodyさん
2016/08/20(土) 17:12:56.92ID:???見ればこの人だけだったね
まともに話そうと努力してたのは
俺もちょっと悪かったよ
なんかこのカンマさんにすげー悪い気がしてきたわ
0265nobodyさん
2016/08/20(土) 22:23:55.74ID:???5時間くらい待ってみたけど、君の賛同者、現れなかったね。なんでかなー?
カニ味噌くんは文章が良く理解できないみたいだから、君がずっとこだわってる(味方だと勘違いしてる) >>234 をもう一度よく分かるように全文引用してあげるね。
>> 234 : nobodyさん2016/08/20(土) 14:05:20.60 ID:???
> >>228は口悪いし正直嫌いなんだけど内容はごく当然のことだろう・・・・・
これは、「>>228(俺)のことは悪態つくから大っ嫌いだけど、>>228(俺)の言ってることはとてもマトモなことだろう」
っていう意味だよ? 中学生なら理解できる内容だ。
> Googleにせよ何にせよ, セッションハイジャックされたところでアカウントそのものを乗っ取るにはパスワードか登録メールアドレスが必要だろう?
> 要するにアカウントの重要な情報を扱う際にはパスワードなりワンタイムキーなり要求される
これは、セッションを乗っ取られたところで、重要な場所ではIDとパスワードの組み合わせが再度求められるから
セッションIDくらい漏れたとしても大して問題ではないと言ってるんだよ。やっぱり中学生なら理解できる内容だ。
> セッションハイジャック=アカウント乗っ取り, つまりセッションキーがパスワードと等しいようなシステムは設計上の欠陥なんだよ
これは、仮にセッションIDのみを見て重要な情報にアクセスできるシステムは、その時点で欠陥なんだ
と言っている。中学生なら理解出来る内容だ。
で、君なんて言ったっけ?「セッションID = パスワードと同等 だから、クライアントにどっちが有っても一緒だ」って言ったよね。
よーく読んで、君の肝臓で考えてみよう。君の言ってることと、君が味方だと思ってる >>234 の言ってる事、同じかな?
0266nobodyさん
2016/08/20(土) 22:24:04.44ID:???> あと>>249に絡んでるとこも阿呆だなww
> お前と同じ当たり前のことをドヤ顔で言ってるだけなのに
私は一度も>>249のような事は一度も言ってないよー? 中学生でも理解できる内容だけど、わからないかなー?
もう一回、年長さんくらいからやりなおそうか。そうしないとマトモな大人になれないよ?
0267nobodyさん
2016/08/20(土) 22:34:31.30ID:???セッションIDだって漏れたらそれなりにマズいよ。
だから出来るだけ漏れないように作る。
でも、パスワードが漏れるのは、セッションIDが漏れる場合の比じゃない損害になる。
だから漏れる可能性があるところにパスワードなんか保存してはダメだ
と、君以外のみんなはずっと言っていたわけだ。
>>256 : nobodyさん2016/08/20(土) 16:30:34.02 ID:???
> なんかちょろっとやったら全部見えちゃいましたじゃねえよボケ
> 秘匿情報入手したらの話をしてんのに馬鹿かおまえ
私がずっと上の方で言った「XSSを封じているかが関与してくる」という言葉の意味を、
ちゃんと調べて勉強しようね。
仮にXSS脆弱性が存在したなら、ちょろっとやったらcookieの内容が見えてしまう可能性が十分にあるのさ。
だからXSS脆弱性を存在させないことが重要だが、かりに存在してしまったとしても大丈夫なように
cookieになんかパスワードは保存しない、というのがみんなの意見だったわけだ。
君はまったくその事が理解できなかったし、今もできていないみたいだけどね。
0268nobodyさん
2016/08/20(土) 22:41:11.21ID:???新しいクラスを作ってますが、そのメソッドの中で例外を分投げたいのですが、
そのメソッド内で呼ぶ既存の関数とかで戻り値FALSEで返したりと踏んだりけったりです。
どういう方針でやるべきでしょか?お願いします。
0269nobodyさん
2016/08/21(日) 00:09:05.19ID:???ドン引きして誰も書かないだけなのに賛同者とか大笑い
ほんと空気読めないチンパンJJIはだめだわwwwww
0270nobodyさん
2016/08/21(日) 00:45:04.67ID:???不毛な議論続けてばっかみたい…
0271nobodyさん
2016/08/21(日) 00:59:00.21ID:???新しい質問者が来てるのに構わず自分論を語ってる君、馬鹿みたいだね。
私に「向こうに帰れ」って言ってたのはやっぱり、
「お前が居ると馬鹿な僕ちゃんが虚勢張れないじゃないか」って意味だったのかなぁ?
