- 1 名前:nobodyさん [2005/08/01(月) 21:27:12 ID:pG+mahP3]
- 落ちてたんで立てとく
■PEAR
pear.php.net/
■前スレ
Pear
pc8.2ch.net/test/read.cgi/php/985665522/
- 777 名前:nobodyさん mailto:sage [2007/03/14(水) 14:20:57 ID:???]
- >>774
ネットバンクとかで無いか?
- 778 名前:nobodyさん mailto:sage [2007/03/14(水) 14:35:20 ID:???]
- >>777
>>776
- 779 名前:nobodyさん mailto:sage [2007/03/14(水) 14:41:52 ID:???]
- >>778
意味ワカラン
- 780 名前:nobodyさん mailto:sage [2007/03/14(水) 14:43:11 ID:???]
- 分かった
- 781 名前:nobodyさん mailto:sage [2007/03/14(水) 14:46:43 ID:???]
- >>776
同じIPならセーフとかは?
- 782 名前:nobodyさん mailto:sage [2007/03/14(水) 14:57:05 ID:???]
- >>781
ルータ経由はどうすんの。
- 783 名前:nobodyさん mailto:sage [2007/03/14(水) 19:03:09 ID:???]
- やっぱり難しいさね。
ストリーミングサイトだったら通信継続してるから
感知して第二ユーザはキック出来るけど、そうじゃなきゃ>>775のような
ケースでクレーム来るほうが怖いからなあ。
- 784 名前:nobodyさん mailto:sage [2007/03/14(水) 19:07:01 ID:???]
- ログイン画面で固定のキーを与えるのどうだろう。
- 785 名前:nobodyさん mailto:sage [2007/03/14(水) 19:12:34 ID:???]
- トークン使う
- 786 名前:nobodyさん mailto:sage [2007/03/14(水) 19:21:48 ID:???]
- 明示的なログアウト送信がない限り全部一緒の問題を抱える
- 787 名前:nobodyさん mailto:sage [2007/03/14(水) 23:04:39 ID:???]
- まあセッションクッキーのexpire時間を金融サイトみたいに10分とか短く設定しておいて、
10分以内に通信無きゃ強制ログアウトっていうのが許されるサイトなら問題が少なくなる。
最大10分の再ログインラグが出るけどね。
- 788 名前:nobodyさん mailto:sage [2007/03/15(木) 00:52:45 ID:???]
- 昔やったサイトというかWebアプリでは
・ユーザは出来るだけ明示的にログアウトするようお願いする
・メインウィンドウがクローズされる時にログアウトのURLを叩くJavaScriptを仕込んでおく
・最終アクセスを全ユーザの全アクションで記録しておいて、ログアウトなしのユーザがログインしようとしたら最終アクセスが10分以内の場合は弾く
イントラ用のアプリケーションだったから負荷とかも考慮した上でここまでやったけど
一般向けのWebサイトじゃどこまでやるかは難しい判断だろうなぁ
- 789 名前:nobodyさん mailto:sage [2007/03/15(木) 09:27:34 ID:???]
- >>787
それは、パスワード漏洩時の対策にはならんのではないか。
まあそもそもの話として同時アクセス=漏洩なのかというか、常時使うシステムでもない限り使う時間がぶつかることがあるのか疑問。
漏洩するとしたら、内部からユーザ情報持ちだしとか、パソコンに付箋紙貼ってある時だと思うんだが、
したら不正利用する人が夜中とかに使えばまあ、システム上はほとんど不正利用にならないだろうし。
>>788
ログアウトするようにお願いするったって
不特定多数のコンピュータリテラシーがまちまちなユーザじゃ無理。
メインウィンドウをクローズしないかもしれないし。
夢を見すぎじゃないかと。
ユーザに過去のログイン・ログアウト情報を提示して、変だったら通報してもらうほうがいいんじゃねえの。
過去にどういう行動をしたのか知ってるのは本人しかいないわけだし。
- 790 名前:nobodyさん mailto:sage [2007/03/15(木) 10:01:20 ID:???]
- >>789
世の中には「テメエにしか分からないこと」を
自動的に論理矛盾なくプログラム側で判断しろ、
という輩もいるわけでwww
- 791 名前:nobodyさん mailto:sage [2007/03/15(木) 11:54:09 ID:???]
- 生体認証かな
- 792 名前:nobodyさん mailto:sage [2007/03/15(木) 12:14:00 ID:???]
- >>789
お願いするだけじゃ無理なのが解ってるから2番目・3番目の仕組を入れてるわけで
無理じゃなけりゃJavaScriptだの全アクセス記録だの不要だろw
あと「イントラ用」って書いたんで不特定多数ではない時の話だってのも読み取ってほしいところ
>>791
ログインには使えるけどログアウトしてくれるかどうかは別問題だねそれはw
PCの不意のハングアップまで考慮しようとすると
それこそJavaScriptか何かでサーバとハートビート交換しまくって
途切れたらログアウト処理にするとかまでやらないと難しいだろうなぁ
- 793 名前:nobodyさん mailto:sage [2007/03/15(木) 12:35:50 ID:???]
