オーマイニュースのアレやコレやにやや食傷気味なので軽いネタのつもりでアメブロに突っ込みを入れてみる。
Java(プログラム言語の1つ)でWebシステムを組んだことのある人には一目瞭然の事であると思われるが、アメブロは(少なくとも一部分には)Javaを採用している。
フレームワークとしてStrutsを使っているのかなと思わせる部分もあるが、こちらは断定できない。
全体的には、HTTPヘッダーからも余分な情報を削っていたりしていろいろちゃんとしてそうな感じ。
その中で一点気に入らない点が・・・。
それはトラックバックのPing-URLが
という形式になっているということ。
一般に http://ドメイン名/servlet/サーブレットクラス名 というURLは、特定のサーブレット(プログラムの一種)をその名前で呼び出すものである。断定はできないが、アメブロのトラックバックのPing-URLもこの仕組みを使っているように見える。
ということは、サーブレットクラス名が判明すれば、通常は外部からアクセスされる事のないサーブレットがアクセスできるということである。
もちろん、サーブレットクラス名はわからないし、アクセスできたとしても何ら不都合はないかもしれない。しかし、まさぐられたら判明するかもしれないし、直接アクセスしたらやばいサーブレットも存在するかもしれない。
昔は、 http://ドメイン名/servlet/サーブレットクラス名 というURLによるアクセスはデフォルトで可能だったのが、いつの頃からかデフォルトでは不能になっているのはこのような事情があるのだと受け取っている。
ひょっとしたらアメブロのシステムも見かけは http://ドメイン名/servlet/サーブレットクラス名 でアクセスしているけど、実はちゃんとやっているのかもしれないけど。Strutsを使っていそうなので、ちょいとがんばれば確かめられそうな気がするが、面倒だし得るものがないのでそこまではやらないでおく。
---
小ネタついでにもうひとつ。
このブログでは何回か工作活動についての対策案を提示したが、もうひとつ思いついたのでメモ代わりに書いておく。
それは、連続アクセスがあった場合にIPだけではなくPort番号も同時に見るようにするといいかもという話。
一般に同一クライアントからの連続アクセスではPort番号は同じか 1 だけ増加する場合が多い。これを利用してIPアドレスでのみで連続判定をするのではなく、IPアドレス+Port番号でチェックするようにすれば、NAT環境下からのアクセス者に対しても不必要に排除せずにより良い結果になるんじゃなかろうかというアイデア。
まあ、これを単独で用いてもあまり意味はないかもしれないけどね。
ということで本日はアメブロに突っ込んでみました♡
Java(プログラム言語の1つ)でWebシステムを組んだことのある人には一目瞭然の事であると思われるが、アメブロは(少なくとも一部分には)Javaを採用している。
フレームワークとしてStrutsを使っているのかなと思わせる部分もあるが、こちらは断定できない。
全体的には、HTTPヘッダーからも余分な情報を削っていたりしていろいろちゃんとしてそうな感じ。
その中で一点気に入らない点が・・・。
それはトラックバックのPing-URLが
http://ameblo.jp/servlet/TBInterface/xxxxxxxxxxx/yyyyyyyy
という形式になっているということ。
一般に http://ドメイン名/servlet/サーブレットクラス名 というURLは、特定のサーブレット(プログラムの一種)をその名前で呼び出すものである。断定はできないが、アメブロのトラックバックのPing-URLもこの仕組みを使っているように見える。
ということは、サーブレットクラス名が判明すれば、通常は外部からアクセスされる事のないサーブレットがアクセスできるということである。
もちろん、サーブレットクラス名はわからないし、アクセスできたとしても何ら不都合はないかもしれない。しかし、まさぐられたら判明するかもしれないし、直接アクセスしたらやばいサーブレットも存在するかもしれない。
昔は、 http://ドメイン名/servlet/サーブレットクラス名 というURLによるアクセスはデフォルトで可能だったのが、いつの頃からかデフォルトでは不能になっているのはこのような事情があるのだと受け取っている。
ひょっとしたらアメブロのシステムも見かけは http://ドメイン名/servlet/サーブレットクラス名 でアクセスしているけど、実はちゃんとやっているのかもしれないけど。Strutsを使っていそうなので、ちょいとがんばれば確かめられそうな気がするが、面倒だし得るものがないのでそこまではやらないでおく。
---
小ネタついでにもうひとつ。
このブログでは何回か工作活動についての対策案を提示したが、もうひとつ思いついたのでメモ代わりに書いておく。
それは、連続アクセスがあった場合にIPだけではなくPort番号も同時に見るようにするといいかもという話。
一般に同一クライアントからの連続アクセスではPort番号は同じか 1 だけ増加する場合が多い。これを利用してIPアドレスでのみで連続判定をするのではなく、IPアドレス+Port番号でチェックするようにすれば、NAT環境下からのアクセス者に対しても不必要に排除せずにより良い結果になるんじゃなかろうかというアイデア。
まあ、これを単独で用いてもあまり意味はないかもしれないけどね。
ということで本日はアメブロに突っ込んでみました♡
