アカウント名:
パスワード:
調査は、国内のすべての企業サーバ約17万件が対象となった。
って事は、.co.jpのドメインリストを入手して調査したんだろうけど、JPNICのJPドメイン名リスト配布先一覧 [nic.ad.jp]には@vagabondドメインの人も@nra-npoドメインの人も載っていない。 どこから.co.jpドメインのリストを入手したんだろうか? ちなみに、既に入手している人から横流ししてもらったり、他の目的のために入手しているリストを別目的に流用するのは属性型(組織種別型)・地域型JPドメイン名リスト利用に関する同意書 [nic.ad.jp]により禁止さ
ちょっと前だったら、JPNIC whois をちょっとだけ上手につかえば、 JPドメインのリストを作るのは簡単でしたよ。
いぇ、技術的にどうやってやるかという話ではなくて、不正な手段(だと仮にすれば)で手に入れた情報を元にしてセキュリティを語る上に金まで取ろう
まぁ、それをどう判断するかはJPNIC次第なので何とも言えませんが...
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
どうでもいい疑問その2 (スコア:2, すばらしい洞察)
って事は、.co.jpのドメインリストを入手して調査したんだろうけど、JPNICのJPドメイン名リスト配布先一覧 [nic.ad.jp]には@vagabondドメインの人も@nra-npoドメインの人も載っていない。
どこから.co.jpドメインのリストを入手したんだろうか?
ちなみに、既に入手している人から横流ししてもらったり、他の目的のために入手しているリストを別目的に流用するのは属性型(組織種別型)・地域型JPドメイン名リスト利用に関する同意書 [nic.ad.jp]により禁止さ
Re:どうでもいい疑問その2 (スコア:1)
ここに書く方法は、今はできないみたいだけど、"CONN 指定事業者略称" で whois すると、その指定事業者の管理ドメイン一覧が入手できました。そして2001年3月時点でのJPNIC会員一覧は JPNIC の anonymous ftp サーバにあるので、この一覧から会員略称を抽出して、上記のwhoisを総当りでやれば、JPドメイン(地域型・属性型)のリストが手に入るわけ。
今だと、これに近い方法としては、ISPのネームサーバ名を参照する情報を検索すれば、そのISPで契約しているドメインがわかります。ホスティング利用の場合はネーム
Re:どうでもいい疑問その2 (スコア:1)
いぇ、技術的にどうやってやるかという話ではなくて、不正な手段(だと仮にすれば)で手に入れた情報を元にしてセキュリティを語る上に金まで取ろう
Re:どうでもいい疑問その2 (スコア:1)
今回のような目的だと、同意書第4条の「データベースを第三者のセキュリティを脅かす恐れのある行為に使用しないこと」に引っかかってドメインリストの提供を受けられないんじゃないかと思うんですが。
Re:どうでもいい疑問その2 (スコア:1)
実際にセュリティーホール突いてみるってな調査方法だと問題だけど。
後は公表する場合のやり方の問題で、具体的なサイト名を列記して「ココは危ない」とかやっちゃうとマズいだろうけど、統計的に「何%が危ない」という事を出すだけなら問題無いんじゃないかなぁ?
まぁ、その数字をみて「おぉこんなに脆弱性を持つサイトがあるのか。だったらちょっと弄ってみよう」と思われてしまえば「第三者のセキュリティを脅かす恐れのある行為」かもしれないけど、ある程度脆弱性のあるサイトが存在するというのは、だいたい誰でも知ってる(というか予測している)事だし、それが単に具体的な数字になっただけなので、取り立てて「第三者のセキュリティを脅かす恐れのある行為」と言うほどの事はないんじゃないでしょうか?
むしろ、啓蒙になるとかそういうプラス面もあるかもしれないし。
まぁ、それをどう判断するかはJPNIC次第なので何とも言えませんが...