アカウント名:
パスワード:
この会社には学習という概念がないんですかね...
マイクロアドの広告サーバに攻撃、毎日jpやImpress Watchなど100サイト閲覧者にマルウェア感染の疑いhttp://www.itmedia.co.jp/news/articles/1009/27/news029.html [itmedia.co.jp]
その事件以来、hostsでブロックしてます。(昨日からunboundのlocal-zoneでやってみてる)
#adblockは重いから嫌い。
hostsで当該fqdnに対し、ダミーのIPアドレスを返すようにしてるの? どうやってるのか興味があります。
hostsには0.0.0.0 adf.send.microad.jp0.0.0.0 cache.microad.jp0.0.0.0 ld.send.microad.jp0.0.0.0 vsc.send.microad.jpと書いていた。目についたやつをとりあえず登録してただけだから、これで全部弾けてたかどうかは分からない。127.0.0.1じゃないのは特に意味はないです。
unboundではlocal-zone: "microad.jp." redirectlocal-data: "microad.jp 10800 IN A 0.0.0.0"local-zone: "microad.co.jp." redirectlocal-data: "microad.co.jp 10800 IN A 0.0.0.0"って書いてる。.co.jpのほうはとりあえず入れてみた。どうせ見に行かないし。これでサブドメインにも0.0.0.0が返ってきてると思う。一応digで確認はしたけど。
> 127.0.0.1じゃないのは特に意味はないです。
むしろここで127.0.0.1にする意味がわからない。あなたがローカルにサーバを立てていたら、あなたが信用していないマイクロアド社は(未登録のサブドメインから)あなたのローカサーバーへアクセスし放題になるってことだよ。0.0.0.0のようにアクセスできないIPアドレスが正解。
え、ならないだろ?
なるよ。Same origin policyはドメイン名が基準であって、そのドメイン名がどのようなIPアドレスに解決されるかは一切関係ないから。だからDNS rebindingのような攻撃も成り立つ。これは自らDNS rebinding攻撃を受けたときと同じ状態を24時間作り出しているようなもの。
local-zone: "microad.jp." redirectはlocal-zone: "microad.jp." staticの方がいいってこと?で、local-dataは記述せず、何も返さない?
「Same-Origin Policy」でいう「Origin」は、サブドメインの違いを見ます。即ち、a.example.com と b.example.com は、異なるOriginであり、Same-Origin Policyの下では、互いにアクセスできません。
b.example.com が閲覧者によって 127.0.0.1 に振り向けられているとして、これは a.example.com から見て、127.0.0.1 にIPアドレス指定でアクセスしようとするのと変わらないということですね。
もっというと、サブドメインが違ってもアクセスでき、ドメイン管理者に悪意があるという前提なら、閲覧者が 127.0.0.1 に振り向けるのを待つまでもなく、管理者がc.example.com を用意し、これを 127.0.0.1 に振り向ければ済んでしまいます。現状はこれができないから、DNS rebindingとして、ホスト名(FQDN)は同じままでIPアドレスだけ時限的に変える手法が用いられているわけでしょう。
参考RFC 6454 - The Web Origin Concept [ietf.org]The Web Origin Concept [ipa.go.jp](IPAによる日本語訳)
staticだけ記述してDNS応答をNXDOMAINにしておいたほうが余計な通信を始めない
ひょっとして127.0.0.1を知らないの?
ブラウザ内部からローカルサーバへアクセスが可能ってことじゃない?
それ自体は当たり前のことだけど、localhostや127.0.0.1以外の、127.0.0.1へ振り替えるように設定されている名前でアクセスできることになる。ユーザ自身の手で、あるいは何かしらの手段で設定されていることが前提だけど。
ソースを読む限りは外部アクセスに見えても、実際はローカルサーバへって。
#0.0.0.0でも127.0.0.1と同じようにapacheにアクセスできた…
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
2010年にもやらかしてるんだけど (スコア:3, 参考になる)
この会社には学習という概念がないんですかね...
