FC2ブログでコメントトリップを使わない方が良い理由

FC2ブログのあれこれ
2018/09/14
11
vanillaice (Akira)
vanillaice (Akira)
Education

同じようなキーワードで検索すると既に先人の方が良記事をUPされていますので参考にされると良いと思います。

「なりすまし防止にコメントトリップを導入したいのですが」というお問い合わせがありましたのでお答えします。私の方針としては コメントトリップは利用しない 方向で、カスタマイズについてもFC2ブログ変数を調べて頂きまして、自己責任での導入をお願いします。

FC2ブログのコメントトリップはなりすまし防止にはならない

ならないんですね。残念ながら。
逆になりすませてしまう のがFC2コメントトリップです。

コメントトリップというのは以下のようなものです (スクリーンショット)
FC2ブログコメントトリップ 赤字で囲った部分ですね。
この文字列は コメント編集用パスワード から生成されます。ちなみにスクショのパスワードは「1111」です。トリップ生成は法則性がありますので、JSを用いれば簡単に逆変換が可能 なんですね (´・ェ・`)
やり方は書きませんが、変数と出力結果を逆にすれば良いだけなので知識があれば容易に変換可能。

コメントトリップを同一人物判定の目安にしているのであれば、同じパスワードさえ入れてしまえばなりすましも簡単にできてしまいますよね。同一判定はトリップではなく、登録アドレスにホスト情報が届くようになっていますのでそちらで行う方が良いと思います。固定IPでない場合には効果がありませんけどね (´・ω・`)
それに悪意のあるコメントの場合はプロクシを経由してくる場合も。串刺せる人ならたぶんトリップも簡単に見破れる気がします。そこまで手間かけるかどうかはわからんけど(笑)

という事実から「なりすまし防止」に活用できそうもありません。

コメントの改ざん

トリップの弊害はいろいろあるのですが、よく指摘されるのが 検索結果に出てしまう 件ですね。例えば上のサンプル「1111」=「JalddpaA」もググれば出てきます。なんかこういう件って説明しづらいですね。濁して書きたいけど濁しすぎると伝わらないし (´・ω・`)
パスワードを1111や2222など簡単な羅列に設定している方はもっと複雑なものにした方が良いよ ^^;

共有テンプレートを配布する身として私が一番不安視するのが コメントの改ざん です。私のテンプレートは編集用パスワード入力欄をデフォルトで入れてありますので、当然コメント編集ボタンも掲載されています。パスワードが同一でなければ編集できませんが、逆を言えばパスワードがわかれば誰でも編集可能ということです。

第三者によるコメント改ざんを防ぐためには コメント編集用パスワード欄を設けない または コメントトリップを利用しない のいずれかですよね。私の選択は後者です。

そんなわけで今後も導入する予定はありません。とうことで (:D)┼─┤

Related post

Comments  11

-
2023/03/30 (Thu) 03:18

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

vanillaice (Akira)
vanillaice (Akira)
2023/03/30 (Thu) 16:56

To コメントトリップの件 内緒さん

こんにちは ('0')/
はい。JavaScriptのことです。トリップは乱数方式ではなく一定の規則に則った変換を行っていますので可能です。

-
2023/03/31 (Fri) 00:49

管理人のみ閲覧できます

このコメントは管理人のみ閲覧できます

vanillaice (Akira)
vanillaice (Akira)
2023/03/31 (Fri) 01:04

To コメントトリップの件 内緒さん

こんばんは ('0')/
「エンジニアなら容易に〜」については力量によりますが、4〜5桁程度のコードを逆変換するために必要なJSコード量は、文字カウントで言うと約50万以上で、FC2のパスワードは恐らく文字数制限がないので看破については難しいと思います。なので本記事内でも「複雑なものにしましょう」と記しています。
JSのプログラミングについて言うと素人ならば不可能です。

「実証したい」という点がよくわかりませんが、「逆変換が可能ですよ」の実証なのか、あるいは「他者のコメントを不正に操作する」なのか。逆変換については言及のある通り2chのページを紹介してFC2でも同じですよ、と添えれば良い話ですし、後者であれば何もお手伝いできることはありません。すみません (∵`)

