日付:2011-08-28 次回定例:2011-09-04
いる人~?
wizard たっく さんの発言
いる
☆ shell さんの発言
ノ
Keiichi TAKANO さんの発言
よし
今日はぐー欠席によるgoodroid会議を開催します
ぐーは進捗も書いてないからおしおきが必要だべ
wizard たっく さんの発言
うんこまんだからゆるせ
なんてな
Keiichi TAKANO さんの発言
一度の例外も認めません!!
え~、ではみなさん進捗ページ開いてください
開いたら反応してね
wizard たっく さんの発言
ok
☆ shell さんの発言
開いてる
Keiichi TAKANO さんの発言
進捗は書いてある通りでおk?
wizard たっく さんの発言
ok
Keiichi TAKANO さんの発言
ふみくん!
☆ shell さんの発言
おk
Keiichi TAKANO さんの発言
なんか書いてあることに対して質問等ある?
☆ shell さんの発言
いまんとこない
wizard たっく さんの発言
とりあえずだいじょうぶ
Keiichi TAKANO さんの発言
じゃあおれから
>たっく 稟議ページの構成案ってどんな感じ?
>稟議ページ作成にどれくらいかかりそう?
wizard たっく さんの発言
トータルだと週末くらいにはできるんじゃないかな
たたき台の作成と日々の仕事の終わり時間による
Keiichi TAKANO さんの発言
とりあえず具体的な目標をあげよう
wizard たっく さんの発言
週末まで
Keiichi TAKANO さんの発言
じゃないとぐだぐだになってまう
おk
それ進捗更新しといて^^
構成案は?
DBの話?ページレイアウトの話?
それとたっくの場合、MacにEclipse環境を構築もだな
wizard たっく さんの発言
トータルな案
環境くれ
Keiichi TAKANO さんの発言
ちょっちまち
Airに入ってるからあとでね
wizard たっく さんの発言
ん
Keiichi TAKANO さんの発言
>ふみくん
DB設計の方はあれから進んだ?
☆ shell さんの発言
あれからも何も、あれ以上 画面レイアウトがわからん以上、何が必要かわからん
Keiichi TAKANO さんの発言
画面レイアウトは今のままだよ?
☆ shell さんの発言
申請と承認側のテーブルの話だよね?
wizard たっく さんの発言
割り込みいい?
Keiichi TAKANO さんの発言
全部だよ
いいよ
wizard たっく さんの発言
今のDBの話って何のデータ格納用に使う予定なの?
Keiichi TAKANO さんの発言
全てのページのDB設計を再構築って話
wizard たっく さんの発言
ほう。
Keiichi TAKANO さんの発言
特に登録日、更新日あたり
wizard たっく さんの発言
続けてください
Keiichi TAKANO さんの発言
>ふみくん ideaのは確認した
☆ shell さんの発言
う~ん 俺も勘違いしてるかも== 高野の言う あれから はどのタイミングからの あれから?
Keiichi TAKANO さんの発言
今日の夕方
☆ shell さんの発言
申請・承認にかんする話(先週)~なのか
Keiichi TAKANO さんの発言
稟議以外の話ね
ごめん
☆ shell さんの発言
t_admin_progress 書いてる(CREATE
Keiichi TAKANO さんの発言
おk
☆ shell さんの発言
ということで、まだ2ぺーじめだ
Keiichi TAKANO さんの発言
おれもPHPのSQL文の修正やるからに、1週間のペース配分考えるから
だいたいどのくらいで終わるかなって知りたかった
今週いっぱいをDB再構築にあてる?
管理者情報を外部キーで管理するなら、時間かかるかもよ
管理者情報=登録者名、更新者名の部分
☆ shell さんの発言
9テーブルでしょ? とりあえず 水曜に中間報告するので、 それまでは作業とさせてくれ
Keiichi TAKANO さんの発言
了解!
おれが聞きたいことは以上
☆ shell さんの発言
りょ~かい
Keiichi TAKANO さんの発言
今週は特に話す内容ないんだけど、みんなからなにかアナウンスあれば挙げてください。
wizard たっく さんの発言
ちょいまち
Keiichi TAKANO さんの発言
おk
wizard たっく さんの発言
管理者ページのアドレス「admin.php」
kono
このアドレス嫌なんだけど
今後変更したらいろいろ大変?
