アカウント名:
パスワード:
対策はホボこの一点に集中しているのでは。
影響範囲(略)HTTPリクエストヘッダのHOSTフィールドをチェックしていない
つまり、default hostで運用するなって事かと。
それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?
ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレスhttp://124.83.147.204/ [124.83.147.204]でアクセスできますよね。
必要がなければ制限しないのはごく普通のことでは?
> ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス > http://124.83.147.204/ [124.83.147.204] > でアクセスできますよね。 だからどうした。
> ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス > http://124.83.147.204/ [124.83.147.204] > でアクセスできますよね。
だからどうした。
だから、default hostで運用するサイトが悪いのではなくて、iモードIDを送信するドコモが悪い、という話では。
「脆弱性が発見された場合にそれを容易に改善できない」仕組みを採用したことが諸悪の根源です。
別に新しい仕組みを考えること自体は悪くないと思いますよ。iモードIDも、「適切に運用」できればこんなに便利な技術はないです。もっともこの実装じゃ、たとえ私に運用を任されても、適切に運用できそうにありませんが…。(笑
もっと根を探るなら、日本人がよく陥る「この仕組みは完璧ですか?」「完璧ですよ!」論こそ悪かなと。世の中にはそんなもの存在しないのにねぇ。
かたや某宇宙のかなたではあの限られた環境で「こんなこともあろうかと」が連発するというのに。比べるのが間違いなのはわかるけど、少し爪の垢を煎じて飲んだほうがいいですよ!
お前の中では(ry
あのね、今更 JavaScript とかかんたん認証にからめて騒いでいる人が多いかも知れないけれど、他人のドメイン名が勝手に自分のサーバーに向いていたらどうしようかっていうのはもう何万回も議論されているネタなの。
ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
#1702096>つまり、default hostで運用するなって事かと。
#1702691>ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
言ってること全然違うね。
他人のドメイン名が勝手に自分のサーバーに向いていたら
べつに何も問題ないですね。
そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう
ええー?アホな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
なぜ今更ネタになるのか (スコア:0)
対策はホボこの一点に集中しているのでは。
つまり、default hostで運用するなって事かと。
Re:なぜ今更ネタになるのか (スコア:0)
それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?
ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス
http://124.83.147.204/ [124.83.147.204]
でアクセスできますよね。
必要がなければ制限しないのはごく普通のことでは?
Re: (スコア:0, おもしろおかしい)
ついさっき常識になった。
>ヤフージャパンの http://www.yahoo.co.jp/ だって、数値IPアドレス
>http://124.83.147.204/
>でアクセスできますよね。
だからどうした。
>必要がなければ制限しないのはごく普通のことでは?
セキュリティ責任者でそんな事いったら異常者扱いされる。
Re:なぜ今更ネタになるのか (スコア:1, 参考になる)
だから、default hostで運用するサイトが悪いのではなくて、iモードIDを送信するドコモが悪い、という話では。
Re: (スコア:0)
「脆弱性が発見された場合にそれを容易に改善できない」仕組みを採用したことが諸悪の根源です。
別に新しい仕組みを考えること自体は悪くないと思いますよ。
iモードIDも、「適切に運用」できればこんなに便利な技術はないです。
もっともこの実装じゃ、たとえ私に運用を任されても、適切に運用できそうにありませんが…。(笑
もっと根を探るなら、日本人がよく陥る「この仕組みは完璧ですか?」「完璧ですよ!」論こそ悪かなと。
世の中にはそんなもの存在しないのにねぇ。
かたや某宇宙のかなたではあの限られた環境で「こんなこともあろうかと」が連発するというのに。
比べるのが間違いなのはわかるけど、少し爪の垢を煎じて飲んだほうがいいですよ!
Re: (スコア:0)
お前の中では(ry
Re: (スコア:0)
あのね、今更 JavaScript とかかんたん認証にからめて騒いでいる人が多いかも知れないけれど、他人のドメイン名が勝手に自分のサーバーに向いていたらどうしようかっていうのはもう何万回も議論されているネタなの。
ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
Re: (スコア:0)
#1702096
>つまり、default hostで運用するなって事かと。
#1702691
>ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
言ってること全然違うね。
Re: (スコア:0)
べつに何も問題ないですね。
ええー?アホな。