>>268
あんまり何言ってるかよくわからんけど、
クラス内で例外投げたいなら
そのクラス呼ぶ部分でtry{}catch{}したらいいじゃない。
クラスメソッドの関数で失敗時にfalse返すなら、
クラスメソッドを呼ぶ部分でfalseが帰ったら例外スローすればいいでしょう?
同じクラスでpublicな例外投げる関数とfalse返す関数があるなら、それは設計が間違ってるから、見直し。
>>270
どうしてそう思う?
> セキュリティに問題があるの前提と
って大づかみだなぁ。これまでの流れ大して読んでないからだと思うけど
自分の言ってること、的を射てると本当に思ってるならお前もカニ味噌だよ。
セキュリティの基本は何重にも重ねて、一つ突破されても次で食い止める。
セキュリティに問題が「無い」なんて言い切れる仕様は、無いよ。
そのくらい、ちょっとシステムかじればわかるだろう?
0272nobodyさん
2016/08/21(日) 01:01:38.63ID:???一応言っておくと、有ることは有るよ。
一切外部からの入力を受け付けないシステム。
これならゼッタイ安全だ。誰も使えないけどね。
0273nobodyさん
2016/08/21(日) 01:02:42.48ID:???だからこっちも暇つぶしには最適だ。
0274nobodyさん
2016/08/21(日) 01:04:31.64ID:???聞いてないこと説法されたくないし、自分よがりなレス続けても噛みあうわけがないんよ
今日はもう寝たほうがいいと思う
0275nobodyさん
2016/08/21(日) 01:08:56.48ID:???自己紹介?
こっちは昼寝したので暇つぶしなんだけど、貴方の言ってることよくわからんね。
>聞いてないこと説法されたくないし
されたくなければ馬鹿なこと言わなければいいだけじゃん。
貴方の言ったのがどれか全くわからんけど。
>今日はもう寝たほうがいいと思う
貴方がね。お休み。一晩寝て馬鹿が治ると良いね。
0276nobodyさん
2016/08/21(日) 01:09:24.09ID:???それを楽しみにするような歪んだ性格の持ち主は、ちょっと…ね…
もうちょっと大人になろう
0277nobodyさん
2016/08/21(日) 01:11:05.94ID:???> 長文で必死だな
ああ、やっぱり100文字超えると理解できなくなるカニ味噌脳の人だったか。
それは君の脳力の問題だから自分でなんとかしてくれないと、こっちではどうにもならないなぁ。
必至なのは、長い文章を理解しようとしても出来ない君のことだからなぁ。
0278nobodyさん
2016/08/21(日) 01:14:36.21ID:???> 匿名なのをいいことに他人を卑下することしか出来ず
匿名なのをいいことに浅い知識で適当なことしか言えず、
それを否定されたら全く筋の通らない言い訳・反論を繰り返す方が
人間としてどうなの?
って、大人の僕としては思うけど、あなたは自分の面子さえ保てれば
何が正しいかどうか何て関係ないと思っているおこちゃま?
