<web-produce 452> Re: 野毛探訪の掲示板

[Hiroshi Matsuoka <lala-z@cg.netlaputa.ne.jp>]

KOBA Masayuki wrote:
> 　そうそう、サーバーへのファイルのアップロード機能は warez や
> 違法 mp3 の温床になる元なので、この点を解決しといてね。

拡張子が gif, jpg, jpeg だけを受け付けることにしますが、
gif 埋め込みやJPEG Direct Annexには対処できません。

file size をcgi でcheck できれば、あまりに大きいfile は
キャンセルできるかもしれませんが、まだできるかどうか分って
ません。

> # これが解決できないのなら、一般人からのファイルのアップロード
> # は管理者として認めません。

画像file を登録したら、その旨管理者にmail が発信されて
中身をcheck するというのはダメでしょうか。
公開された後のcheck になってしまいますが、


> > 　嘘のアドレスが書かれたりしたら困るので、アドレスの認証手順は、具体
> > 　的にどうしましょう？　こんな感じになっちゃうのかな。
> > 
> >   (1) ペンネーム、E-mail アドレス、名前（本名）を登録してもらう。
> >   (2) E-mail アドレスにパスワードを送信する。
> >   (3) 掲示板には、ペンネームとパスワードを正しく入力しないと書き込め
> >       ないこととする。

ということで掲示板に書き込みができる人は登録した人のみなので、
不正なfile を載せた人は登録抹消（というか、ブラックリストに
載せて２度目の登録を禁止）すればよいのではと考えています。


(1) ペンネーム、E-mail アドレス、名前（本名）を登録してもらう。

(1.1)
１行に
「ペンネーム<TAB>パスワード<TAB>mail address<TAB>名前<TAB>フラグ」
という情報が保存されている登録者file を開いて、
新規登録したいペンネームが既に登録されてないかをcheckする
・既存であれば、新たなペンネームを要求

また、mail address が匿名性の高いdomain のものは拒否
ex. geocities.com, geocities.co.jp, hotmail.com など


(1.2)
mail address が既に登録されてないかをcheckする
・既に登録されていれば、登録を拒否する。
　異なるペンネームで登録してのmail bomb 攻撃の手段に
　使われない為の対処


(2) E-mail アドレスにパスワードを送信する。

パスワードは、こちらで２，３０個用意した中からランダムで選ぶ。
　パスワードは野毛にちなんだものがよいでしょうね。でも、
　あまり思い浮かばないんですが。。。通りの名前じゃ５個ぐらいだし


なお、パスワードだけじゃなく、登録した情報や、
登録してきたhost情報も獲得できるので、それも一緒に送る。
なお、登録のpage で登録するmail address 宛に登録した内容と、
現在使用しているhost 情報を送る旨　書いておかないとまずい
でしょうね。

なお、登録情報は管理者にも同時にbcc で送信される。


(3) 掲示板には、ペンネームとパスワードを正しく入力しないと
　　書き込めないこととする。

登録者file の最後のフラグが、-1 の人は抹消された人なので
ペンネーム、パスワードが一致しても書きこめない


１つのcgi file で掲示板管理から登録管理までやると、
ぐちゃぐちゃになりそうだなぁ。

なお、掲示板本体のcgi は、
ネットサーフレスキューの電子掲示板 ツリーズ Trees
http://www.rescue.ne.jp/cgi-rescue/cgi?trees

   サンプル
   http://www.rescue.ne.jp/cgi/trees/sample/trees.cgi

を利用するつもりです。


-- 
lala