パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「ラブライブ!」公式サイト、乗っ取られる」記事へのコメント

  • by Anonymous Coward on 2019年04月05日 21時11分 (#3594195)

    JPドメインの移管を経験したことがある人なら分かると思いますが、JPドメインの移管システムには欠陥があって、認証鍵(AuthCode・Authorization Key)が存在しないんです。

    だから、移管をするために、ドメインロックを解除したあと、自分で移管申請を行うより先に誰かが移管申請してしまうと、ドメインが乗っ取られてしまいます。

    【汎用JP・属性型JP】移管手順 - さくらのサポート情報
    https://help.sakura.ad.jp/hc/ja/articles/206053072 [sakura.ad.jp]

    例えば、さくらインターネットだったら上記のようにサポートにまず「移管承認の依頼」を出します。
    そして、その後、移管申請があったら無条件で第三者に移管されてしまいますので、自分が申請を出すより先に誰かが申請を出したら、その人にドメインを乗っ取られてしまいます。

    さくらインターネットよりセキュリティを重視しているレジストラ、JPRSなら、
    「GMOインターネットへの移管を承認しますか?」などのような確認をしてくれますが、
    自分と他の悪意のある人物の両方がGMOインターネットへの移管申請を出していた場合の安全性は保証されないのです。

    ※特にGMOインターネットは日本ではシェア半分以上ですし

    ということで、AuthCode がないJPドメインは欠陥品であって、どんなに気を付けたところで、安全に移管する方法は存在しない というのが真実です。
    JPドメインは移管できないので、一度決めたレジストラは変更できないと考えましょう。

    • by Anonymous Coward on 2019年04月05日 21時16分 (#3594200)

      今年になってから、さくらインターネットからお名前.comに移管したことがあるんですけど、

      (1) さくらのドメイン管理ページにログインして「移管承認の依頼」を出す(任意のメッセージは入力できないので移管先のレジストラ・アカウントの指定もできない)
      (2) お名前.com 側からドメイン名を入力して移管手続を行う

      としただけで自動的に移管が終わりました

      AuthCode の入力も、WHOISメールアドレスなどへの確認メールの送信手続などもありませんでした
      (1) と (2) の手続の間に第三者が割り込んでしまったら、その人に移管されてしまうわけです

      ほんとにどうしようもない欠陥システムなので、さっさとAuthCodeを導入していただきたいものです

      親コメント
    • JPドメインにロックはないですよ。
      指定事業者なら移管申請はいつでも出せます。相手の状況は関係ありません。
      それに対して移管元の指定事業者が一定期間内に拒否をしなければ、自動的に移管は成功します。
      指定事業者がやることは常に全て信用できる、という前提でシステムが組まれているようです。

      親コメント
    • 自分が申請を出すより先に誰かが申請を出したら

      これ、一見するとタイミングが難しいように見えますが、ネームサーバの変更を自動チェックすれば手続に割り込むのは簡単そうですね。

      ネームサーバとレジストラor代理店が同じ場合、事前準備として移管する前にネームサーバを新しいレジストラor代理店にするのが一般的ですから、
      タイミング見計らってドメイン移管手続をすれば結構な確率で乗っ取れそうです。

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...