TOP > 野良猫のCGI講座 >『3.「劇ぱわ2」セキュリティ対策』
凡田クンが教えます! 【初心者コース】 虎猫が教えます♪
『3.「劇ぱわ2」セキュリティ対策』
おことわり
初心者用に「劇空間ぱわふるリーグ2」(配布元:気ままなまま)の設置後に必要な「セキュリティ対策」に関連した事を書こうかなと思います。

とりあえず、「劇空間ぱわふるリーグ2」の設置に成功された方♪
「おめでとうございます♪」
成功されていない方^^;
劇空間ぱわふるリーグ2の設置」または「劇ぱわ2不具合対策」を見て頑張って下さい♪

「劇ぱわ2」を設置された方は、一般公開するのであれば必ず「セキュリティ対策」をして下さい。
ここに、簡単ではありますが、セキュリティ対策を載せておきます。
最低限やらないとダメですよ♪と、言う意味で載せていますので、一般公開する管理者の方はやって下さいね♪

ここに記載してある内容は、高度なセキュリティ対策を手助けするためではなく、CGI初心者の管理者の方でも出来る方法です。
よって、ここに記載してあるセキュリティ対策が「自分では出来ません^^;」等と思った方は、「野良猫のCGI講座」を初めから見直してみて下さい。
これくらいの事が出来ない様では、公開された「劇ぱわ2」を管理する事はできないでしょうから・・・。
サーバーの暴走や不正が行われる「劇ぱわ2」サイトになる前に「劇ぱわ2」設置は諦めて下さい。

「習うより慣れろ!」です。
頑張ってみましょう♪

これを参考にして、多くの方が「劇空間ぱわふるリーグ2」の「管理が楽になったよ♪」なんて思って頂ければ幸いです。

ここに記載してある「セキュリティ対策」「不具合対策」「改造方法」を含む全てのコンテンツの無断転載を禁止します。
また、ここに記載してある内容に不備があったとしても損害賠償などの責任は取りません。
参考にされる方の自己責任でご覧下さい。

設置・改造は自己責任で行って下さい。
参考にされた方は、リンクを貼ってくれると嬉しいです♪
『参考:"Take it easy !"』
URL:http://ryoquest.sakura.ne.jp/
バナー:tie_8831an.gif(3611 byte)
参考にされる方は、下のリンクからクリック募金をして下さい♪
あなたの善意をクリックにのせて♪
目次
セキュリティ対策
何故必要なの?
劇ぱわ2支援サイト
最低限やっておきたい対策 2004/11/04修正→2010/08/29修正
更なるセキュリティ対策 2005/01/06
虎猫です♪どうぞよろしく♪
虎猫 presents
セキュリティ対策 目次に戻る
何故必要なの? 目次に戻る
人って不思議ですね?理由が分からないとやる気が起こらない。
例えば、勉強も一緒で、「勉強しろ!」と親は言うけど「なぜ?勉強するのか」を教えないから、やる気になれない。
セキュリティも何故必要なのか、何となくで良いから知ってて下さい。
(対策とってないサイトで悪戯しない様にネ♪)

まず、「管理者パスワード」があれば、チームを削除したりできる事は「劇ぱわ設置者」なら、分かってますよね。
この「管理者パスワード」を知られては、管理者しかできない事ができてしまう訳です。
ところが、標準どおりに設置すると「管理者パスワード」が書かれている「gekipawa.ini」を覗かれてしまいます。(覗く方法は書きませんが。)

各datファイルには、色々なデータが入っていますが、中にはチームのパスワードが書かれているファイルもあります。
ところが、これも覗けてしまいます。
パスワードが分かってしまえば、強いチームのパラを覗いたり、パラをメチャメチャに書き換えてしまう事も可能なわけです。
場合によっては、悪意の第三者にチーム削除されてしまう可能性もあります。

ですから、第三者にデータを覗かれない様に対策を取らないと、皆さんに楽しく遊んで頂けないんですね。
劇ぱわ2支援サイト 目次に戻る
なにわのあほうの部屋』ー「劇ぱわ不正対処法」
多くの人が利用している不正防止のアドバイスがあります。
【重要】必ず参考にする事をお奨めします。
※「バンプの部屋」サイト閉鎖に伴い「なにわのあほうの部屋」に内容が引き継がれました。

