  |
はてなキーワード: プロキシとは
VPN伝送経路内の通信は暗号化されている。ログも残っていないのであろう。
だが、そこからインターネットを利用するためにはプロキシサーバとファイヤーウォールを経由する必要がある。
プロキシサーバーとファイヤーウォールはDWZに設置されているため絶えず外部から攻撃を受け続けている。
ログを保管しないなどということはありえない。
おまえの言っていることは半分はあっているが、結論は間違っている。
増田が言うとおり、VPNサーバー経由の書き込みはプロキシを共有しているが故にIPが重複しておりIPだけでは個人を特定することはできない。ただし、書き込みの時間が特定できればログとと都合することにより個人の特定は可能である。
VPNサーバーを設置している業者は通信業者ではない。コンテンツプロバイダでもない。
暇空茜が「おまえのサーバーのプロキシから書き込みがあったけど教えてほしいんだよね」と問い合わせがあった場合、VPNサーバーを設置している業者には回答する義務はない。と同時に、通信を秘匿する義務もない。問われていないことについても調べて回答してくれる可能性もあるぐらいだ。
回答する義務はないので、普通は面倒な作業をして回答することはないだろう。
ただし、VPNサーバーが犯罪に利用されている場合は話は別だ。
また、VPN業者に「暇アノン」がいた場合も回答が得られる可能性は多いだろう。
よしウェブサービスを作るぞと意気込んだ。
まずCloudflare Workersが安いと聞いてるのでそれを使う。
ユーザー認証にはFirebase Authというのが良いらしい。
よし、使ってみるぞ。
えっ中国で使えないんですか?
プロキシサーバーを立てて回避?新規で選んだらアカンやつやん。日本人これ使ってるやつ多いよねぇ。だから世界で戦えないんじゃない?
さらに調べるとユーザーが増えるとコストが馬鹿みたいにかかるんですって。
なにゆってんの。日本人なら水と認証はタダじゃないと納得できない。
そういう事で、タダでできる認証を調べると、Luciaというのを見つけました。
Luciaはオープンソースの認証ライブラリ。ユーザー情報など置くDBは別途用意しなきゃいけないけどそれはしょうがないね。
あとセッションベースの認証だから安全性が高いんだって。すごいね。
ChatGPT「ユーザーセッションをDBに保存して、まだ有効期限をが切れてないかリクエストのたびにDBに聞きに行くやつや」
えっそれは・・・データベースへのアクセスがいっぱいになるよね?
ChatGPT「せやで」
あかんやん!DBのお金くらいは出したるとは言え、リクエスト毎のアクセスはあかんわ。
これもLuciaと同じくOSSだけど、Luciaと違ってトークンベース。
良いですね。私トークン大好き!
早速書いちゃうよー。ごりごりごりら。
ふう、いっぱい書いたね。もうApple、Google、GitHubの認証かけちゃった。
よし、これをスマホアプリでも使えるようにしないとね。Auth.jsとか大そうな名前のライブラリなんやから当然簡単にできるんやろなぁ。
・・・できん!え、嘘!?なんか同じ事聞いてるissueあるけど作者全然アプリに乗り気じゃない!って言うかクローズされとる!リバースエンジニアリングしたら余裕やお前らは作者様に迷惑かけるなボケとか言ってる奴もいる!
これはあかんわ・・・。そらなんとかしたらなんとかなるんやろうけど、「覚悟」がいるやん。暗闇の荒野に進むべき道を切り開く「覚悟」が。
だからアプリ開発者にもっと媚びるのが普通なのに、むしろ忌み嫌ってるフシさえある。
とりあえず今日はここまで。
明日はSupabase Authを見てみる。
そう、認証はタダでは無理だと分かったので。少なくとも命を削って良い機能じゃない。
でもSupabaseの無料枠はFirebaseの倍の量あって、課金入っても比較的安くて良さそう。
しかもCloudflare Workers が連携に公式対応!
正直それがどの程度のものか怪しいけど、見てみるで。
それにしてもサーバーサイドはつらいなぁ。
はてなは、匿名性を活かした自由な表現が可能となる場として、はてな匿名ダイアリーをご利用いただきたいと考えております。普段お使いいただいているアカウントで書くものから離れた文章や、いつもとは違う筆致の文章などの投稿、匿名ならではの問題提起など、匿名性を楽しめるような形でご利用ください。
はてなは、はてなコミュニティガイドラインを公開しています。はてな匿名ダイアリーにおいても、それに沿ったご利用をお願いいたします
匿名ダイアリーでは、「言及された当事者から削除の申し立てがあった場合、発信者への意見照会を経ずに削除を行う」という特殊なルールを設けています。また、サービスの匿名性は、特定の対象を攻撃する目的に使われるべきでないと考えています
匿名ダイアリーはラボサービスです。告知なく機能が追加、変更、あるいは廃止されることがあります
スパム対策や投稿監視などの運用面においても本サービスとは異なる基準や手法で対応することがあります
利用上の注意勧告など重要なご連絡は、登録メールアドレスあてにお送りします。匿名性の悪用を防ぐため、匿名プロキシや短期間での失効を前提としたメールアドレスでの登録、それらを利用したアカウントの投稿は事前の予告なく制限したり削除することがあります
投稿者のアカウントは公開されませんが、はてなではアカウントや投稿記録を管理しており、プライバシーポリシーの開示要件を満たす範囲で情報開示を行うことがあります
こういう仕事は割とあるんだがなかなかのヤバさだったので紹介したい
ちなみにサービスの内容は非常に良くてユーザーも万単位で付いているらしい
バックエンドはAWS EC2で動作しているがログインアカウントは共通化されていてパスワードを全員で共有している
ユーザーを追加しようとしたら「そのような勝手な行為はセキュリティ上許可されていません」とのこと
本番環境とStagingはインスタンスが分かれているが運用は同じ方法
