『オーマイニュースにおける工作活動対策を妄想してみる(たぶん1/3)』の続きである。
先のエントリで
そもそもCookieを使っての一意性の認識というのは安全なのだろうか?
という疑問を呈した。SSL限定になっている場合、選択性になっている場合がある事を記述したが、もう1つのケースがあった。
"はてな"や"アメブロ"がこれに該当するのだが、個人情報にアクセスする場合には必ずSSLに移行し、かつパスワードを再度求めるというもの。
これはいいかもしれない。そんなに重要でない部分については、なりすまし対策より軽さを選択することができ、かつ重要な部分のセキュリティは高める。
普段何気なくしか見ていなかったが、考えている所は考えている訳だ。
一方、最近オープンしたばかりと思われるそれなりの規模の会社(非IT系)が主催するSNSは、ログインからして非SSLだったりするので、考えていない所は考えていない訳だ。早晩指摘を受け、改善されることを祈る。俺は自分が使わないので知らん。そこまでお節介ではない。
さて、今までは Cookie による一意性の保障を前提として話して来たが、悪意のあるクライアントが Cookie を毎回削除しながらアクセスしてきたらどうすればいいのだろうか?
単純にはIPアドレスによる一意性の追加検査が考えられる。今までのエントリで記述したことの繰り返しになる部分もあるが、この方法には欠点がある。
従ってこの方法を用いるには、ログインしていないクライアントの利便性は多少限定されても仕方がないというボリシーに立つ必要がある。IPアドレスが可変であるかどうかの判定まで追加すれば多少はマシになるかもしれない。
もしくは真逆のボリシーに立ち、特定のプロバイダを使っているクライアントのみ厳密に一意に認識するという手もある。
いずれにしろ、不完全ではある。
PORT番号の連続性を調べるという手段についても既に述べた。何かの足しくらいにはなるかもしれない。
あと、Refererを検査するというのも、単純なツールを使って工作活動する相手には有効かもしれない。
ついさっき他のアイデアを思いついたので書いておく。
以前に、工作活動対策として同一IPアドレスのアクセス間隔を調べるということを記述したと思うがその類似系で、Cookie(セッション)が新たに生成されてから一定時間の間は投票行為などを受け付けないようにするというもの。
通常、投票行為などを行うには内容を吟味してから行うはずで、あまりに短時間に行われることはないはず。結構有効そうな気がするがどうだろう。
今まで他のアイデアも書いたような気がするが、この瞬間は思い出せない(爆)。気が向いたら読み返そう。
newsingなどがどうなっているのかは知りたいけど、がんばって調べるほどのモチベーションはないなぁ。
う~ん、やっぱり決定打はない。いろいろ組み合わせてがんばるしかないのだろう。
カタルシスは得られないけど仕方がないね♡
(続く)
先のエントリで
そもそもCookieを使っての一意性の認識というのは安全なのだろうか?
という疑問を呈した。SSL限定になっている場合、選択性になっている場合がある事を記述したが、もう1つのケースがあった。
"はてな"や"アメブロ"がこれに該当するのだが、個人情報にアクセスする場合には必ずSSLに移行し、かつパスワードを再度求めるというもの。
これはいいかもしれない。そんなに重要でない部分については、なりすまし対策より軽さを選択することができ、かつ重要な部分のセキュリティは高める。
普段何気なくしか見ていなかったが、考えている所は考えている訳だ。
一方、最近オープンしたばかりと思われるそれなりの規模の会社(非IT系)が主催するSNSは、ログインからして非SSLだったりするので、考えていない所は考えていない訳だ。早晩指摘を受け、改善されることを祈る。俺は自分が使わないので知らん。そこまでお節介ではない。
さて、今までは Cookie による一意性の保障を前提として話して来たが、悪意のあるクライアントが Cookie を毎回削除しながらアクセスしてきたらどうすればいいのだろうか?
単純にはIPアドレスによる一意性の追加検査が考えられる。今までのエントリで記述したことの繰り返しになる部分もあるが、この方法には欠点がある。
- NAT環境下にあるクライアントを全て同一であるとみなしてしまう。
- IPアドレスが可変であるプロバイダを利用しているクライアントを厳密な意味で一意とは認識できず、重複していないのに重複とみなしたり、重複しているのにそうではないとみなす可能性がある。
従ってこの方法を用いるには、ログインしていないクライアントの利便性は多少限定されても仕方がないというボリシーに立つ必要がある。IPアドレスが可変であるかどうかの判定まで追加すれば多少はマシになるかもしれない。
もしくは真逆のボリシーに立ち、特定のプロバイダを使っているクライアントのみ厳密に一意に認識するという手もある。
いずれにしろ、不完全ではある。
PORT番号の連続性を調べるという手段についても既に述べた。何かの足しくらいにはなるかもしれない。
あと、Refererを検査するというのも、単純なツールを使って工作活動する相手には有効かもしれない。
ついさっき他のアイデアを思いついたので書いておく。
以前に、工作活動対策として同一IPアドレスのアクセス間隔を調べるということを記述したと思うがその類似系で、Cookie(セッション)が新たに生成されてから一定時間の間は投票行為などを受け付けないようにするというもの。
通常、投票行為などを行うには内容を吟味してから行うはずで、あまりに短時間に行われることはないはず。結構有効そうな気がするがどうだろう。
今まで他のアイデアも書いたような気がするが、この瞬間は思い出せない(爆)。気が向いたら読み返そう。
newsingなどがどうなっているのかは知りたいけど、がんばって調べるほどのモチベーションはないなぁ。
う~ん、やっぱり決定打はない。いろいろ組み合わせてがんばるしかないのだろう。
カタルシスは得られないけど仕方がないね♡
(続く)