マイクロアドの広告サーバに攻撃、毎日jpやImpress Watchなど100サイト閲覧者にマルウェア感染の疑い
http://www.itmedia.co.jp/news/articles/1009/27/news029.html [itmedia.co.jp]
Re: (スコア:1)
その事件以来、hostsでブロックしてます。
(昨日からunboundのlocal-zoneでやってみてる)
#adblockは重いから嫌い。
Re: (スコア:0)
hostsで当該fqdnに対し、ダミーのIPアドレスを返すようにしてるの?
どうやってるのか興味があります。
Re:2010年にもやらかしてるんだけど (スコア:1)
hostsには
0.0.0.0 adf.send.microad.jp
0.0.0.0 cache.microad.jp
0.0.0.0 ld.send.microad.jp
0.0.0.0 vsc.send.microad.jp
と書いていた。目についたやつをとりあえず登録してただけだから、これで全部弾けてたかどうかは分からない。
127.0.0.1じゃないのは特に意味はないです。
unboundでは
local-zone: "microad.jp." redirect
local-data: "microad.jp 10800 IN A 0.0.0.0"
local-zone: "microad.co.jp." redirect
local-data: "microad.co.jp 10800 IN A 0.0.0.0"
って書いてる。.co.jpのほうはとりあえず入れてみた。どうせ見に行かないし。
これでサブドメインにも0.0.0.0が返ってきてると思う。一応digで確認はしたけど。
Re: (スコア:0)
> 127.0.0.1じゃないのは特に意味はないです。
むしろここで127.0.0.1にする意味がわからない。あなたがローカルにサーバを立てていたら、あなたが信用していないマイクロアド社は(未登録のサブドメインから)あなたのローカサーバーへアクセスし放題になるってことだよ。0.0.0.0のようにアクセスできないIPアドレスが正解。
Re: (スコア:0)
え、ならないだろ?
Re: (スコア:0)
なるよ。Same origin policyはドメイン名が基準であって、そのドメイン名がどのようなIPアドレスに解決されるかは一切関係ないから。だからDNS rebindingのような攻撃も成り立つ。これは自らDNS rebinding攻撃を受けたときと同じ状態を24時間作り出しているようなもの。
Re: (スコア:0)
local-zone: "microad.jp." redirect
は
local-zone: "microad.jp." static
の方がいいってこと?
で、local-dataは記述せず、何も返さない?
Re:2010年にもやらかしてるんだけど (スコア:3)
「Same-Origin Policy」でいう「Origin」は、サブドメインの違いを見ます。
即ち、a.example.com と b.example.com は、異なるOriginであり、Same-Origin Policyの下では、互いにアクセスできません。
b.example.com が閲覧者によって 127.0.0.1 に振り向けられているとして、これは a.example.com から見て、127.0.0.1 にIPアドレス指定でアクセスしようとするのと変わらないということですね。
もっというと、サブドメインが違ってもアクセスでき、ドメイン管理者に悪意があるという前提なら、閲覧者が 127.0.0.1 に振り向けるのを待つまでもなく、管理者がc.example.com を用意し、これを 127.0.0.1 に振り向ければ済んでしまいます。
現状はこれができないから、DNS rebindingとして、ホスト名(FQDN)は同じままでIPアドレスだけ時限的に変える手法が用いられているわけでしょう。
参考
RFC 6454 - The Web Origin Concept [ietf.org]
The Web Origin Concept [ipa.go.jp](IPAによる日本語訳)
Re: (スコア:0)
staticだけ記述してDNS応答をNXDOMAINにしておいたほうが余計な通信を始めない
Re: (スコア:0)
ひょっとして127.0.0.1を知らないの?
Re: (スコア:0)
ブラウザ内部からローカルサーバへアクセスが可能ってことじゃない?
それ自体は当たり前のことだけど、localhostや127.0.0.1以外の、
127.0.0.1へ振り替えるように設定されている名前でアクセスできることになる。
ユーザ自身の手で、あるいは何かしらの手段で設定されていることが前提だけど。
ソースを読む限りは外部アクセスに見えても、実際はローカルサーバへって。
#0.0.0.0でも127.0.0.1と同じようにapacheにアクセスできた…