某画像掲示板とProxomitron
「DLのためのProxomitron」の番外編なんですが、最近某画像掲示板は画像にパスワード制限を加えることが可能になりました。各板の管理人が「この掲示板ではパスワード制限を有効」みたいな設定を行うと、投稿した画像のサムネイルがモザイク付きで表示されるようになり、それをクリックするとパスワード入力ページに飛ばされる。正しいパスワード(板管理人が設定したパスワード)を入力するとフルサイズ画像表示ページが開かれる、と。
つまり
ということで
んー、正直程度の低いダウンローダー規制&「Proxomitronの使い方」としては特に新しくない話なんですが、「何だこの意味がない規制は」という話としては面白い気がしたので「DLのためのProxomitron番外編」という扱いにしておきます。
つまり
掲示板ページ
↓ サムネイル画像クリック
パスワード入力ページ
↓ パスワードを入力しPost
画像表示ページ
↓ ページ内のimgタグで呼び出し
フルサイズ画像
なんですけど、このようにPostメソッドを交えたダウンローダー規制を行っても、「フルサイズ画像」が最終的にimgタグで呼び出されている以上、その「フルサイズ画像」のURLをGetメソッドで直読みすることは絶対に可能です(もちろんRefererチェックを行っている可能性はあります、この「某掲示板」はそこらへんも不十分なんですが・・・)。↓ サムネイル画像クリック
パスワード入力ページ
↓ パスワードを入力しPost
画像表示ページ
↓ ページ内のimgタグで呼び出し
フルサイズ画像
※参考(「正しい」方法でフルサイズ画像を呼び出す時)ブラウザはimgタグに記述されたURLをPostメソッドで(=標準入力付きなどで)呼び出すことができない。ブラウザは「正しい」アクセス時にimgタグ内URLを通常のGetメソッドで読んでいる。ならば、そのGetメソッドによるリクエストを「正しくない」アクセス方法で行ってしまえばいい。
アダルトサイトで学ぶHTTP基礎(5)
通常我々がブラウザで行う「リクエスト」には「Referer」などの環境変数が(目に見えない場所で)付加されている。
アダルトサイトで学ぶHTTP基礎(6)
サーバーは、そうした情報を使って「それが正当なリクエストか(ダウンローダーなどから送られたリクエストではないか)をチェックしている。つまり、「正しい」アクセス時と同じリクエストを送信すれば「ダウンローダーでのダウンロード」は必ず可能である(上で軽く書いたRefererチェックによる規制もこの話の範疇です)。
※参考「フルサイズ画像リクエスト時に標準入力がチェックされる」でなく、Cookieを使い
超初級CGIクラックガイド(4)
Getメソッドで送信できるリクエストの形式など。
超初級CGIクラックガイド(5)
Postメソッドで送信できるリクエストの形式など。仮に「フルサイズ画像リクエスト時に標準入力がチェックされる」という仕組みがあればProxomitronでリンクを書き換えるのは困難になりますが、上述の理由でそれはあり得ない。「せっかく」Postメソッドを交えた規制を行っていても最終的に「フルサイズ画像を表示する」という段階がimgタグでは仕方がない。
- パスワードが正当だった場合にCookieを渡す
- (imgタグで呼び出される)フルサイズ画像は正当なCookieを持っていないと表示されない
ということで
掲示板ページ
↓ Aタグでリンクを貼る
フルサイズ画像
というようにサイト構造を書き換え(この「書き換え」を行うための連載がDLのためのProxomitronです)てしまえば、ぶっちゃけ「パスワード制限」自体が無効化されてしまいます。「パスワード保護されている」掲示板でも「サムネイルをクリックすればフルサイズ画像が表示される」というように書き換えることができてしまう。つまり、この「某掲示板」における「パスワード認証」は「画像表示ページを表示させるための認証」でしかなく、「フルサイズ画像を表示させるための認証」になっていない。もちろん「正しい」アクセスならば「フルサイズ画像を表示させるためには画像表示ページを開く必要がある」のですが、「正しくない」アクセスをも想定しなければ認証にはならない。↓ Aタグでリンクを貼る
フルサイズ画像
んー、正直程度の低いダウンローダー規制&「Proxomitronの使い方」としては特に新しくない話なんですが、「何だこの意味がない規制は」という話としては面白い気がしたので「DLのためのProxomitron番外編」という扱いにしておきます。
TrackBack
この記事へのトラックバック