レス数が1スレッドの最大レス数(1000件)を超えています。残念ながら投稿することができません。

V2CMOD #4

731：名無しさん@避難所：2018/03/27(火) 22:36:18 ID:/0AiHcVc0: つづき
　
●ストーリーズを取得するためにログインが必要
　これが長文です
　
　ストーリーズはフォローしているユーザの投稿を見る機能なのでブラウザでのログインが必要となります
　(jsではフォロー無関係で取得できます)
　
　このログインで以下の３つのリソースが必要だったり発生したりします
　　・ユーザ名（ログイン時にのみ必要）
　　・パスワード（ログイン時にのみ必要）
　　・セッションID（ログインすると鯖側から与えられる接続許可情報）
　jsのログイン処理はWEBブラウザの挙動を模倣してログインし、セッションIDを貰っています
　
　ユーザ名とパスワードはログイン時の使いきりでログインしたらもう必要ないのですが
　セッションIDは継続的に認証を行うために所持し続ける必要があります
　現状はV2C内部のグローバル領域に格納し、V2C終了と同時に消滅します
　
　このセッションIDですが、WEBブラウザで試してみたところ
　これさえあればログイン入力をすっ飛ばしてログイン認証をしてくれる優れものです
　（逆に言えばこれさえ持ってれば誰でも勝手にログインできるということ）
　
　現在js内ではセッションIDを暗号化しないで平文のままで使用しています
　暗号化していない理由は
　「js内で暗号化してjs内で複合化してるので盗むつもりの奴がjsを読めるのなら初めから暗号化してないのと一緒だから」
　です
　
　仮に悪意のあるjsにこのセッションIDを盗まれた場合、実際に可能かどうかは別として
　「自分のアカウント」に勝手にログインされて登録情報を盗み見される、勝手に投稿される
　のリスクの可能性の考慮も必要かと思います
　
　そのためにアカウントを作る際は盗み見られてもどうでもいい情報だけを登録するようにしてください
　メアドは捨てアドで、電話番号なんかはもってのほか！！！
　また適宜勝手な投稿がされていないかの自分のアカウントの監視も必要かと思います
　
　パスワードを変更する場合は旧パスワードが必要みたいなので
　パスワードは絶対盗まれないようにしてください
　毎回ログインでパスワードを入力するのは面倒ですがパスワードはjs内に含めず画面から入力するようにしてください
　
　上記リスクに不安がある、対策が面倒とかの場合はストーリーズの表示はしないほうがいいです

掲示板管理者へ連絡無料レンタル掲示板