Keiichi TAKANO さんの発言
adminが嫌ってこと?
wizard たっく さんの発言
今後ページを公開した場合、少し知識のある第三者がアドレスバーにadmin.phpと打つ可能性
低くないような気がして
Keiichi TAKANO さんの発言
名前変えるのは何もむずかしくないよ
wizard たっく さんの発言
もう少しセキュリティ性を上げるならば、違う文字列にした方がいいのでは?と思っている
phpファイルとインクルードさせているファイルのソースコードを変えるくらい?
Keiichi TAKANO さんの発言
全てのページのmode=adminのadminを変更する必要もある
wizard たっく さんの発言
ほう
Keiichi TAKANO さんの発言
でも置換すればいいだけ
wizard たっく さんの発言
りょーかい
その辺は検討しておく
Keiichi TAKANO さんの発言
おれのセリフw
wizard たっく さんの発言
次回の会議に議題としてあげて
Keiichi TAKANO さんの発言
今でいいじゃん
確かにログインページに来られるのは困る
wizard たっく さんの発言
なんていう文字列にするか検討しなきゃじゃん
Keiichi TAKANO さんの発言
うん
wizard たっく さんの発言
文字数の制限はあるの?
Keiichi TAKANO さんの発言
今議題に挙がってて、来週までの課題ということにする
ないよ
wizard たっく さんの発言
わかた
Keiichi TAKANO さんの発言
adminって文字列をmd5で暗号化は?
wizard たっく さんの発言
まぁ、何でもいい気はする
だめ
Keiichi TAKANO さんの発言
安易か
nimda
wizard たっく さんの発言
kEfTh83rhH2D
みたいな感じがいい
Keiichi TAKANO さんの発言
うn
wizard たっく さんの発言
なんの意味も持たない文字列
Keiichi TAKANO さんの発言
のように見えて意味のある文字列にしてほしい
要は覚えられる文字列
なんの意味ももたないのは、忘れたときに調べて打ち込むの大変
wizard たっく さんの発言
ブクマとかしとけばいいじゃん
Keiichi TAKANO さんの発言
それが消えたときや、他のPCを使わなきゃいけないときの対応として
wizard たっく さんの発言
たとえば?
Keiichi TAKANO さんの発言
みんなの名前の頭文字とるなり誕生日とるなり組み合わせを考えればそれっぽいのできるべ
他人からは絶対にわからない
まぁ携帯やWeb上のパスワード保存しとけばいいだけかもしれないんだけど
☆ shell さんの発言
ノ
Keiichi TAKANO さんの発言
ノ
☆ shell さんの発言
ログインページは見せたくないよ という話だけど
見られると困ることって何があるかな?
wizard たっく さんの発言
ポリシーとして
困る云々ではなく、セキュリティーを高める事を目的としている
従って、第一段階の砦として、ログインページに行かせない
第二の砦として管理者ページを閲覧するときはID,PASSで認証をする
安易な名前の「admin.php」だと、セキュリティを可能な限り高められていないのでは?
ってことでおk? たかのせんせ
Keiichi TAKANO さんの発言
おk
くさいものにふたですよ
wizard たっく さんの発言
なんともわかりにくいたとえだなー
Keiichi TAKANO さんの発言
こないだふみくん言ってたじゃん!w
☆ shell さんの発言
?
Keiichi TAKANO さんの発言
一般トップページにログインへのリンク張らない理由と一緒
極力他人にログインページは見てもらいたくないよ
☆ shell さんの発言
個人的に 一般ページに張らない案は 賛成としても
我々が URLを覚えられんのは 反対&セキュリティってことでログインページを設けてるのだから
それ以上に強化するとなると、システムとして使いにくくならんか?
URLをmd5とかで暗号化して、ブックマークするのもいいかもしれないけど
結局、それって使いにくくない?
Keiichi TAKANO さんの発言
もちろんSQLインジェクション対策も大事だけど、物理名称である程度回避できるのならそれが一番の対策だよ!人間が頭で記憶するには使いにくいかもしれないけど、基本コンピュータに記憶させとくなら意識しないレベルじゃないかな…と思ったけど、毎回PHP書くときに長くてわかりにくい文字列書くの想像したら面倒いな
admin.phpは管理者ページにある限りすべてのページで使うからね
☆ shell さんの発言
まぁ やるなら 接続するPCとか端末のIPアドレスを 登録しておいて、 ログイン時の認証キーにつかうとかじゃね?
