ログインユーザの場合,ユーザIDを悟られないように,ページ上ではニックネームのみ表示することが出来ます.
adminユーザの場合,真のユーザIDはけして公開ページ上では表示されません.
(1)サーバ上のパスワード情報はcrypt関数を用いた暗号化が行われています.
(2)ユーザ認証を経ることなしに,$datapath以下の .spr ファイルや .dat ファイルのURLを直接指定すれば,スプライトデータ・配置データにアクセス可能です.
対処法(1): 以下のように記述された .htaccess をPositLogルートディレクトリに設置する.
AddHandler cgi-script spr dat
ただし,アップロードしたファイルは依然として認証によらず直接アクセス可能であるため,ファイルアップロード機能を用いる場合は次の対処法(b2)のほうが望ましい.
対処法(2): $datapath に,外部からhttpプロトコルでアクセス出来ない場所を指定する.
この場合,ファイルアップロード機能を利用するには,次の手順でファイルローダーを設置する必要がある.
1.まずmod_rewriteの利用できることが前提
2.以下のRewriteRuleを.htaccess 等に設定
RewriteRule ^(.*)([0-9]{6}[a-zA-Z]{2})(/images/.+)$ /fileloader.cgi?page=$2&path=$3 [L]
RewriteRule ^(.*)([0-9]{6}[a-zA-Z]{2})(/files/.+)$ /fileloader.cgi?page=$2&path=$3 [L]
3.fileloader.cgi を positlog.cgiと同じディレクトリに設置(755)
4.fileupload.cgi (fileloader.cgiではないので注意)の $filesecure の値を1にする.
5.以上でファイルアップロードが可能となる.ただし,ファイルへのアクセスはすべてCGIを経由するので若干遅い.
(3)PositLogConfig.pm のある位置をURLで指定すると,内容が見えてしまいます.
PositLogConfig.pm の内容が見えると,(2)で問題とした .spr ファイルの位置がばれやすくなります.
対処法としては,以下のように記述された .htaccess をPositLogルートディレクトリに設置してください.
AddHandler cgi-script pm
(上の対象法(2)と合わせるなら AddHandler cgi-script pm spr dat )
PositLogは配置されたホストとパスに対していくつかのCookieを残します.
▼1ヶ月残されるもの
・prof_XXXXXXXXXXXXX:ユーザごとの新規スプライトの設定(色や枠,作者名,リンク,日付の表示非表示)
▼ユーザが指定した場合のみ1ヶ月残されるもの
・savedloginid:ユーザのID
・savedloginpass:ユーザのパスワード
▼セッション終了後に消えるもの
・loginid:ユーザのID
・loginpass:ユーザのパスワード
・viewposition:ページの表示位置
・viewDate:前ページから移動した時刻
ブラウザとサーバ間の通信はhttpを前提としています.httpsでの利用は考慮していません.(出来るかもしれませんが,未確認ということです.)
ユーザ認証にはセッション管理を用いずに,後述のユーザIDとパスワードを含んだCookieを必要のたび送信します.パスワードは生で流れてしまいます.
PositLogは現時点で十分にセキュリティの高いシステムであるとは言えません.PositLog上で重要な情報を扱ったことによって被られた損害は補償いたしかねますので,十分にご注意ください.
本ページでは,PositLogにおいてどの程度セキュリティを守ることができるのかを判断するご参考のため,関連情報を提供します.詳しくはソースコードもご覧ください.