ttp://www.webpower.jp/websofts/others/web_protection/directory_gate/
こちらダウンロードして、readme.txt読んでみましたがわからないところがあります。以下
- ログイン毎に異なる16バイトのランダムなセッションID (62^16の組み合わせ)
- セッションIDが漏洩しても、認証IP/UAチェックにより他の端末ではアクセス不可
とありますが、
・違う端末を使って同じIDで2重にログインできるのでしょうか?携帯電話が壊れてしまって、実験できません。
・それとも、もうちょっと下に
Q.認証IPチェック機構を外すには?
A.350行目前後にあるコードを以下のように変更してください。
if ($USER_AGENT eq "OTHER" && $cookie{'IP'} ne $ENV{'REMOTE_ADDR'}) {
↓
if (0) {
とありますが、これを書き換えないとIPとUAが同じじゃないとだめで、2重ログインできないでしょうか?同じセッションIDに対してのチェックで上記のように書き換える必要は無いんでしょうか?
的外れな質問をしてるかもしれませんが、わかる方いらっしゃいましたらよろしくお願いします。
>違う端末を使って同じIDで2重にログインできるのでしょうか?
できないようになっています。
>携帯電話が壊れてしまって、実験できません。
匿名プロキシを使えば試してみることができると思います。
>これを書き換えないとIPとUAが同じじゃないとだめで、2重ログインできないでしょうか?
はい、できないことになっています。
>同じセッションIDに対してのチェックで上記のように書き換える必要は無いんでしょうか?
349 行目 (if (getSession($SESSION...))) でセッションID をチェックして、
合っている場合に 352 行目 (if ($USER_AGENT...))のチェックに移るようです。
349 行目まで if (0) にしてしまうと、
セキュリティ機構がまったく無効になると思います。
つまり、セッション ID など関係なく、誰でもアクセス可能になるはずです。
今、XXXというユーザーIDで、パソコンと携帯シミュレータで試したらログインできました。認証CGIのログ見るとIPは同じですが、UAは携帯はDocomoになっていたので、違う端末からということになっていると思うのですが。
私の質問の仕方がわるかったでしょうか。もうちょっと簡単に質問内容を直しますと、ユーザーID、Passがわかるとどの端末からでも同時にはいれるのかどうかということです。
PROXYって使ったことないのでわからないんですが、閲覧だけなら大丈夫な気がするんですが、ID、Passとか入力しても問題ないんでしょうか。知識がないのでやめておきます。
自宅でログインして、ネットカフェに行ってログインしてみるのが一番はやいでしょうか。
ちなみに、Yahooなんかは、ID、Passがわかると自分がログインしていても、他の端末から同時に利用することってできるんでしょうかね。
次の方から、こちらの質問の回答ということでお願いします。