Keiichi TAKANO さんの発言
ちょっちその辺は調査しよう
☆ shell さんの発言
なんかいい方法があるかもしれない
グローバルIPアドレスって毎回変わるんでない?
たっくどうなん?
☆ shell さんの発言
アドレスで制御できるならそれも案の1つとして考えるべきだが、どの辺までやるのか って線引きも重要だと思う
wizard たっく さんの発言
固定IP持ってるならできるんじゃない?
Keiichi TAKANO さんの発言
でもそれだと自分のPC
でしかできないよ
wizard たっく さんの発言
普通はISPがDHCPで動的にふってたりするし、基本的には不可能だよ
「自分のPC」でも無理
プライベートIPが付与されているから
ケータイならSIMとかの個体識別番号で管理は出来る
Keiichi TAKANO さんの発言
MACアドレスになっちゃうじゃん
wizard たっく さんの発言
どゆこと?
Keiichi TAKANO さんの発言
個体番号
物理的な番号
wizard たっく さんの発言
MACアドレスなんて使わないでしょ
Keiichi TAKANO さんの発言
そう?
wizard たっく さんの発言
うん
Keiichi TAKANO さんの発言
よくルータの設定でMACアドレスの登録あるじゃん
wizard たっく さんの発言
だってネットワークはIP通信だもん
Keiichi TAKANO さんの発言
認証のことだよ
PCの
PCというかユーザか
wizard たっく さんの発言
あれは同セグメントだからできるのです
Keiichi TAKANO さんの発言
?
wizard たっく さんの発言
すまん、わかりにくかったね
Keiichi TAKANO さんの発言
今ユーザID+パスワードじゃ足りないから
それに、DBにIPアドレスも登録させて、よりセキュリティを強化しようって話じゃないの?
wizard たっく さんの発言
IPアドレスは基本的にプロバイダからレンタルしてインターネットに接続してるのね
Keiichi TAKANO さんの発言
ISPがIPアドレスを動的に振り分けてるのはわかるよ
wizard たっく さんの発言
うん
Keiichi TAKANO さんの発言
DBにIPアドレスも登録させて、よりセキュリティを強化しようって話じゃないの?
wizard たっく さんの発言
したらDBにIPを登録しても意味ないじゃん
Keiichi TAKANO さんの発言
だからMACアドレスじゃね?って言ってるの
wizard たっく さんの発言
MACは使えない
説明すると
MACアドレスって言うのはレイヤ2で使われている機器が持っているユニークな識別番号なのね
そのMACアドレスが識別できるのはレイヤ2まで
それ同じような感じでIPアドレスっていうのも機器がユニークで持っているの
このIPアドレスって言うのは、レイヤ3で認識するものであり
Keiichi TAKANO さんの発言
ログインフォームにMACアドレス打ち込みでアプリに渡すじゃだめなの?
裏でできるならそれが一番なんだけど
それは難しいでしょ?
wizard たっく さんの発言
打ち込みは手動?自動?
Keiichi TAKANO さんの発言
まだそこまで話が進んでない
自動がいいけど、手動でもそこそこセキュリティ的にあがるんじゃないかって
ただめんどくさいけどな
wizard たっく さんの発言
それならID、PASSとのちがいがわからん
Keiichi TAKANO さんの発言
それはわかってるよ
ちょっと先走ってる。
結論から言うと、DBにIPやMACアドレスを登録したとしても、ログインフォームを無効化するSQLインジェクションかけられると意味ないから、他の方法とった方がいいんじゃない?っておれは言いたい。
そのために、ログインページの物理名称を変えるのはそこそこ有効なんじゃないかなって
おk?
wizard たっく さんの発言
あれ、そういう話で進んでたんじゃなかったっけ?
Keiichi TAKANO さんの発言
ふみくんどう?
☆ shell さんの発言
接続元・端末を制限できない(IP/MAC)ってのはok
URLをいじる 点では、 ハッシュだの暗号化だの でわけのわからん形になるのは 個人的にNG
結果、 そのほかの案を探そうってのも おk
案を探そうってのは おk ↑
Keiichi TAKANO さんの発言
いろいろあると思うけど、DB
を使ったセキュリティ対策は
ユーザID+パスワードで十分だと思う
それ以外にできることを来週の会議までに各自調査って形でいいかな?