※当サイトと重複する内容もありますが、
「登録時の名前の文字数・パスワードの文字数チェック、名前チーム名の重複チェック、選手名の重複・文字数・ポジション・能力値チェック」
「管理モードへの不正ログイン防止」「不正新規登録防止」「不正キャンプ防止」「不正試合防止」「不正コメント削除防止」
などが紹介されています。
劇ぱわを一般公開される方は、必ず参照し実施して下さい。

また、「試合結果表示」などの改造も公開されています。
劇空間ぱわふるリーグ2!!のいろいろ
劇ぱわ設置アドバイスから、設定方法の変更法、アイコン登録画面など親切な設置支援サイトです。
infoseekへの設置なら、ここのアドバイスで設置できます。
最低限やっておきたい対策 目次に戻る
これぐらいは、最低限やって下さい。『劇ぱわ設置者』の義務ですね。
更に二重、三重のセキュリティ対策を施しましょう。
gekipawa.iniファイル名の変更
gekipawa.iniファイルのファイル名を変更します。
ファイル名は簡単に思いつかない名前が良いでしょう。
また、拡張子が「ini」のままですと内容を読まれる危険があるので「cgi」に変更しましょう。

例えば、gekipawa.ininekononikukyu.cgiに変更するとします。

注意点として、gekipawa.cgiの22行目
require './gekipawa.ini';

require './nekononikukyu.cgi';
に変更して下さい。 		管理者パスワードを見られない様にします。
拡張子.iniを拡張子.cgiにしてファイル内を見られない様にします。
※「ダミーのindex.html」設置を同時に行って下さい。
league_dataフォルダ(ディレクトリ)名の変更
league_dataフォルダ(ディレクトリ)のフォルダ(ディレクトリ)名を変更します。
フォルダ(ディレクトリ)名は簡単に思いつかない名前が良いでしょう。

例えば、league_datatoranekonisippoに変更するとします。
注意点として、gekipawa.ini(nekononikukyu.cgiに名称変更)の26行目
$leaguefold = './league_data'; # リーグデータ用フォルダ

$leaguefold = './toranekonisippo'; # リーグデータ用フォルダ
に変更して下さい。		 league_dataフォルダ(ディレクトリ)内の各datファイルにアクセスされない様にします。
各フォルダ(ディレクトリ)にダミーのindex.htmlを設置する
各フォルダ(ディレクトリ)にダミーのindex.htmlファイルを設置する。

・gekipawa.cgiが設置されるフォルダ(ディレクトリ)
・geki_imgフォルダ(ディレクトリ)
・league_data(toranekonosippo)フォルダ(ディレクトリ) 		各フォルダ(ディレクトリ)内のファイル構成を見られない様にします。

※gekipawa.iniのファイル名を変更してもダミーのindex.htmlを設置しないとサーバーの仕様によっては見られてしまう危険があります。
拡張子.datファイルを全て拡張子.cgiに変更する。
「past_rank.dat」及び「league_data(フォルダ)内にある.dat」を「拡張子.cgi」に変更する。
・past_rank.dat→past_rank.cgi
・○○.dat→○○.cgi
・gekipawa.ini→gekipawa.cgi(上の項目で変更済みならOK)

ここで変更したファイル名は「gekipawa.ini(nekononikukyu.cgi)」内に記述があるので変更して下さい。 		拡張子.datは、ブラウザで内容が表示されたり、ダウンロードできてしまうので拡張子.cgiに変更します。
表にまとめると、下の様になります。
以下の様なフォルダ構成になってる事が多いですよね 備 考
cgi-bin gekipawa index.html (ダミーのindexを置く) ダミーのindexのサンプル
comment.datcomment.cgi (拡張子を変更する。)
geki_else.cgi
geki_game.cgi
geki_login.cgi
gekipawa.cgi
gekipawa.ininekononikukyu.cgi (ファイル名を変更する) gekipawa.cgiの『require './gekipawa.ini';』を変更して下さい
jcode.pl
past_rank.datpast_rank.cgi (拡張子を変更する。) gekipawa.ini(nekononikukyu.cgi)内のファイル名(拡張子)を.datから.cgiに変更して下さい。
geki_img index.html (ダミーのindexを置く)
cond_bar1.gif
cond_bar2.gif
cond_bar3.gif
cond_bar4.gif
cond_bar5.gif
league_data