匿名なら恥ずかしい事言っても誰だかわからないから、
言った時だけいい気分になれるもんね。
それを否定されたら居場所なくなっちゃうから必至で守りたいわけだ。
「向こうに帰れ」と言いたくもなるよねぇ。うんうん。まさにゴミクズだ。
0279nobodyさん
2016/08/21(日) 01:19:38.84ID:???>>213 : nobodyさん2016/08/19(金) 16:39:36.92 ID:???
> >>204
> いやいや、漏れたら一緒だろ
> 一緒じゃないというなら、何が違うか説明しろ
このカニ味噌君だって事を、そろそろ気付こうよ。
俺は匿名でなくとも問題ないことしか言ってない。仮に相手がマトモなやつならという条件でな。
でもカニ味噌くんみたいな頭おかしい奴が世の中には沢山いるから匿名でいるだけだ。
これは、同じ匿名で発言したとしても本質的に全く違うことだ。
0280nobodyさん
2016/08/21(日) 01:21:01.06ID:???お前がやっぱPHPスレ潰した張本人だったようだなwww
煽り長文オナニー続けてもうなりかけてるようだが向こうも時間の問題だな
管理されてない状況下でスレ潰すには1人のゴミクズで十分なのがよくわかる
虫ばっか喰って頭おかしくなってんだろ糞長野県民が
0281nobodyさん
2016/08/21(日) 01:26:21.15ID:???ありがとうございます。クラスの設計での例外の扱いの話です。
>>同じクラスでpublicな例外投げる関数とfalse返す関数があるなら、それは設計が間違ってるから、見直し。
で、例えば、全部例外投げる関数にします。
で、その実装において、preg_match関数を使うとします。この関数は失敗すると例外投げずに
FALSEが返るらしいんですが、全部それらをハンドリングして、
わざわざ例外に変換してthrowする感じですかね?
0282nobodyさん
2016/08/21(日) 01:29:46.78ID:???既存の関数とかは失敗時に例外投げずにFALSE返さすようなのが結構ありそうで
めんどくさそうだなぁと思った次第です。
0283nobodyさん
2016/08/21(日) 01:32:01.71ID:???> で、その実装において、preg_match関数を使うとします。この関数は失敗すると例外投げずに
> FALSEが返るらしいんですが、全部それらをハンドリングして、
> わざわざ例外に変換してthrowする感じですかね?
そうなるね。
例外の便利なところは、ビジネスロジックとしてアトミックな処理ができる所。
アトミックっていうのは、成功するか失敗するかどっちかで、一部だけ成功って言う状態がないこと。
これはエラーハンドリングが凄い楽になる。
関数単位でいちいちfalse判定して例外投げるのは大変そうに見えるけど、
実は、原因不明のバグをものすごく簡単に潰せるようになるよ。
0284nobodyさん
2016/08/21(日) 01:34:50.87ID:???ちなみにPHPでは標準のエラーを例外に変換出来る機能があるから調べてみること。
PHP5系までではFatalエラーは例外に変換できなかったけど、
PHP7からFatalエラーも例外に変換できるようになった。
これは重要な進化だ。
0285nobodyさん
2016/08/21(日) 01:36:53.75ID:???> まだいたのかチンパン野郎
自分もまだいるのに、他人に「まだいたのか」ってカニ味噌くんは本当に面白いなぁ。
お家に鏡ないのかな?
0286nobodyさん
2016/08/21(日) 01:38:08.27ID:???ここの例を参考にしてErrorExceptionを補足すればいい
0287nobodyさん
2016/08/21(日) 01:42:37.43ID:???お前はこのスレにいちゃいけない
なぜならこのスレに不満を持っているからだ
わかるか?さっさと出ていけばチンパン?wwww
しかしお前PHP馬鹿にしつつPHP大好きなんだなwwww
Quitaとか自己主張強いオタ野郎丸出してマジ引くわーwwww
0288nobodyさん
2016/08/21(日) 01:45:15.68ID:???ずっと高地で引きこもってろよチンパンwww
0289nobodyさん
2016/08/21(日) 01:47:08.78ID:???>お前はこのスレにいちゃいけない
お前がこのスレにいたらお前が困るだけだろw
>しかしお前PHP馬鹿にしつつPHP大好きなんだなwwww
PHPを馬鹿にしたことは一度もないけど、なんか天から声が聴こえるタイプかな?