できればソース付で
wizard たっく さんの発言
むしろローカル側で出来る事ってないんじゃない?
やりたい事って
知ってる人だけが管理者ページにアクセス
知らない人には管理者ページにアクセス不可、存在自体も知られたくない
これでしょ?
Keiichi TAKANO さんの発言
そう
wizard たっく さんの発言
なので
Keiichi TAKANO さんの発言
正確には、絶対管理者ページに入られたくないだね
ページの存在自体は知られても構わない
wizard たっく さんの発言
矛盾してるじゃん
Keiichi TAKANO さんの発言
管理者ページを知られても絶対に入られないのであれば、わざわざわかりにくいファイル名にする必要ないし、それが無理なら悪あがきとしてファイル名変えるのもあり
管理者ページ→ログインページ
要はログインされなきゃいい
wizard たっく さんの発言
ならログインページに行かせなきゃいいじゃん
Keiichi TAKANO さんの発言
それもひとつの案だよ
今はそのためにファイル名を変えるって話じゃん?
wizard たっく さんの発言
うん
でもちがうよね
Keiichi TAKANO さんの発言
?
wizard たっく さんの発言
>ページの存在自体は知られても構わない
これはちがうでしょ
Keiichi TAKANO さんの発言
最終目標はログインされないようにする でしょ?
wizard たっく さんの発言
そう
Keiichi TAKANO さんの発言
その為の策としてログインページを知られないようにするってのがひとつの案
wizard たっく さんの発言
はい
Keiichi TAKANO さんの発言
他にもSQLインジェクション対策なんかで絶対突破されない方法があるかもしれない
可能性の話ね
wizard たっく さんの発言
でもID、PASSがわかったら意味ないでしょ
可能性の話をしているなら尚更
Keiichi TAKANO さんの発言
ファイル名変えるのだってばれたら終わりジャン
wizard たっく さんの発言
ページに行かせない+ID、PASSで認証にすべきなのでは?と
Keiichi TAKANO さんの発言
それもありだねって思ってるよ
wizard たっく さんの発言
可能性の話だよ
Keiichi TAKANO さんの発言
可能性の話をしているなら尚更
ってことだよ
wizard たっく さんの発言
わからん
Keiichi TAKANO さんの発言
何もファイル名を変えるのが悪いなんて思ってない
wizard たっく さんの発言
そうじゃない
単純に
adminは推測されやすいから
変えた方がいいのではと言っただけ
それ以上は何もない
Keiichi TAKANO さんの発言
推測されにくい文字列にすると使いにくいってのがふみくんの意見でしょ?
wizard たっく さんの発言
それは理解してる
ただ、そこで利便性を取るのかセキュリティを取るのか。
Keiichi TAKANO さんの発言
それなんだよ
wizard たっく さんの発言
極端に偏る必要はない
Keiichi TAKANO さんの発言
まだおれらも知識が浅いから調査しましょ?
そんで来週もう一回話そう?
wizard たっく さんの発言
なんの調査をするの?
そこがわからない
Keiichi TAKANO さんの発言
利便性を取るのかセキュリティを取るのか
wizard たっく さんの発言
調査するものなの
?
Keiichi TAKANO さんの発言
利便性をとってもセキュリティを高められる方法
wizard たっく さんの発言
利便性 or セキュリティ は,
調べるものではなく定義するものなのでは?
Keiichi TAKANO さんの発言
定義する材料をもってない
wizard たっく さんの発言
わかった。
来週まで宿題ね
Keiichi TAKANO さんの発言
うん
☆ shell さんの発言
個人でWebページセキュリティ について調べる で内容は
個々に任せる ってことで
Keiichi TAKANO さんの発言
おこ
おk
☆ shell さんの発言
タニーにも連絡しとかんとね
Keiichi TAKANO さんの発言
正直1週間でまとまる内容でない気がするなぁ
☆ shell さんの発言
まぁ そうね
wizard たっく さんの発言
決めの問題だよ
Keiichi TAKANO さんの発言
結局一番は、アクセスされにくい+ログインを突破されないだからなぁ
パッと思いつく簡単なのは物理名称を変えること
でも求めるものはログインフォームを絶対突破されないこと
前者は今からでもできる
後者はしばらく悩む
知識不足
ちゃんとSQLインジェクション対策がされていて、ユーザIDとパスワードが総当たりや辞書攻撃に耐えられるなら余裕なんだけど
このレンタルサーバのSQLインジェクション対策がわからん
こないだメール送った内容の返事も来ないし
☆ shell さんの発言
できていますん
Keiichi TAKANO さんの発言
なぜできているのかが謎
レンタルサーバ側で強固なSQLインジェクション対策をしてくれているのなら、IDとPassをしっかりしたの持てばそれだけでかなり信頼できる
wizard たっく さんの発言
日付が変わったから終了!
