パスワードつきリンク

[0]フェニックス 06/02/19 17:56 bMiQJB/Df1

ホームページビルダーの機能にパスワードつきリンクってのがあるじゃないですか。
アレって、本当にクラックされてしまうのでしょうか。
防げないんでしょうか？
だとしたら、どんな方法なのか教えてください。

[1]phate 06/02/19 18:19 zvCk4ZM90n

ビルダーは使ったことないけどどういうやつ？
リンクつきパスはたいていは簡単にパスはわかっちゃいますよ。

[2]兎腹ポコー 06/02/19 19:57 LT73drpsTd

どのようなものなのかは知りませんが調べられるかどうかは方法にもよるでしょう。
ソースはどのようになっていますか？

[3]フェニックス 06/02/19 20:24 bMiQJB/Df1

このような感じです

とある所より取ってきました

<P>パスワードを入力してください。</P>
<FORM name="keyinform" method="POST" onsubmit="_HpbChkPwd(keyinform.keyin.value,'aT%5C%5B_e%5DTZ%5BY%26%60ZemLklGj','http://web.thn.jp/wing_of_timely/NG.htm','');return false;">
<INPUT size="20" type="password" name="keyin">
<INPUT type="button" name="CheckPassword" value="OK" onclick="_HpbChkPwd(keyinform.keyin.value,'aT%5C%5B_e%5DTZ%5BY%26%60ZemLklGj','http://web.thn.jp/wing_of_timely/NG.htm','');">

[4]兎腹ポコー 06/02/20 00:19 LT73drpsTd

ざっと見た限り、JavaScriptでパスワード規制する方法の中では割と安全なほうかと思います。
JavaScriptを詳しく調べていけばパスワードが見つかるというようなものではないので、正しいパスワードを入力した後で行けるページのURLがどこかから漏れない限り、JavaScriptが読める人でも大方はパスワードや正しいページのアドレスは分からないと思います。

ただ、暗号化の方法があまり強くないので、片っ端からパスワードを試すようなプログラムを作れる人ならパスワードが短ければ割と早く解析できるし、多少暗号解読とかの知識があればもっと簡単に解析できるでしょう。
一つ言えるのはCGIでパスワード制限したほうが遥かに安全。

[5]？＿？ 06/02/20 04:29 D9eZjDVwZv

ローカルにパスワードを保存させてるのは非常に危険ですね。
>>4の通りCGIで規制した方がはるかに楽＋安全。

[6]phate 06/02/20 16:31 zvCk4ZM90n

>>3
>>4さんに賛成してCGIの方が良いかと思います。
そんなに堅いパスリンクが必要とするのはどうしてですかぁ？

[7]ナイア 06/03/08 13:49 7OcBt1wNcS

一度興味本位で解読コードを書いたことがありましたが、
早ければ一秒もかからず、遅くとも三十分程で解けます。
ただ、この暗号化手法では“解けた”という確かな基準がないため
解読後のURLが正しいであろうという推測に基づいています。
そのため変なURLを使われると解けたのかどうか判断に困りますね。

[8]ダン 06/03/08 23:38 6gRGICuHoI

ビルダーのパスワードリンク解読してみろと挑戦状をもらっています。
初心者には無理ですかね？

[9]兎腹ポコー 06/03/08 23:45 eGIWpcP7TK

URLが.htmlで終わっているという仮定が正しければ割と解けますね。
しかし第一前提としてJavaScriptのコードが読めなければ無理としか言い難い

[10]ダン 06/03/09 00:01 6gRGICuHoI

兎腹 ポコー様　有難うございます。
挑戦状をくれた相手は、ビルダーパスワードリンクは激あまでしょう？
これくらいが、解けないの？爆
パスワードがわからなくても、某ソフトを使えばすぐわかるんだよ！
と言っています。
そんなソフトは本当に存在しているのでしょうか？
ないにしてもJavaScriptのコードを覚えれば解けるのでしょうか。
僕は非常に悔しい。

リンク先は　htmlかhtmか不明。
無理とか言い難いですか・

[11]ナイア 06/03/09 01:27 HndntQ1sTT

>>10
専用の解読ツールが一般的に流布しているかは分かりかねますが、
もしWEBへの総当たりツールでしたら解読は少々難しいでしょう。
サーバにも負荷を掛けるため場合によってはDOS攻撃と判断されることもあります。
自分で作るにしてもある程度のプログラミング能力は
要求されるので初心者でも簡単にと言うわけには行きません。