本記事はあくまでも逆変換の話なんですが、もしも万一にですが「コメントトリップを導入したいのだ」ということならば「FC2ブログの独自変数を使えば良い」という回答です。ご質問の意図がよくわからないけれども添付して頂いたページの内容(質問者の希望)は「トリップを作成したい」ということですよね。

内緒
2023/03/31 (Fri) 04:47

To vanillaice (Akira)さん

迅速かつ丁寧なお返事ありがとうございます。夜分遅く反応頂きすみません。

紛らわしくてすみません、一旦リンク先の話は無いことにでお願いします。

ブログの内容と一連のコメントから判断するに、
「FC2コメントトリップはコメント編集用パスワード から生成される。トリップ生成は法則性があるので、JS(JavaScript)を用いれば簡単に逆変換が可能。(トリップは乱数方式ではなく一定の規則に則った変換を行ってるので可能)しかし4〜5桁程度のコードを逆変換するために必要なJSコード量は、文字カウントで言うと約50万以上だが、FC2のパスワードは恐らく文字数制限がないので看破については難しい。JSのプログラミングについて言うと素人ならば不可能。」
ということが一応分かりました。
それと「パスワードがわかれば誰でもコメント編集可能」ですよね。

「実証したい」は「ずぶの素人が見ても分かるように、FC2コメントトリップの逆変換が可能ですよ」の実証です。アバウトな質問ですみません。Akiraさんの記事を読んでの質問です。

「パスワードの文字数制限がない」は確かに。でもそんなに長いパスワード記入は想定していません。しかし、考え得る最大なら大体何桁まで可能でしょうか?そこから「看破」レベルまでは届かなくても、普通の利用を想定した桁数のパスワードなら逆変換可能でしょうか?私もそうですが、コメントの際の使い捨てパスワードにあまり長いものは使いません。

「JSのプログラミングについて言うと素人ならば不可能。」
他のブログで4桁程度ならブログ上で変換可能なプログラムが置かれていました。(こちらhttps://paro2day.blog.fc2.com/blog-entry-645.html)Akiraさんの知り得る限り、そういったものやソフトは別に存在しませんでしょうか?

またJavaScriptで変換のイメージが全く湧かないのですが、具体的にどんな感じなのか教えて頂けると有難いです。
何かソフトを開いてコードを書いて、コメントトリップを入力すると元の英数字が判明するということでしょうか。
又「FC2ブログの独自変数」を把握しないとコードが書けない?のでしょうか。ずぶの素人で申し訳ありません。

素人が素人に説明する目的なのですが、何が有効か分からずたどたどしくて申し訳ありません。長々と失礼しました。

宜しくお願い致します。

問題なさそうに感じたのでここから非表示止めます。

vanillaice (Akira)
vanillaice (Akira)
2023/03/31 (Fri) 16:47

To コメントトリップの件 内緒さん

こんにちは ('0')/
内緒さんの言う『実証』ですが、結局のところその方法について
・第三者のページを紹介する
・実際の操作をスクリーンショットなどを用いて説明する

上記の方法で良いのであれば、せっかくリンク記載してくださっているようにparodayさんがツールまで掲載してくださっているのですから、そちらへ『紹介及び誘導』という形を取るのがベストだと思いますよ。

ただ結局はこういった方法を選びたくない、あくまでも自分のブログ上でやりたい、ということですよね。

> ソフトは別に存在しませんでしょうか?

