アカウント名:
パスワード:
JPドメインの移管を経験したことがある人なら分かると思いますが、JPドメインの移管システムには欠陥があって、認証鍵(AuthCode・Authorization Key)が存在しないんです。
だから、移管をするために、ドメインロックを解除したあと、自分で移管申請を行うより先に誰かが移管申請してしまうと、ドメインが乗っ取られてしまいます。
【汎用JP・属性型JP】移管手順 - さくらのサポート情報https://help.sakura.ad.jp/hc/ja/articles/206053072 [sakura.ad.jp]
例えば、さくらインターネットだったら上記のようにサポートにまず「移管承認の依頼」を出します。そして、その後、移管申請があったら無条件で第三者に移管されてしまいますので、自分が申請を出すより先に誰かが申請を出したら、その人にドメインを乗っ取られてしまいます。
さくらインターネットよりセキュリティを重視しているレジストラ、JPRSなら、「GMOインターネットへの移管を承認しますか?」などのような確認をしてくれますが、自分と他の悪意のある人物の両方がGMOインターネットへの移管申請を出していた場合の安全性は保証されないのです。
※特にGMOインターネットは日本ではシェア半分以上ですし
ということで、AuthCode がないJPドメインは欠陥品であって、どんなに気を付けたところで、安全に移管する方法は存在しない というのが真実です。JPドメインは移管できないので、一度決めたレジストラは変更できないと考えましょう。
今年になってから、さくらインターネットからお名前.comに移管したことがあるんですけど、
(1) さくらのドメイン管理ページにログインして「移管承認の依頼」を出す(任意のメッセージは入力できないので移管先のレジストラ・アカウントの指定もできない)(2) お名前.com 側からドメイン名を入力して移管手続を行う
としただけで自動的に移管が終わりました
AuthCode の入力も、WHOISメールアドレスなどへの確認メールの送信手続などもありませんでした(1) と (2) の手続の間に第三者が割り込んでしまったら、その人に移管されてしまうわけです
ほんとにどうしようもない欠陥システムなので、さっさとAuthCodeを導入していただきたいものです
JPドメインにロックはないですよ。指定事業者なら移管申請はいつでも出せます。相手の状況は関係ありません。それに対して移管元の指定事業者が一定期間内に拒否をしなければ、自動的に移管は成功します。指定事業者がやることは常に全て信用できる、という前提でシステムが組まれているようです。
指定事業者によっては、一応「ドメインロックサービス」というものはあるようですよ。https://jpdirect.jp/service/domainlock.html [jpdirect.jp]
ドメイン名移転申請もロックされるようです。
初回設定料(1ドメイン名あたり):\ 20,520(税込)※初回設定料は1ドメイン名につき、1回のみ適用となります。過去にドメインロックサービスの利用があったドメイン名については、設定更新料が適用されます。
けど、ロックとは名ばかりで、内部的には、指定事業者が10日以内に拒否の意思表示をするサービスなのかもしれません。
以前やらかしたバリュードメインもjpドメインでも一応設定可能 [value-domain.com]です。
JPRSのレジストリロックは、何らかの情報変更をしようとしたときに手続きの前にJPRSと指定事業者(レジストラ)が都度、電話で確認するような制度です。そのため手数料もお高め。
親玉のJPRSが2015年からレジストリロック [jprs.jp]という機能を提供してます。どこまで実装しているかは事業者次第です。
しかし、引っ越し時に無防備になるのは結局変わらないという。
自分が申請を出すより先に誰かが申請を出したら
これ、一見するとタイミングが難しいように見えますが、ネームサーバの変更を自動チェックすれば手続に割り込むのは簡単そうですね。
ネームサーバとレジストラor代理店が同じ場合、事前準備として移管する前にネームサーバを新しいレジストラor代理店にするのが一般的ですから、タイミング見計らってドメイン移管手続をすれば結構な確率で乗っ取れそうです。