興味本位ですが、相手がパスワードクラックを試みても良いと
了承しているのであれば解いてみましょうか？

[12]ダン 06/03/09 03:41 6gRGICuHoI

ナイア様　親切なご回答感謝いたします。
やはり僕のレベルでは簡単に行かない様です。
相手はクラックできるならどうぞやってくれ。といっています。もちろん了承済みです。ページにもパスワードクラックをしても良いと書いています。

しかし、ここにソースを載せてしまうと知り合いのページが多数の方に
見られることになりますので、僕のメールアドレスを載せたいと思っています。

興味本位でも、ページを見てからでも、是非お願いしたい。
ご検討頂けますでしょうか?

了解いただけるのでしたら僕がメールアドレスを載せます。
フリーメールででも、お返事いただければと思っています。
いかがでしょうか?

[13]ナイア 06/03/09 10:01 zbMUp6Ru

>>12
ダンさん。
了解しました。試してみましょう。

[14]ダン 06/03/09 11:09 Qrwvep03q3

ナイア様
メールアドレスは　barju5530@yahoo.co.jp　となります。
お返事お待ちしています。

[15]ナイア 06/03/09 11:43 y44/fzbxu0

>>14
ダンさん。
フリーメールで申し訳ありませんがメールを送りました。
よろしくお願いします。

[16]ダン 06/03/09 12:41 lRn8mG4v6B

ナイア様
ありがとうございます。返信致しました。
ご検討宜しくお願い致します。

[17]nonname 06/03/28 18:18 QXIl2s/4De

http://7899.hito.thebbs.jp/ct/JavaScript

[18]白 06/04/06 17:51 eEggIer..w

http://mbsp.jp/aikoTohikaru/
ここのパスはずしませう。

[19]index 06/04/28 20:12 RA1QvUC43l

パスワードじゃなくファイル名を指定するやつもあるが･･･

[20]orz 06/05/16 18:26 emigvwIdKD

つhttp://www.red.oit-net.jp/tatsuya/java/prompt3.htm

[21]poppy 06/06/04 14:03 A.i5OCY9gl

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html lang="ja">
<head>
<META HTTP-EQUIV="Content-type" CONTENT="text/html; charset=Shift_JIS">
<META http-equiv="Content-Style-Type" content="text/css">
<meta name="robots" content="noindex, follow">
<link rel="stylesheet" type="text/css" href="1.css">
<TITLE>パスワードを入れてねー</TITLE>
</HEAD>
<BODY>
此処にパスワードを入れてくださいー。<BR>
<B>半角数字</B>13文字になるはずです。（長い・・・<BR>
<BR>
わかんない事があったら私にまでメールしてください。<BR>
<form onsubmit="document.location.href= this.pass.value + '.html'; return false">
<input type="text" name="pass" size="26" style="border:1px solid #999999;background-color:#ffffff;color:#666666">
<input type="submit" value="行く" style="border:1px solid #999999;background-color:#ffffff;color:#666666">
</form>
</BODY>
</HTML>


ここのパスって分かりますか？？
パスが分からなくとも、ﾘﾝｸ先ページに飛べれさえすれば。
このパスが解読できるものなのか、不可能なことなのかということだけでも。
よろしくお願いします

[22]ぽんた 06/06/07 19:11 HNeXLRfDYM

poppyさん

これは、パスワードと言うより、飛先のアドレス自体がパスワードになっています。

この行でアドレスの".html"抜きを入力させ・・
<input type="text" name="pass" size="26" style="border:1px solid #999999;background-color:#ffffff;color:#666666">

この行で、入力したファイル名と".html"を結合させ、飛んでいます。
<form onsubmit="document.location.href= this.pass.value + '.html'; return false">

[23]poppy 06/06/09 23:49 Eb.or2zIp6

そうなんですか！！！
パス＝アドレスなんですね。

ソースからじゃパスは分かりませんよね・・・・・
隠してあるタイプのソースですよね？？

[24]ほげ 06/06/10 12:38 ZgN/IBCv2p

>>23
クライアント側で認証するようなのってほとんどないんで、
本当の意味での"解読"とか"解析"ってのは出来ないのが
ほとんどですよ。

総当たりとか辞書などの原始的なアタックをするしかないです。
例外もあるけど。

[25]poppy 06/06/11 17:57 AtC05.LWHw

やっぱそうですか・・・・
思い当たる節はあるんですけどね、、うーんやっぱ入れません����
頑張ってみます笑