Staging上で5人ぐらいが作業しているが、ホームの下にそれぞれのユーザーが自分の名前でディレクトリを作って作業している
バックエンド側のシステムは詳細は伏せるが、某システムで動いている
仮にNode.js系だとすると、package.jsonがあってnpm run installでインストールするのだが、普通にインストールしようとするとエラーになる
内容は依存関係で失敗しているのだが、本番も同じソースで動作している
動作させるにはnode_modulesをまるっとコピーして、とのこと
さっきの自分の名前のディレクトリ配下にコピーしてきて、適当なポート番号でサーバを立ち上げれば一応は動く
このため、新しいモジュールを入れようとすると依存関係で失敗するため、便利なモジュールがあってもインストールできないし
セキュリティアップデートも当てることはできない(現にバージョンがすごく古い)
ソースコードはGitHub管理されているがセーブポイント感覚でcommitされているのでコミットログを見ても何が起きているのかさっぱり分からない
おまけにPRも使わずにmainにマージしまくっていてわけがわからない
加えてソースコードはコメントアウトの嵐でどこに何が書いてあるのかさっぱりわからない
データベースはPostgreSQLだが山ほどテーブルがあるのに外部キー依存は入っていないしVIEWも作られていない
まぁ、他にもテーブルを見ていくとアンチパターンのオンパレードで、EAV、ジェイウォークあたりは確認できたしHTMLやSQLが格納されているテーブルも見つけた
ソース上でクエリを作ってAPIを作っているが、ザッと見ただけでもインジェクションし放題の状態になっていた
フロントエンドも詳細は伏せるが、いわゆるReact的なものを利用している
こちらは npm run installでインストールできるし npm run devでちゃんと動く
ただ前述の通りバックエンドはローカルで構築できないのでEC2を利用するしかなく、CORS対応のためのプロキシを自前で用意する必要があった
バックエンド同様にGitHub管理されているが、管理しているだけ
バックエンドは5人ぐらいが利用しているが、ソースコードを編集するのは実質1人なのでコンフリクトはほとんど起こさないらしいが
フロントエンドは5人ぐらいが編集するのでコンフリクトしまくっている
解消するときにデグレすることが日常茶飯事でその都度Hotfixしている
コードもコメントアウトだらけなのに加えて、不必要なコードが大量にあるので可読性が著しく低い
(難しい処理を読み解いて追いかけていったら最終的に使われていない、などが大量にある)
2000行ぐらいあるコードとかChatGPTに突っ込んだら20行ぐらいになる予感がある
また、DBがご覧の状態なので取得されるデータも全然抽象化できておらず、コードが膨れ上がっている
例えばProductの一覧データをサーバから取得して、ユーザーがクリックしたProductをCartに投入するのだが、投入する情報はProductではなく、CartItemにする必要があるし
OrderするときはOrderItemにしてAPIを叩く必要がある
ほとんど同じ情報なのだが微妙に変わっていたりKey名が違っていたりするのでそれぞれ変換する
他にも数え上げればキリがないが、コピペして少しだけ改変している部分などが大量にあってバグがあるのかどうかすら判別できない
DBにHTMLやSQLが入っていると言ったが、調べて見るとDBから取得したHTMLをそのまま埋め込んで表示していたりした
SQLについてはフロントエンド側でSQL生成しており、そのテキストをAPIに送り込んでサーバ側で実行して貰った上で格納とかしていたので
「ここにDROP TABLEとか書けばTABLE消えるんですか?」
と聞くと
とか言われたのでことの重大さを伝えたが、まだ対処できていないようだった
認証等はOAuth2を使っていたので大丈夫そうだったが、本当に大丈夫かどうかは自信がもてない
システム内容はゴミのような状態だがサービス的には良いので、幹部やプロダクトオーナーからは追加要望が山盛り来ている
開発チームが「稼働が足りない」という理由で断ったので「じゃぁ支援して」ということで自分のところに来たのだが
「申し訳ないが、そもそもそういうレベルに無いし、全て作り直しが必要」
と伝えてもどうやら伝わっていない様子
ちなみに元々の開発チームは過去にもこんな感じでサービス作ってたらしいが売れないので問題になってなかった様子
ぱっと見は動いているように見えるのが厄介なところ
正直逃げたいところではある
はてなは、匿名性を活かした自由な表現が可能となる場として、はてな匿名ダイアリーをご利用いただきたいと考えております。普段お使いいただいているアカウントで書くものから離れた文章や、いつもとは違う筆致の文章などの投稿、匿名ならではの問題提起など、匿名性を楽しめるような形でご利用ください。
はてなは、はてなコミュニティガイドラインを公開しています。はてな匿名ダイアリーにおいても、それに沿ったご利用をお願いいたします
匿名ダイアリーでは、「言及された当事者から削除の申し立てがあった場合、発信者への意見照会を経ずに削除を行う」という特殊なルールを設けています。また、サービスの匿名性は、特定の対象を攻撃する目的に使われるべきでないと考えています
匿名ダイアリーはラボサービスです。告知なく機能が追加、変更、あるいは廃止されることがあります
スパム対策や投稿監視などの運用面においても本サービスとは異なる基準や手法で対応することがあります
利用上の注意勧告など重要なご連絡は、登録メールアドレスあてにお送りします。匿名性の悪用を防ぐため、匿名プロキシや短期間での失効を前提としたメールアドレスでの登録、それらを利用したアカウントの投稿は事前の予告なく制限したり削除することがあります
投稿者のアカウントは公開されませんが、はてなではアカウントや投稿記録を管理しており、プライバシーポリシーの開示要件を満たす範囲で情報開示を行うことがあります