手続きに問題(脆弱性)があるって言ってんだろ。
手続きをした人ではなく、手続きの設計に問題があると言っている
誰でも正常に手続き出来てしまうのが問題なんだって。家の鍵がナンバーロックで誰でも開けられたら困るだろ。もっと強度の高い鍵を使え(るようにしろ)って話よ。
はいはい俺様神様視点
巨大掲示板を運営していた顧客のドメインとデータを横領したレンサバ屋のお仲間さんかな?あれも移管できた以上は正式な物だって連呼してたし。管理用資産を貸してる側がそれらを使えるのは当然だが使う権利があるわけじゃねぇのになぁ
特に溜まったCLOSE-WAIT見てSYN floodだとか言ってるのはお笑いだった。知ったか第三者がそれ言うのはまだわかるが、サーバ運用者がそれ鵜呑みにするとかそりゃあクレカ盗む罠の仕掛けられるわ、再発防止するどころかHDD消して証拠隠滅して犯人手伝うわのバカ祭りにもなるわな。
鍵の問題ではなく、正常に鍵があけられることが問題なんです。
正常に終了したのと、問題の有無は別だと思うんだが。
そこのとこの理解が追い付かないようですね。
理解が追いつかないというかさすがにこれは頭がどこかぶっ壊れてるんじゃないか
正常に手続きが済んでいますので設計に問題はないんです。問題があるとすれば、10日も待たされたり拒絶されたら移管が正常に終了しないという点です。
義務教育を受けて社会に出てきてるので問題はありません。
鸚鵡返しのように発言してるあなた脳みそウジ湧いてるので至急交換してください。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
【要注意】JPドメインを安全に移管する方法は存在しない (スコア:5, 興味深い)
JPドメインの移管を経験したことがある人なら分かると思いますが、JPドメインの移管システムには欠陥があって、認証鍵(AuthCode・Authorization Key)が存在しないんです。
だから、移管をするために、ドメインロックを解除したあと、自分で移管申請を行うより先に誰かが移管申請してしまうと、ドメインが乗っ取られてしまいます。
【汎用JP・属性型JP】移管手順 - さくらのサポート情報
https://help.sakura.ad.jp/hc/ja/articles/206053072 [sakura.ad.jp]
例えば、さくらインターネットだったら上記のようにサポートにまず「移管承認の依頼」を出します。
そして、その後、移管申請があったら無条件で第三者に移管されてしまいますので、自分が申請を出すより先に誰かが申請を出したら、その人にドメインを乗っ取られてしまいます。
さくらインターネットよりセキュリティを重視しているレジストラ、JPRSなら、
「GMOインターネットへの移管を承認しますか?」などのような確認をしてくれますが、
自分と他の悪意のある人物の両方がGMOインターネットへの移管申請を出していた場合の安全性は保証されないのです。
※特にGMOインターネットは日本ではシェア半分以上ですし
ということで、AuthCode がないJPドメインは欠陥品であって、どんなに気を付けたところで、安全に移管する方法は存在しない というのが真実です。
JPドメインは移管できないので、一度決めたレジストラは変更できないと考えましょう。
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:4, 興味深い)
今年になってから、さくらインターネットからお名前.comに移管したことがあるんですけど、
(1) さくらのドメイン管理ページにログインして「移管承認の依頼」を出す(任意のメッセージは入力できないので移管先のレジストラ・アカウントの指定もできない)
(2) お名前.com 側からドメイン名を入力して移管手続を行う
としただけで自動的に移管が終わりました
AuthCode の入力も、WHOISメールアドレスなどへの確認メールの送信手続などもありませんでした
(1) と (2) の手続の間に第三者が割り込んでしまったら、その人に移管されてしまうわけです
ほんとにどうしようもない欠陥システムなので、さっさとAuthCodeを導入していただきたいものです