- >>792
目的が漏洩対策ならいいんじゃない?<生体認証
- 794 名前:nobodyさん mailto:sage [2007/03/15(木) 13:00:52 ID:???]
- >>792
と言われても、話の元の人はイントラ用とは言ってないわけだし、実際採用されたらどうかなあと思うわけで。
結局のところ、普通に当たり前のことをやっとけばいいと思うよ、としか言えないな。
一応法整備されたからパスワードだけかけておけばノーガードでもいんじゃねという話もある。
- 795 名前:nobodyさん mailto:sage [2007/03/15(木) 13:58:14 ID:???]
- >>787
>それは、パスワード漏洩時の対策にはならんのではないか。
元ネタが同時ログインをキックしたいということだけであって、どこに問題がある?
- 796 名前:nobodyさん mailto:sage [2007/03/15(木) 14:21:29 ID:???]
- >>795
>>773
> 何かの拍子に ID/PW が漏れた場合、
> 同時にアクセスされたら漏洩発覚!としたかったんです。
>>771だけ見ればそんなもんかって感じだが。
- 797 名前:nobodyさん mailto:sage [2007/03/15(木) 15:40:15 ID:???]
- 同時アクセス「ゆえに」漏洩発覚というロジックはむちゃくちゃだから
どうでもいいじゃん。同時アクセスキックできる方法だけ話してればいい。
- 798 名前:711 mailto:sage [2007/03/15(木) 17:59:45 ID:???]
- 元質問者です。
両方再ログイン促すので十分です。
それで漏洩か運用で分かると思うので。
なんだかいろいろと考えることが多いのですね ^^;
どこかにいい実装例はないでしょうか。
( コードがあると嬉しいです )
- 799 名前:nobodyさん mailto:sage [2007/03/15(木) 18:50:39 ID:???]
- >>798
仮に漏洩してたとして、同時アクセスと思える範疇でアクセスがある、漏洩と判断できる確率って少ないんじゃね。
あれこれ仕掛けてユーザビリティ低下でクレームが発生するほうが高そうに思えるのだが。
まぁどこまでコストをかけるかは措いといて、
>>775で「どうやってログアウトを...」って書いたけど、Cometならできるかもしんない。
Cometシステムを構築したことどころか、lingrさえしたことないので、
どこまで実用的に漏洩を察知できるシステムができるどうかは知らんが。
これでも、ユーザが会社でブラウザを開いたまま帰宅、自宅でログイン出来ねーって言うかもな。
- 800 名前:nobodyさん [2007/03/15(木) 21:24:01 ID:fuFXgue7]
- >ユーザが会社でブラウザを開いたまま帰宅、自宅でログイン出来ねー
イントラ想定してしながらそうじゃないケース想定してるのが痛い
- 801 名前:799 mailto:sage [2007/03/15(木) 21:34:56 ID:???]
- >>800
え〜と、俺はイントラなんて想定しとらんが?
元質はイントラネタだったのか?
- 802 名前:nobodyさん mailto:sage [2007/03/15(木) 21:35:01 ID:???]
- Cometならできるかもしんないwww
- 803 名前:nobodyさん mailto:sage [2007/03/15(木) 22:37:02 ID:???]
- 昔、椅子に座ったらログイン、椅子から立ったらログアウト、
っていう仕組みを作ろうかとか考えたことある。
実用性が無さそうなんでやめたけど。
- 804 名前:nobodyさん mailto:sage [2007/03/15(木) 22:44:26 ID:???]
- あきらめたらそこでログアウトだよ
- 805 名前:nobodyさん mailto:sage [2007/03/15(木) 23:51:51 ID:???]
- >>801
元質はイントラじゃない
イントラ云々はおれが>>788で
「イントラだったからここまでやったけどそうでなければどれくらい手間をかけたもんかな」的に書いただけ
>>803
迂闊にトイレにも行けねーなw
- 806 名前:nobodyさん mailto:sage [2007/03/15(木) 23:57:38 ID:???]
- 実際は、イントラ以外使えないというところではそんなもんだろ
- 807 名前:nobodyさん [2007/03/15(木) 23:58:51 ID:7hzpmvYO]
- でも同じユーザーが同時期にアクセスできないようにするってことは、魅力があるね。
なんか旨い方法ないのかな?
- 808 名前:nobodyさん mailto:sage [2007/03/16(金) 00:07:36 ID:???]
- IPとかUAは?