私は聞いたことありません。ただ探したこともないので有るとも無いとも答えられません。個人的にはFC2ブログのコメントは2chのそれと比べれば重要度はとても低いので、そこまで追求する人は居ないんじゃないかと思います。

> JavaScriptで変換のイメージが全く湧かない〜

えっと、どう説明すれば (∵`)
parodayさんが行っているものがまんまなんですが。入力フォームはhtmlで構成し、CSSで見た目を整えます。解析をする頭脳にあたるのがJSです。なので『JSを用いて解析頭脳を作成する』ということです。ブログ上でやるならhtml, CSS, JSの3つはセットです。アプリケーションを作成する、という場合はまた別の言語が必要です。いずれにしろ素人では無理です。

> 「FC2ブログの独自変数」を把握しないとコードが書けない〜

トリップの仕組みは共通なので独自変数の把握は必要ありませんが、そもそもJSを知らなければコードを書くこと自体不可能です。銀行員に「車のエンジン作れ」って言ってるぐらい無茶な話です。

どうしてもブログ上に検証ツールを載せたい(要するにこれが希望ですよね?)ならば、parodayさんと連絡をとり、許可を頂いてはいかがでしょうか。この場合は『htm, CSS, JS』の内容を個人的に受け取るという形になると思いますが、恐らく嫌だと思います。私なら嫌です(笑)
なぜなら手間だから (∵`)
「自分で勝手に持っていってくれるなら良いよ」かもしれませんが。これにしたって無理だと思いますし、既にツールまで作成している方にあれこれ依頼するのはどうかと。記事を紹介し、誘導するというのが筋じゃないでしょうか。それが嫌なら全て自力です。フロントエンジニアに有料で作成してもらうとか。

内緒
2023/03/31 (Fri) 18:57

To vanillaice (Akira)さん

返信ありがとうございます。

「ただ結局はこういった方法を選びたくない、あくまでも自分のブログ上でやりたい」ということではなく、parodayさんのツールを使っている内に、その射程を超える逆変換は可能なのかという疑問が浮かびました。

「内緒さんの言う『実証』ですが、結局のところその方法について
・第三者のページを紹介する
・実際の操作をスクリーンショットなどを用いて説明する
上記の方法で良いのであれば、せっかくリンク記載してくださっているようにparodayさんがツールまで掲載してくださっているのですから、そちらへ『紹介及び誘導』という形を取るのがベストだと思います」

ご助言ありがとうございます。私もこの方法を取ろうと思います。ただ一体どこまでの桁数まで可能なのか等、「看破」は不可能だということなので今は知りたいです。例えば10桁までの英数字のパスワードは判別可能か等です。

「フロントエンジニアに有料で作成」
成程こういう方法があるんですね。

vanillaice (Akira)
vanillaice (Akira)
2023/04/01 (Sat) 00:40

To コメントトリップの件 内緒さん

こんばんは ('0')/

> 体どこまでの桁数まで可能なのか等、「看破」は不可能だということなので今は知りたい〜例えば10桁までの〜

そのようにプログラミングを行えばできます。看破不可能の意味は、文字数制限がなければどこまでサポートすれば良いかわかりませんよね。100文字までなのか1000文字までなのか。キリがわからなければどうしようもないよね、という意味です。

あとはもう私がお手伝いできることはありませんので、どうされるかわかりませんが自己責任で行ってくださいね。

内緒
2023/04/01 (Sat) 00:57

To vanillaice (Akira)さん

ありがとうございます。
もう少し質問させて下さい。

文字数や看破はそういう意味だったんですね。ということは幾ら複雑なパスワードを設定しても、想定内の桁数ならば
パスワードは判明してしまうという理解で正しいですか?それは言い過ぎでしょうか?勿論プログラミングが前提ですが。
危なすぎますね。

vanillaice (Akira)
vanillaice (Akira)
2023/04/02 (Sun) 22:11

To コメントトリップの件 内緒さん

こんばんは ('0')/

> ということは幾ら複雑なパスワードを設定しても、想定内の桁数ならばパスワードは判明してしまうという理解で正しいですか?〜

理屈上はそうなりますね。

内緒
2023/04/04 (Tue) 06:48

おはようございます。
承知しました。長々とお付き合い頂き誠にありがとうございました。

コメントに関する注意事項
  • テンプレートに関するご質問は各テンプレート専用記事でのみ受付致します。また、よくある質問をまとめているページも事前にご参照ください。
  • 専門的なご質問の場合、記事内容と明らかに関連の無い内容はお控えください(雑談の場合はその限りではありません)
  • 第三者が不快と感じる内容や論調でのコメントはお控えください(性的,高圧的,暴力的など)