toranekonosippo
フォルダ名を変更する
 index.html (ダミーのindexを置く) league_data(フォルダ)を変更したら、gekipawa.ini(nekononikukyu.cgiに変更)の『$leaguefold = './league_data'; # リーグデータ用フォルダ』を変更して下さい。

gekipawa.ini(nekononikukyu.cgi)内のファイル名(拡張子)を.datから.cgiに変更して下さい。
gamlock.datgamlock.cgi (拡張子を変更する。)
gamelog.datgamelog.cgi (拡張子を変更する。)
last_pitch.datlast_pitch.cgi (拡張子を変更する。)
last_team.datlast_team.cgi (拡張子を変更する。)
last_yasyu.datgamelolast_yasyu.cgi (拡張子を変更する。)
pitch.datpitch.cgi (拡張子を変更する。)
record.datrecord.cgi (拡張子を変更する。)
user.datuser.cgi (拡張子を変更する。)
userback.datuserback.cgi (拡張子を変更する。)
winner.datwinner.cgi (拡張子を変更する。)
yasyu.datyasyu.cgi (拡張子を変更する。)
index.htmlを各フォルダに設置するのは、そのフォルダにどんなファイルがあるのかを見えなくするためです。
gekipawa.iniのファイル名を変更しただけでは、サーバーの仕様によってはフォルダ内を見られてしまうので必ずダミーのindex.htmlを設置して下さい。
拡張子「dat」は内容を読まれてしまうので、「cgi」に変更しましょう。
フォルダ名、ファイル名を変更したら、gekipawa.ini(nekononikukyu.cgiに変更)ファイル内の設定も変更しましょう。
更なるセキュリティ対策 目次に戻る
パーミッション(アクセス権)の変更
これは設置してあるサーバーの設定などによって違いがありますので、ご自分のサーバーでテストして決めて下さい。
指定 変更
755 => 705
777 => 705
666 => 600
644 => 600
ファイルやディレクトリのパーミッション(アクセス権)を変更してアクセスを制限する。
各datファイル名の変更
各datファイル名を変更します。
ファイル名は簡単に思いつかない名前が良いでしょう。
datファイル名を変更したら、gekipawa.ini内の各ファイル名も忘れずに変更して下さい。		 各datファイルにアクセスされない様に名前を変更する。
past_rank.datファイル、comment.datファイルをleague_dataフォルダ(ディレクトリ)へ入れる
past_rank.datとcomment.datをleague_dataフォルダ(ディレクトリ)へ入れます。
この時、gekipawa.iniファイル内の指定を変更して下さい。
$past_rankfile = './past_rank.dat'; # 歴代ランキングファイル
$commentfile = './comment.dat'; # コメントファイル

$past_rankfile = './$leaguefold/past_rank.dat'; # 歴代ランキングファイル
$commentfile = './$leaguefold/comment.dat'; # コメントファイル
の様に変更します。
※past_rank.dat及びcomment.datファイル名を変更している場合は、ファイル名の部分も変更して下さいね。		 これはやらなくて良いよ^^
それから・・・
ログイン画面で止めておいて、不正な試合をする輩も居ます。
多重登録して不正を行う輩も居ます。
他にもセキュリティ対策はやりましょうね♪
更に高度な不正対策を施す事になりますが、是非実施して下さい。
例えば、管理者パスワードをgekipawa.iniファイルからgekipawa.cgiの中に移すとか、datファイルを全てcgiファイルに変更するとか、league_dataフォルダを予想もしない場所に移すとか、league_dataフォルダを何層も下のフォルダにするとか、管理者の責任として対策を考えましょう♪
参考にされた方は、リンクを貼ってくれると嬉しいです♪
『参考:"Take it easy !"』
URL:http://ryoquest.sakura.ne.jp/
バナー:tie_8831an.gif(3611 byte)
2004/10/14
2005/03/21
2007/09/10
2008/03/03
2010/08/30
TOP > 野良猫のCGI講座 >『3.「劇ぱわ2」セキュリティ対策』