>Quitaとか自己主張強いオタ野郎丸出してマジ引くわーwwww
匿名で2chに落書きする事しかしたことないカニ味噌くんにはわからないだろう。
キータは君みたいなおサルさんが進化するアイテムとしては、とても良く出来ている。
本当にゴミクズ記事ばかりだが、それらを集めたら結構な資産になるから不思議だ。
だからググッてキータが上位に来ても、別にイラッとしない。
それらを合わせて解をだせばいいだけだ。
カニ味噌では理解できないのもわかるけどな。
0290nobodyさん
2016/08/21(日) 01:48:38.53ID:???> ずっと高地で引きこもってろよチンパンwww
低地にいる猿もいるんだが、知らないのかい?
で、引きこもってるのはどう見ても君だろう。
0291nobodyさん
2016/08/21(日) 02:40:57.09ID:???ありがとうございます。おかげですっきりしてきました。
>>ここの例を参考にしてErrorExceptionを補足すればいい
set_error_handlerとかは、クラスライブラリを作成する側で使ってはいけませんよね?
クラスライブラリの利用者やアプリの開発者側で使うものですよね??
ということで、クラスライブラリの方では、先ほどのpreg_matchの例だと
if (preg_match( ) === false) {
$detail = error_get_last();
throw new ErrorException($detail['message'], 0, $detail['code'], $detail['line'], $detail['file']);
}
で、こんな感じで例外に全部変換しておきます。
0292nobodyさん
2016/08/21(日) 12:09:24.42ID:???> if (preg_match( ) === false) {
> $detail = error_get_last();
> throw new ErrorException($detail['message'], 0, $detail['code'], $detail['line'], $detail['file']);
> }
> で、こんな感じで例外に全部変換しておきます。
いや、投げるのはErrorExceptionじゃない方が良いと思うよ。
ErrorExceptionはPHP側のWarningやNoticeが発生した場合に投げる。
自分で判定して投げる例外と、言語的なエラーで投げられる例外の区別つかなくなっちゃうから、
自分で判定して投げる例外は単にExceptionにするか、
Exceptionを継承した独自例外クラスを作ってそれのオブジェクトを投げるようにした方が良いと思う。
そうすると、catchする例外で処理が分けられるから随分エラーハンドリングとデバックが楽になるはずだ。
0293nobodyさん
2016/08/22(月) 10:30:09.61ID:???それに絡めて、>>196から「自動ログイン」の話も始まってる。
で、>>201(妥当)なんだが、>>202から話の流れがわかってない奴が発狂という流れ。
0294nobodyさん
2016/08/22(月) 10:32:20.54ID:???システムで管理しているユーザID・パスワードが全部流出するとかいう話に勝手にして沸騰。
そんなのそれより上の流れと違うに決まってるでしょ。
0295nobodyさん
2016/08/22(月) 10:53:53.94ID:???0296nobodyさん
2016/08/22(月) 14:08:56.99ID:???ユーザーのパスワードが漏れるのと一時的なパスワード以外のセッション情報が
漏れるのを完全に同一視した>>203の発言が発端。
0297nobodyさん
2016/08/22(月) 14:48:13.83ID:???> ユーザーのパスワードが漏れるのと一時的なパスワード以外のセッション情報が
> 漏れる
正しくは違う。
cookieに保存されているなにかが漏れたときに話で、それがユーザID+パスワードだろうが
PHPSESSIDだろうが、その他の(自動)ログインに必要な情報だろうが、漏れたら一緒だろってこと。
まぁ、一緒というのは言いすぎで、もちろんセッションが無効になってたりしたら事情は違うが。
0298nobodyさん
2016/08/22(月) 14:49:23.98ID:???0299nobodyさん
2016/08/22(月) 14:58:43.11ID:???一緒の「主語」がはっきりしてないけどさ(俺もだったけど)。
被害が一緒じゃないから>>228は1人のケースじゃわかりづらいから規模を10000人にして、
10000人のパスワードが漏れるのと10000人のセッションIDが漏れるのとで、
システム管理者の対策が同じなのかよ??って疑問を投げかけたんじゃないの??