- 809 名前:799 mailto:sage [2007/03/16(金) 00:15:29 ID:???]
- う〜ん、マジでCometで出来ない?
Cometって時間的にどのくらいコネクションを握ったままできるのかしらんだけど、
擬似サーバプッシュでクライアントからの返答(再リクエスト)がなければログアウト状態と判断できると思う。
保存期間なしのCookieも併用して。
Apacheにmod_cometみたいなモジュールが出てきたらいろいろ面白そうだけどなぁ。
で、PEARとはまったく関係ない話になってしまった。
- 810 名前:nobodyさん mailto:sage [2007/03/16(金) 00:55:14 ID:???]
- >>802が良いこと言ったな。
- 811 名前:nobodyさん mailto:sage [2007/03/16(金) 00:56:45 ID:???]
- プロセス単位じゃなくて、スレッド単位でコネクション維持してくれるモジュールが
無いと、すぐに鯖がパンクするな。
- 812 名前:nobodyさん mailto:sage [2007/03/16(金) 04:10:01 ID:???]
- 後のログインを優先させれば解決
- 813 名前:nobodyさん mailto:sage [2007/03/16(金) 07:13:07 ID:???]
- >>812
おまえ脳みそ使ってないだろw
- 814 名前:nobodyさん [2007/03/16(金) 09:00:07 ID:tL5WlbtE]
- で無理やりPHPの話に戻すと、
ttp://hain.jp/index.php/tech-j
にFlashのSocketライブラリを利用してPHP(鯖)+FLASH/JavaScript(客)で
通信を行うという話がのっている(socketjs→ttp://dev.dschini.org/socketjs/)。
これが出来るならなんとかなるんじゃないの。
- 815 名前:nobodyさん mailto:sage [2007/03/16(金) 09:32:57 ID:???]
- >>814
Ajaxでいいじゃないか。
- 816 名前:nobodyさん mailto:sage [2007/03/16(金) 15:00:47 ID:???]
- >>807
利用できる端末を登録制にする。
登録は自分で出来るけど、登録用には別のパスワードを用意して、全てが漏れないと使えないようにする。
端末の登録が変更されると、指定したメールに通知。
たしかソニバンがこれ。
登録済み端末が操作されてしまうのは防げない。
- 817 名前:nobodyさん mailto:sage [2007/03/16(金) 15:25:46 ID:???]
- >>815
Ajaxは、クライアント側の制約(DHTML)がありすぎだからなあ
- 818 名前:nobodyさん mailto:sage [2007/03/16(金) 15:27:39 ID:???]
- >>816
「端末」の同定はどうしてるのだろう?<ソニバン
- 819 名前:nobodyさん mailto:sage [2007/03/16(金) 15:52:41 ID:???]
- >>818
同じPCでブラウザ変えると別端末という認識をされた。
クッキーとかかな。
- 820 名前:nobodyさん mailto:sage [2007/03/16(金) 16:48:41 ID:???]
- >>798
>元質問者です。
>両方再ログイン促すので十分です
これ意味あるかな?
1.そもそも先にログインしている方が「正規ユーザ」とは限らない。
2仮にそうだとしても、.クラックした方が先に再ログインすることも出来る
実際は、こういう事態がおこったら、そのユーザアカウントは仮停止すべきでしょう。
- 821 名前:nobodyさん [2007/03/21(水) 18:47:33 ID:78nxSnEz]
- vistaでpearコマンド、CLIがntdll.dllのエラーで停止しない?
- 822 名前:nobodyさん mailto:sage [2007/03/22(木) 14:53:02 ID:???]
- sage
- 823 名前:nobodyさん [2007/03/23(金) 14:24:37 ID:cotQkCWi]
- すいません
PearでQuickFormを使ってページを作成しています。
controllerを使ってウィザード式にしたいのですが
前のページでデータベースからの検索結果(不特定多数)があり
その結果それぞれにリンクを貼りクリックするとその情報を持って
次のページに行きたいのです。
色々調べたのですがフォームボタンを使ったものしかなく
困ってます。
参考になるページなどありましたら教えてください
よろしくお願いいたします。
- 824 名前:nobodyさん mailto:sage [2007/03/23(金) 18:09:38 ID:???]
- それはQuickFormとかと関係ない。
a href 要素・属性で、POSTで送信したいってことでしょ?
javascriptを使えばいい。
’リンクでPOST’
とかググればすぐ
- 825 名前:nobodyさん [2007/03/25(日) 05:11:07 ID:2BiXNRYt]
- pear.php.net/ や pear.php.net/ に
アクセスしようとしてもできないのはなんで?
時間が悪いのかな?
- 826 名前:nobodyさん mailto:sage [2007/03/25(日) 10:38:49 ID:???]
- そうみたいよ。
今は普通にできるから。
|
 |