時間決めてやる事も重要かもね
Keiichi TAKANO さんの発言
遅刻しといてそりゃねーだろw
wizard たっく さんの発言
遅れてすんません
がっきーに見とれててつい。
Keiichi TAKANO さんの発言
それじゃ、以上をもってgoodroid会議を終了します!
残りたい人は残って議論しよ
wizard たっく さんの発言
おちます
おつかれさまでした。
wizard たっく さんが会話から退席しました。
Keiichi TAKANO さんの発言
おつかれ
嵐のように過ぎ去っていったな
☆ shell さんの発言
まぁ セキュリティを強化したい って意思は共通
どこまでやるかが問題
どこまで、何をするか か
俺は過度なセキュリティは システムの品質を落とす と思ってるから、
難しい話は 少々ごめんだ
Keiichi TAKANO さんの発言
ファイル名変えてシステム的に問題でるのってどんな場合?
☆ shell さんの発言
変えるのってTOPページなんだよね
Keiichi TAKANO さんの発言
そう
ちがう
admin.php
トップページはtop.php
☆ shell さんの発言
なら、各画面からTOPページを呼び出すリンクくらいじゃない?
じゃ、admin.php.wo
を設定してあるリンク くらいじゃないかな?
Keiichi TAKANO さんの発言
そのリンク設定がめんどくさいってだけ?
☆ shell さんの発言
javaだと レスポンスURLとかだけど
classファイルじゃないから、 URLを地下書きしてるところだけだと思う
直
書
Keiichi TAKANO さんの発言
プロパティファイル作って管理するか
ページ名を
変数としてadminを使って
URLに書かれるのは暗号っぽいやつ
それなら変更点は一か所だけだし、管理もしやすいはず
ページ名専用のDBを作ってもいいかもね
☆ shell さんの発言
asdfg→[何かしらの変換]→admin
Keiichi TAKANO さんの発言
テーブルか
☆ shell さんの発言
ってこと==?
Keiichi TAKANO さんの発言
えtt
えっと
プロパティファイルに
$admin = fguihjkp って宣言しといて
admin.phpでそのプロパティファイルをインクルードしてあげれば
そっから先は$adminって変数でいける
変換作業はいらないよ
最初に定義しておくだけ
今でいうconfig.phpにDB設定と同じように書いとくのもあり
☆ shell さんの発言
ほむほむ
Keiichi TAKANO さんの発言
これが一番じゃね?
☆ shell さんの発言
fguihjkp をナント定義するか次第か
Keiichi TAKANO さんの発言
ほんとにでたらめな文字列でいいんだろうけど
記憶しといてurl直うちは難しいだろうね
☆ shell さんの発言
まぁ 次回 だな
Keiichi TAKANO さんの発言
議事録どしよ
☆ shell さんの発言
報告は HP参照として
高野が質問した2点?(俺とたくに
の質問内容と答え 書くのと、
Keiichi TAKANO さんの発言
おk
☆ shell さんの発言
セキュリティに関する議題を来週相談 程度でいいんじゃね?
Keiichi TAKANO さんの発言
おkk
これ全部コピペしてテキストでおいとくのはどう?
☆ shell さんの発言
いいんじゃない?
Keiichi TAKANO さんの発言
じゃそれで
☆ shell さんの発言
100%純粋な議事録じゃね?
Keiichi TAKANO さんの発言
だねw
あ~でもテキストにしたらたいへんなことに
Keiichi TAKANO さんの送信アイテム
“2011_08_28議事録.txt” の転送が完了しました。
Keiichi TAKANO さんの発言
見ずらくね?w
まぁいっか
☆ shell さんの発言
今軽く編集する
Keiichi TAKANO さんの発言
お願いします