アカウント名:
パスワード:
自動化するのだろうけど運任せでずっと待ち続ける感じ?
そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。
本物のユーザーが登録しようとしたらメールアドレス登録済みとなって、「あれ登録してたっけ」とパスワードリセットすることで攻撃が成功する手法を含んでるので、そういうもの。
/* 記事読め */
そもそも他人のメールアドレスで登録できるシステムがダメよね。
では本人確認のためにマイナンバーを(ヤメタゲテ
普通、メールアドレス登録したら、当該アドレス宛に「アカウント作成完了のために確認URLクリックすれ」メールが来ると思うんだが、違う?リセットにしても、登録アドレスに「リセットはこのURLから」メールが来ると……
……そーゆーのが無い管理がザルなサービスで網を張るのかな。
ユーザ狙い撃ちでやるんじゃないのかな。企業や組織のミッションクリティカルな開発者のメールアドレスはわかるだろうから、登録しそうなサービスに仕込んでひたすら待ち続ける?
> そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。
マイナーだけどあるにはある(例: blackhost.xyz, webmail.co.za)メールアドレスをそのままIDとして利用するシステムでは重複登録NGだけど、任意の文字列をIDにするシステムでは重複登録できても問題ない(あ、でも問題があるっていうのが今回の報告なのか)
もう、出生時に個人用IPアドレスを振り出せば良い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
なんか気の長い話のような (スコア:0)
自動化するのだろうけど運任せでずっと待ち続ける感じ?
そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。
Re:なんか気の長い話のような (スコア:1)
本物のユーザーが登録しようとしたらメールアドレス登録済みとなって、「あれ登録してたっけ」とパスワードリセットすることで攻撃が成功する手法を含んでるので、そういうもの。
/* 記事読め */
Re: (スコア:0)
そもそも他人のメールアドレスで登録できるシステムがダメよね。
Re: (スコア:0)
そもそも他人のメールアドレスで登録できるシステムがダメよね。
では本人確認のためにマイナンバーを(ヤメタゲテ
Re: (スコア:0)
普通、メールアドレス登録したら、当該アドレス宛に「アカウント作成完了のために確認URLクリックすれ」メールが来ると思うんだが、違う?
リセットにしても、登録アドレスに「リセットはこのURLから」メールが来ると……
……そーゆーのが無い管理がザルなサービスで網を張るのかな。
Re: (スコア:0)
ユーザ狙い撃ちでやるんじゃないのかな。
企業や組織のミッションクリティカルな開発者のメールアドレスはわかるだろうから、登録しそうなサービスに仕込んでひたすら待ち続ける?
Re: (スコア:0)
> そもそも登録時に既に登録済みのメールアドレスか検出しないサイトなどおめにかかったことがないのだが。
マイナーだけどあるにはある(例: blackhost.xyz, webmail.co.za)
メールアドレスをそのままIDとして利用するシステムでは重複登録NGだけど、任意の文字列をIDにするシステムでは重複登録できても問題ない(あ、でも問題があるっていうのが今回の報告なのか)
Re: (スコア:0)
もう、出生時に個人用IPアドレスを振り出せば良い。