TABLE OF CONTENTS
zeromin2 - Zeromin2に関することの文章
Zeromin2に関する事項を解説します。
Zeromin2及びZerominはimg0ch専用の統合管理システムです。 スレッド削除やレスの削除は全てこのシステムを用いて行います。
Zeromin2ではセッション管理制をとっており、Cookieを有効にして一度ログインすれば ログアウトしない限りログインの状態を保つことが出来ます。ただし、これはそれなりの リスクが付きます。これに関しては「Zeromin2の利用の際の注意」を参照してください。
ZerominではJavaScriptが必須でしたが、Zeromin2ではJavaScriptが無効であっても ほとんどの操作が出来るようになっています。これによって、Zerominで問題となっていた ブラウザ側のCPUパワー及びメモリ使用の増幅があまり起こらないようになっています。
ただし、JavaScriptを無効にする場合でもリスクがあります。 これに関しては「JavaScriptをoffにしている場合の注意事項」を参照してください。
掲示板のindex.html表示が新たに追加され、個々のスレッド表示がほぼread.cgiと 同等のものになりました。これによって、反映結果が近くなるようになっています。 また、ヘッダー関連及びバナーのプレビューが加わり、遷移無しでプレビュー結果が 分かるようになっています。
JavaScriptが有効であればユーザー、ユーザーグループ、キャップ、キャップグループ、 掲示板設定のフォームの送信前にチェックがかけられます。これによって、無駄な通信を 発生させること無く作成及び編集が出来ます。勿論、JavaScriptの有効無効関係無く サーバー側でもフォームのチェックがかけられます。
これは外部のリンクから直接操作される行為を防ぐための機構が働いたためです。 たとえ実行権限があっても「実行権限がありません」とエラーの表示をします。 その場合はリロードを行うことで実行可能になります。
この防止機能は通常データ変化が発生する操作に対して取り付けられます。 読み込むだけの場合はこの問題は発生しません。
これに関してはCSRFの項目を参照してください。 http://e-words.jp/w/CSRF.html
通常JavaScriptが有効になっている場合それぞれのリンクはGETではなく POSTとして送信されるため、URL上にセッションIDが残らないようになっています。
JavaScriptが無効になっている場合リンクはリンクとして働く(GETで送信する)ため、 セッションIDがURL上に表示されます。このセッションIDが外部に漏れた場合は なりすまし行為が発生し、掲示板運営に危機をもたらす危険性があります。
JavaScriptが無効にする場合は必ずログオフを心がけるようにしてください。 ログオフを行えばセッションIDは無効になり、たとえ漏洩されたとしても そのセッションIDを使ってなりすまし行為を行うことが出来なくなります。
掲示板のインデックス及びスレッド表示のリンク先が外部に向けられている場合、 リダイレクタをはさむようになっています。ただし、画像に関してはリダイレクタを はさんでいません。特にヘッダーまたはフッターに画像を利用する際は必ずURL先が 信頼できるものであるかどうかを確かめてください。
「6.4.2 セッション管理の留意点」を参照してください。 http://www.ipa.go.jp/security/awareness/administrator/secure-web/chap6/6_session-2.html