アカウント名:
パスワード:
どこが悪用なんでしょうか?よく分かりませんでした。「正規のドメイン」というのが他人のドメインということですか?
そうは言っても、まあ実際、何について「悪用」と言っているのかは大まかには妄想できるよね?軽度なアスペの俺でも、これくらいならちゃんと察せるぜ。
もちろん、もし世の中の人間全員が技術的に厳密な世界で生きているのであればそりゃ厳密には「どこが悪用なのか」とツッコミ入るけどなw
で、結局何が悪用なんですか?「正規のドメイン」というのが他人のドメインということ?他人のドメインのサブドメインの署名書を取得できる?
分かってるつもりってのが一番危ないんじゃ…
「正規のドメイン」というのが他人のドメインということ? 他人のドメインのサブドメインの署名書を取得できる?
Domain Shadowing [cisco.com] という攻撃方法は、「レジストラ」や「レジストラの代理店」のアカウント、例えば eNom とか お名前.com とか VALUE DOMAIN のアカウントを乗っ取り、正規のドメインに対してサブドメイン(自分のサイトのAレコードを登録)を作りまくって悪用する手口です。
レジストラのアカウントを乗っ取った以上は、サブドメイン以外を書き換えることも技術的には可能ですが、あえてサブドメインの追加のみに留めるているのはドメインの正規所有者に乗っ取られたことを気が付きにくくするためだと思います。サブド
DNS CAAで拒否できるのでは?と書こうと思いましたが、そもそも乗っ取られた状況だとAだけでなくCAAも書き換えできるから、あまり意味がないですかね。
#なお、Let's EncryptはCAAを見るようだ。Certs for subdomains without the domain owner's permission - Issuance Policy - Let's Encrypt Community Support [letsencrypt.org]には、“Let's Encrypt supports the CAA standard”という回答がある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
悪用? (スコア:0)
どこが悪用なんでしょうか?
よく分かりませんでした。
「正規のドメイン」というのが他人のドメインということですか?
Re: (スコア:0)
そうは言っても、まあ実際、何について「悪用」と言っているのかは大まかには妄想できるよね?
軽度なアスペの俺でも、これくらいならちゃんと察せるぜ。
もちろん、もし世の中の人間全員が技術的に厳密な世界で生きているのであれば
そりゃ厳密には「どこが悪用なのか」とツッコミ入るけどなw
Re: (スコア:0)
で、結局何が悪用なんですか?
「正規のドメイン」というのが他人のドメインということ?
他人のドメインのサブドメインの署名書を取得できる?
分かってるつもりってのが一番危ないんじゃ…
「レジストラ」や「レジストラの代理店」のアカウントを乗っ取られた後の話 (スコア:3)
Domain Shadowing [cisco.com] という攻撃方法は、「レジストラ」や「レジストラの代理店」のアカウント、例えば eNom とか お名前.com とか VALUE DOMAIN のアカウントを乗っ取り、正規のドメインに対してサブドメイン(自分のサイトのAレコードを登録)を作りまくって悪用する手口です。
レジストラのアカウントを乗っ取った以上は、サブドメイン以外を書き換えることも技術的には可能ですが、あえてサブドメインの追加のみに留めるているのはドメインの正規所有者に乗っ取られたことを気が付きにくくするためだと思います。サブド
Re:「レジストラ」や「レジストラの代理店」のアカウントを乗っ取られた後の話 (スコア:1)
DNS CAAで拒否できるのでは?と書こうと思いましたが、そもそも乗っ取られた状況だとAだけでなくCAAも書き換えできるから、あまり意味がないですかね。
#なお、Let's EncryptはCAAを見るようだ。Certs for subdomains without the domain owner's permission - Issuance Policy - Let's Encrypt Community Support [letsencrypt.org]には、“Let's Encrypt supports the CAA standard”という回答がある。