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:1)
JPドメインにロックはないですよ。
指定事業者なら移管申請はいつでも出せます。相手の状況は関係ありません。
それに対して移管元の指定事業者が一定期間内に拒否をしなければ、自動的に移管は成功します。
指定事業者がやることは常に全て信用できる、という前提でシステムが組まれているようです。
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:1)
指定事業者によっては、一応「ドメインロックサービス」というものはあるようですよ。
https://jpdirect.jp/service/domainlock.html [jpdirect.jp]
ドメイン名移転申請もロックされるようです。
初回設定料(1ドメイン名あたり):\ 20,520(税込)
※初回設定料は1ドメイン名につき、1回のみ適用となります。過去にドメインロックサービスの利用があったドメイン名については、設定更新料が適用されます。
けど、ロックとは名ばかりで、内部的には、指定事業者が10日以内に拒否の意思表示をするサービスなのかもしれません。
Re: (スコア:0)
以前やらかしたバリュードメインもjpドメインでも一応設定可能 [value-domain.com]です。
Re: (スコア:0)
JPRSのレジストリロックは、何らかの情報変更をしようとしたときに手続きの前にJPRSと指定事業者(レジストラ)が都度、電話で確認するような制度です。そのため手数料もお高め。
Re:【要注意】JPドメインを安全に移管する方法は存在しない (スコア:1)
親玉のJPRSが2015年からレジストリロック [jprs.jp]という機能を提供してます。
どこまで実装しているかは事業者次第です。
しかし、引っ越し時に無防備になるのは結局変わらないという。
ネームサーバの変更を自動チェックすれば手続に割り込むのは簡単 (スコア:0)
自分が申請を出すより先に誰かが申請を出したら
これ、一見するとタイミングが難しいように見えますが、ネームサーバの変更を自動チェックすれば手続に割り込むのは簡単そうですね。
ネームサーバとレジストラor代理店が同じ場合、事前準備として移管する前にネームサーバを新しいレジストラor代理店にするのが一般的ですから、
タイミング見計らってドメイン移管手続をすれば結構な確率で乗っ取れそうです。
Re: (スコア:0)
手続きに問題(脆弱性)があるって言ってんだろ。
Re: (スコア:0)
手続きをした人ではなく、手続きの設計に問題があると言っている
Re: (スコア:0)
誰でも正常に手続き出来てしまうのが問題なんだって。
家の鍵がナンバーロックで誰でも開けられたら困るだろ。
もっと強度の高い鍵を使え(るようにしろ)って話よ。
Re: (スコア:0)
はいはい俺様神様視点
Re: (スコア:0)
巨大掲示板を運営していた顧客のドメインとデータを横領したレンサバ屋のお仲間さんかな?
あれも移管できた以上は正式な物だって連呼してたし。
管理用資産を貸してる側がそれらを使えるのは当然だが使う権利があるわけじゃねぇのになぁ
特に溜まったCLOSE-WAIT見てSYN floodだとか言ってるのはお笑いだった。
知ったか第三者がそれ言うのはまだわかるが、
サーバ運用者がそれ鵜呑みにするとかそりゃあクレカ盗む罠の仕掛けられるわ、
再発防止するどころかHDD消して証拠隠滅して犯人手伝うわのバカ祭りにもなるわな。
Re: (スコア:0)
鍵の問題ではなく、正常に鍵があけられることが問題なんです。
Re: (スコア:0)
正常に終了したのと、問題の有無は別だと思うんだが。
そこのとこの理解が追い付かないようですね。
Re: (スコア:0)
理解が追いつかないというかさすがにこれは頭がどこかぶっ壊れてるんじゃないか
Re: (スコア:0)
正常に手続きが済んでいますので設計に問題はないんです。
問題があるとすれば、10日も待たされたり拒絶されたら移管が正常に終了しないという点です。
Re: (スコア:0)
Re: (スコア:0)
義務教育を受けて社会に出てきてるので問題はありません。
Re: (スコア:0)
鸚鵡返しのように発言してるあなた
脳みそウジ湧いてるので至急交換してください。