もちろん、セッションID漏れるのもまずいけど、
パスワード漏れると、パスワード変えられてアカウントハックされるし、
セッションID漏れても、パスワード変更するときに再ログイン強制させてれば、多少大丈夫だし
完全に一緒じゃないじゃんって話をみんなしてたんじゃないの??
0300nobodyさん
2016/08/22(月) 15:00:12.17ID:???>>203=>>201が完全に一緒みたいな事を言ったのが事の発端で、
それに対して他が完全に一緒じゃないって反論してたんだろ
0301nobodyさん
2016/08/22(月) 15:05:35.05ID:???自分で同一じゃないって言ってんじゃん。
パスワード漏れるのとセッションID漏れるのとでは、「「完全」」に一緒じゃないから、
クッキーにセッションID格納するのと同じ感覚でパスワードも格納なんかしないよって他はいってんでしょ。
だから、事の発端は>>203のパスワード漏れるのとセッションIDが漏れるのを「「「完全に同一」」みたいな
発言をしたことなんだよ。
それに対して他が「「完全に同一」」じゃないって反論してるんだよ。
0302nobodyさん
2016/08/22(月) 15:07:10.79ID:???> 10000人のパスワードが漏れるのと10000人のセッションIDが漏れるのとで、
> システム管理者の対策が同じなのかよ??って疑問を投げかけたんじゃないの??
それ、サーバ側で情報が漏れたときの話じゃないの?
> パスワード漏れると、パスワード変えられてアカウントハックされるし、
普通変えないでしょ。
>>300
> それに対して他が完全に一緒じゃないって反論してたんだろ
反論のポイントが見当違いだってこと。
0303nobodyさん
2016/08/22(月) 15:11:45.28ID:???> クッキーにセッションID格納するのと同じ感覚でパスワードも格納なんかしないよって他はいってんでしょ。
俺は>>203じゃないから違ってるかもしれないけど、>>203は、自動ログインを実現するためにセッションIDや
ユーザID+パスワードじゃない何かを使ったとしても、もしそれが漏れたら一緒だろと言ってると思う。
パスワードを格納するよと言ってる奴は誰もいなくて、多分>>194もそのユーザIDとパスワードを保存するような
困ったちゃんがいるんだが、って報告なんだと思う(想像)。
0304nobodyさん
2016/08/22(月) 15:11:45.95ID:???>反論のポイントが見当違いだってこと。
見当違いとは思わんけど、みんなそこ(>>203=>>201)に反論してるんだよ。
話の流れ理解できないで騒いでたのか・・・
0305nobodyさん
2016/08/22(月) 15:18:52.99ID:???完全一致じゃないことなんか自明なんで、そこにこだわってるなんて想像できなかったわ。
あと蛇足だけど、ブラウザにパスワード覚えさせろって人がいたけど、PCにログインされちゃえば
Chromeなんかは生パスワードが全見えなんで気をつけろよ。
0307nobodyさん
2016/08/22(月) 15:46:37.72ID:???0308nobodyさん
2016/08/22(月) 15:49:19.67ID:???0309nobodyさん
2016/08/22(月) 15:49:20.94ID:???>>完全一致じゃないことなんか自明
とかいっておきながら>>296で
>>>201(妥当)
>>201つまり>>203が妥当とか言ってるのがようわからん・・
>>217の人だって
>(例えばセッション情報等の)ログインに必要な情報 =(結局password同様)
>という等号が成り立つと思ってるところが
>お前がアホ極まれリなところ。
要するにセッションIDが漏れるのとパスワードが漏れるのが「完全に同一か?」
どうかを問題にしてて、みんなそこにこだわってそこ(>>203=>>201)を議論してるんじゃね?
