パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に」記事へのコメント

  • by Anonymous Coward

    ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。

    • そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
      そうすれば機能的に損なう物もないですし。

      • by tietew (6130) on 2010年05月25日 19時33分 (#1769423) ホームページ
        アドバイザリを読んでください。XMLHttpRequestオブジェクトに於いて、Hostヘッダが上書きできてしまうため、仮想ホストでHostヘッダをチェックしていても、すり抜けてしまいます。サーバ側で対策ができません。

        PCブラウザ、iモードブラウザではHostヘッダの上書きはできません。
        親コメント
        • by Anonymous Coward
          DNS Rebindingどうこうではなく、コレこそが一番危険なセキュリティホールでは…?
          タレコミにコレも書いてくれないと。
          • by Anonymous Coward
            Host: の書き換え自体、何が危険ですか?(かんたんログインが使われていないとして)
            • by Anonymous Coward

              括弧内の条件は

              タレコミにコレも書いてくれないと。

              とどう関係してるんだ?

              • by Anonymous Coward
                >>>「DNS Rebindingどうこうではなく、コレこそが一番危険なセキュリティホールでは…?」

                意訳:DND rebinding に関係なく、Host: の書き換え自体が危険

                → Host: 書き換えの危険性って何ですか?
              • by Anonymous Coward

                がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね

              • by Anonymous Coward

                #1769778 の理解は正しいと思うんだけど、どう違うの?

計算機科学者とは、壊れていないものを修理する人々のことである

処理中...