アカウント名:
パスワード:
対策はホボこの一点に集中しているのでは。
影響範囲(略)HTTPリクエストヘッダのHOSTフィールドをチェックしていない
つまり、default hostで運用するなって事かと。
それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?
ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレスhttp://124.83.147.204/ [124.83.147.204]でアクセスできますよね。
必要がなければ制限しないのはごく普通のことでは?
> ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス > http://124.83.147.204/ [124.83.147.204] > でアクセスできますよね。 だからどうした。
> ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス > http://124.83.147.204/ [124.83.147.204] > でアクセスできますよね。
だからどうした。
だから、default hostで運用するサイトが悪いのではなくて、iモードIDを送信するドコモが悪い、という話では。
「脆弱性が発見された場合にそれを容易に改善できない」仕組みを採用したことが諸悪の根源です。
別に新しい仕組みを考えること自体は悪くないと思いますよ。iモードIDも、「適切に運用」できればこんなに便利な技術はないです。もっともこの実装じゃ、たとえ私に運用を任されても、適切に運用できそうにありませんが…。(笑
もっと根を探るなら、日本人がよく陥る「この仕組みは完璧ですか?」「完璧ですよ!」論こそ悪かなと。世の中にはそんなもの存在しないのにねぇ。
かたや某宇宙のかなたではあの限られた環境で「こんなこともあろうかと」が連発するというのに。比べるのが間違いなのはわかるけど、少し爪の垢を煎じて飲んだほうがいいですよ!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
なぜ今更ネタになるのか (スコア:0)
対策はホボこの一点に集中しているのでは。
つまり、default hostで運用するなって事かと。
Re: (スコア:0)
それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?
ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス
http://124.83.147.204/ [124.83.147.204]
でアクセスできますよね。
必要がなければ制限しないのはごく普通のことでは?
Re: (スコア:0, おもしろおかしい)
ついさっき常識になった。
>ヤフージャパンの http://www.yahoo.co.jp/ だって、数値IPアドレス
>http://124.83.147.204/
>でアクセスできますよね。
だからどうした。
>必要がなければ制限しないのはごく普通のことでは?
セキュリティ責任者でそんな事いったら異常者扱いされる。
Re:なぜ今更ネタになるのか (スコア:1, 参考になる)
だから、default hostで運用するサイトが悪いのではなくて、iモードIDを送信するドコモが悪い、という話では。
Re: (スコア:0)
「脆弱性が発見された場合にそれを容易に改善できない」仕組みを採用したことが諸悪の根源です。
別に新しい仕組みを考えること自体は悪くないと思いますよ。
iモードIDも、「適切に運用」できればこんなに便利な技術はないです。
もっともこの実装じゃ、たとえ私に運用を任されても、適切に運用できそうにありませんが…。(笑
もっと根を探るなら、日本人がよく陥る「この仕組みは完璧ですか?」「完璧ですよ!」論こそ悪かなと。
世の中にはそんなもの存在しないのにねぇ。
かたや某宇宙のかなたではあの限られた環境で「こんなこともあろうかと」が連発するというのに。
比べるのが間違いなのはわかるけど、少し爪の垢を煎じて飲んだほうがいいですよ!