4.サーバ上の情報

(1)サーバ上のパスワード情報はcrypt関数を用いた暗号化が行われています.

(2)アップロードされたファイルは,URLさえわかっていればユーザ認証を経ることなしにアクセスすることができます.この問題に対しては,PositLogConfig.pm 内の $datapath に,外部からhttpプロトコルでアクセス出来ない場所を指定することで対処できます.その場合,ファイルアップロード機能を利用するには次の手順でファイルローダーを設置する必要があります.

    1.まずmod_rewriteの利用できることが前提
    2.以下のRewriteRuleを.htaccess 等に設定
     (fileloader.cgiのパスは適当なものに変更してください)
        RewriteRule ^(.*)([0-9]{6}[a-zA-Z]{2})(/Image/.+)$ /fileloader.cgi?page=$2&path=$3 [L]
        RewriteRule ^(.*)([0-9]{6}[a-zA-Z]{2})(/File/.+)$ /fileloader.cgi?page=$2&path=$3 [L]
    3.fileloader.cgi を positlog.cgiと同じディレクトリに設置(755)
    4.PositLogConfig.pm の $filesecure の値を1にする.
 
 以上でファイルアップロードが可能となります.ただし,ファイルへのアクセスはすべてCGIを経由するため若干遅くなります.

3.Cookie

 PositLogは配置されたホストとパスに対していくつかのCookieを残します.

▼1ヶ月残されるもの
・prof_XXXXXXXXXXXXX:ユーザごとの新規スプライトの設定(色や枠,作者名,リンク,日付の表示非表示)
・colorprof_XXXXXXXXXXXXX:ユーザごとのカラーパレット情報
・public_author:パブリックユーザ時の投稿者名
・public_password:パブリックユーザ時のパスワード

▼ユーザが指定した場合のみ1ヶ月残されるもの
・savedloginid:ユーザのID
・savedloginpass:ユーザのパスワード

▼ブラウザを閉じた際に消えるもの
・loginid:ユーザのID
・loginpass:ユーザのパスワード
・viewposition:ページの表示位置

▼スプライトをコピーした直後に作成され,ペースト後,あるいはブラウザを閉じた際に消えるもの
・clip:コピーした内容

2.通信

 ブラウザとサーバ間の通信はhttpを前提としています.httpsでの利用は考慮していません.(出来るかもしれませんが,未確認ということです.)
 ユーザ認証にはセッション管理を用いずに,後述のユーザIDとパスワードを含んだCookieを必要のたび送信します.パスワードは生で流れてしまいます.
1.はじめに

 PositLogは現時点で十分にセキュリティの高いシステムであるとは言えません.PositLog上で重要な情報を扱ったことによって被られた損害は補償いたしかねますので,十分にご注意ください. 本ページでは,PositLogにおいてどの程度セキュリティを守ることができるのかを判断するご参考のため,関連情報を提供します.詳しくはソースコードもご覧ください.

セキュリティについて