アカウント名:
パスワード:
Toが不特定多数に公開されているも同然なのに、その To 宛のメールヘッダに記載される From を機械的に信用しちゃうなんて、Facebookの実装があかんですねこれは。っても、S/MIMEやPGPを使うなんて現実的ではないでしょうから、
* Facebook が自前の送信専用SMTPサーバ(もちろん認証必須)を用意して、必ずそこから送信させる(そうでないものは弾く)
(この実装を維持するとした場合)このぐらいしか有効な対策がないと思います。
さくっと、メールとの連携機能をやめてしまうのが吉ではないかと。
# 実装時に、誰かが問題視しなかったのかなあ。
そこまでしなくても、SPF認証するだけで完全ではないけど被害は抑えられそうですね
うーん、SPF程度だとあまり防御になってないのではないでしょうか。gmail.com などはSPFが意味をなさないでしょう。(誰でも簡単に取れるので)
gmail.com などはSPFが意味をなさないでしょう。(誰でも簡単に取れるので)
すません、 SPF は Return-Path (MAIL FROM:)を見るものでしたね。勘違いしました。
S/MIMEを使用しないメールとの連携機能を停止すればいいんじゃない?現実的じゃないと考えている理由はわからないのだけど,facebookが自前でkeyserver立てなくても外部のものを使えばいいような.
# メールについてもS/MIMEをみんなが使うようになってくれるならむしろ歓迎
現実的じゃないと考えている理由はわからないのだけど,
すみません、技術的に現実的ではない、という意味ではありませんでした。S/MIMEやPGPの普及度からいって、大多数にとってかなり障壁の高いものだと思います。そして、そこまで障壁を高くしておいて、メール連携機能を使う人がいるかというと、私は疑問に思います。
なんで、連携なんてやめてしまえばいいんじゃないかしら、と思うわけです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
実装が悪い (スコア:3, 興味深い)
Toが不特定多数に公開されているも同然なのに、
その To 宛のメールヘッダに記載される From を機械的に信用しちゃうなんて、Facebookの実装があかんですねこれは。
っても、S/MIMEやPGPを使うなんて現実的ではないでしょうから、
* Facebook が自前の送信専用SMTPサーバ(もちろん認証必須)を用意して、必ずそこから送信させる(そうでないものは弾く)
(この実装を維持するとした場合)このぐらいしか有効な対策がないと思います。
さくっと、メールとの連携機能をやめてしまうのが吉ではないかと。
# 実装時に、誰かが問題視しなかったのかなあ。
comutt
Re:実装が悪い (スコア:2)
そこまでしなくても、SPF認証するだけで完全ではないけど被害は抑えられそうですね
Re:実装が悪い (スコア:1)
うーん、SPF程度だとあまり防御になってないのではないでしょうか。
gmail.com などはSPFが意味をなさないでしょう。(誰でも簡単に取れるので)
comutt
Re:実装が悪い (スコア:1)
gmail.com などはSPFが意味をなさないでしょう。(誰でも簡単に取れるので)
すません、 SPF は Return-Path (MAIL FROM:)を見るものでしたね。
勘違いしました。
comutt
Re: (スコア:0)
S/MIMEを使用しないメールとの連携機能を停止すればいいんじゃない?
現実的じゃないと考えている理由はわからないのだけど,
facebookが自前でkeyserver立てなくても外部のものを使えばいいような.
# メールについてもS/MIMEをみんなが使うようになってくれるならむしろ歓迎
Re:実装が悪い (スコア:1)
現実的じゃないと考えている理由はわからないのだけど,
すみません、技術的に現実的ではない、という意味ではありませんでした。
S/MIMEやPGPの普及度からいって、大多数にとってかなり障壁の高いものだと思います。
そして、そこまで障壁を高くしておいて、メール連携機能を使う人がいるかというと、私は疑問に思います。
なんで、連携なんてやめてしまえばいいんじゃないかしら、と思うわけです。
comutt