パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ドコモ携帯の「かんたんログイン」の脆弱性、「発覚」」記事へのコメント

  • Re: 部門名 (スコア:2, 参考になる)

    by Anonymous Coward
    >「数年前から指摘されているのに」

    数年前から指摘されている問題とは異なりますよ。
    高木氏がこれまで指摘してきたのは、(1)固有IDが全サイトに常時送信されることによる個人の行動との紐づけ、(2)固有IDをログイン情報代わりにする場合に、キャリアのゲートウェイのIPアドレスのリストを常時更新し続けなければPC等から偽装して送信可能であるという問題、についてです。

    (1)は置いておいて、(2)についてはサイト運営者がキャリアのGWのIPアドレスを常時きちんと更新できていれば(できるのか?)問題は発生しないはずだったのですが、今回のはJavaScriptとDNS rebindingを組み合わせることで携帯電話だけを用いて攻撃が可能になる、という点が大きく異なります。

    今回の手法は、携帯電話に偽のDNS情報を返すことで、正規サイト内のコンテンツを罠サイトのドメイン内の一部とみなしてJSからアクセスするというものです。
    • Re: (スコア:3, 参考になる)

      タレ込んだ本人ですが、高木氏の指摘は解説いただいた固有IDの使用そのものにまつわる問題であることは承知しております. タレ込み本文が紛らわしかったため、編集で(脆弱性が)「数年前から指摘されているのに」という直接的な表現に手直しされたようです.

      技術解説の物書き仕事をする場合、編集者のお陰で細かい間違いをせずに済むことが非常に多いです.
      しかし、時には技術的な内容の分かる編集者が気をきかせてくれたはずの校正でかえって技術的な正確さが損なわれることもあるものです.(筆者の再校正が無い場合・再校正で編集者による修正を見落とした場合などは仕方無いですね)
      • すいません。てっきり高木氏の指摘(「IPアドレス帯域」をどうやって安全に更新するのか [takagi-hiromitsu.jp])を斜め読みして、DNSキャッシュ汚染の指摘をしているものと勘違いしていました。ご指摘ありがとうございます。適切に修正します。

        • Re: (スコア:3, 参考になる)

          「DNSキャッシュ汚染」という言葉はまだ誤解を招くんじゃないかな。

          今回の攻撃でポイントなのはアクセス先のWebサイト(およびそのDNSレコード)は攻撃側のものであるため、攻撃側が自由に変更可能である、という点です。
          「DNSキャッシュ汚染」と言われると、Webサイト管理者やDNSキャッシュサーバ管理者以外の第三者からの攻撃のように見える。この誤解を避けるため、紹介記事などでは poisoning と書かず rebinding と記述されているものと思います。

          • by Anonymous Coward
            いや、だから、hylom氏が「DNSキャッシュ汚染」の話と勘違いしたという話でしょ?
            日本語大丈夫?
            • by tagomoris (37361) on 2010年01月13日 20時55分 (#1702306)

              追記部分に以下のように書かれてますから読んでおいてくださいね。

              > 今回の問題はDNSキャッシュ汚染を利用することで携帯電話からアクセスしてきた
              > ユーザーの情報を悪意のあるサイトが搾取できる、というものです。

              親コメント
              • by Anonymous Coward
                キャッシュ汚染ではなく、手持ちのドメイン情報を連続更新するだけ。
                キャッシュ汚染とは全く別物の攻撃。

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...