0310nobodyさん
2016/08/22(月) 15:57:25.91ID:???これ以上議論する意味はほぼないと思うが、本意が伝わってないと思われるのでもう一度書く。
>>201が言ってるのは(俺の想像にすぎないが)
> 要するにセッションIDが漏れるのとパスワードが漏れるのが
という対立構造じゃなくて、自動ログインを実現する場合に、いずれにせよ何らかの情報を
cookieに保存せざるを得ず、それが漏れるのとcookieに保存したユーザID+パスワードが
漏れるのは同じでしょ言ってるんだと思う。
で、俺もそう思う。
何が一緒なのかというのは、「漏れたら第三者にそれを使ってログインされるというセキュリティリスク」。
セッションが有効な間のPHPSESSIDも同じ。
0311nobodyさん
2016/08/22(月) 16:03:10.87ID:???「漏れたら第三者にそれを使ってログインされるというセキュリティリスク」に限っては同一かもしれないが, セキュリティリスク全体として見ればパスワードの漏えいの方が遥かに重大
その上で「漏れたら一緒でしょ」って言ったらそりゃ反論されるでしょうよ
パスワードをCookieにせよSessionにせよ生で保存するのがあり得ない, という前提が文脈から判断出来れば, 経緯は変わってたと思うけども
0312nobodyさん
2016/08/22(月) 16:09:34.37ID:???> パスワードをCookieにせよSessionにせよ生で保存するのがあり得ない, という前提が文脈から判断出来れば, 経緯は変わってたと思うけども
>>201はそれが前提だと俺は読んだんだが。
> password以外のログインに必要な情報はクライアントが持ってるんだし
つまり、passowrdを保存しない場合でも、という前提の話。
0314nobodyさん
2016/08/22(月) 16:14:33.21ID:???「パスワードをCookieにせよSessionにせよ生で保存するのがあり得ない」の流れを否定するように読めこそすれ, その逆にはちょっと読めないなぁ
まぁ本人居ないからあんまり有意義ではないけど(居ても有意義でないだろうけども)
0315nobodyさん
2016/08/22(月) 16:17:31.68ID:???> cookieが安全かどうかはブラウザがhttponlyに対応しているかとXSSを封じているかが関与してくる。
> そんなとこにpasswordを入れるかどうか議論したい馬鹿がいるのか?
> もっと言うと、自動再ログインにpassword利用する猿がいるのか?
>>201
> password以外のログインに必要な情報はクライアントが持ってるんだし
> それが漏れたら一緒でしょ
の流れで、201の「それ」がpassowrdだとは読めないんですが・・・。
0316nobodyさん
2016/08/22(月) 16:21:15.74ID:???「それが漏れたら一緒でしょ」というのは話の流れとして「[password以外のログインに必要な情報]が漏れたら[passwordが漏れるのと]一緒でしょ」と読めるわけだ
0318nobodyさん
2016/08/22(月) 16:30:49.43ID:???0319nobodyさん
2016/08/22(月) 16:33:00.44ID:???もう止めとくかw
0320222
2016/08/22(月) 18:00:31.26ID:???0321nobodyさん
2016/08/22(月) 18:56:15.46ID:???ニートにゃ台風もくそもないかww
0323nobodyさん
2016/08/22(月) 20:13:10.95ID:???つーか、お前ら月曜日の真っ昼間に何やってんだよ。仕事ねーのか?
0324nobodyさん
2016/08/22(月) 21:22:49.99ID:???0325nobodyさん
2016/08/22(月) 21:41:01.14ID:???プログラム版に似たスレあったっけ?
■ このスレッドは過去ログ倉庫に格納されています