パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

.co.jp 17万件のサーバー調査」記事へのコメント

  • 調査は、国内のすべての企業サーバ約17万件が対象となった。

    って事は、.co.jpのドメインリストを入手して調査したんだろうけど、JPNICのJPドメイン名リスト配布先一覧 [nic.ad.jp]には@vagabondドメインの人も@nra-npoドメインの人も載っていない。
    どこから.co.jpドメインのリストを入手したんだろうか?
    ちなみに、既に入手している人から横流ししてもらったり、他の目的のために入手しているリストを別目的に流用するのは属性型(組織種別型)・地域型JPドメイン名リスト利用に関する同意書 [nic.ad.jp]により禁止さ

    • ちょっと前だったら、JPNIC whois をちょっとだけ上手につかえば、 JPドメインのリストを作るのは簡単でしたよ。

      ここに書く方法は、今はできないみたいだけど、"CONN 指定事業者略称" で whois すると、その指定事業者の管理ドメイン一覧が入手できました。そして2001年3月時点でのJPNIC会員一覧は JPNIC の anonymous ftp サーバにあるので、この一覧から会員略称を抽出して、上記のwhoisを総当りでやれば、JPドメイン(地域型・属性型)のリストが手に入るわけ。

      今だと、これに近い方法としては、ISPのネームサーバ名を参照する情報を検索すれば、そのISPで契約しているドメインがわかります。ホスティング利用の場合はネーム
      • by seldon (5637) on 2002年03月14日 17時01分 (#71688)
        ちょっと前だったら、JPNIC whois をちょっとだけ上手につかえば、 JPドメインのリストを作るのは簡単でしたよ。
        いぇ、技術的にどうやってやるかという話ではなくて、不正な手段(だと仮にすれば)で手に入れた情報を元にしてセキュリティを語る上に金まで取ろうというあんたらの魂胆ってどうよ。という話なのです(^^;
        そもそも、このような目的で調査をしたいのであれば、そういう手練を使わなくても、正式にJPNICにドメインリストの公開依頼をしてドメインリストもらえば済む事でしょ?
        親コメント
        • > 正式にJPNICにドメインリストの公開依頼をしてドメインリストもらえば済む事でしょ?

          今回のような目的だと、同意書第4条の「データベースを第三者のセキュリティを脅かす恐れのある行為に使用しないこと」に引っかかってドメインリストの提供を受けられないんじゃないかと思うんですが。
          親コメント
          • by seldon (5637) on 2002年03月15日 17時27分 (#72132)
            単にhttp://www.sample.co.jp/にアクセスして、ヘッダからOS/httpdのバージョン拾うだけなら、アクセスに付いては問題無いでしょう。
            実際にセュリティーホール突いてみるってな調査方法だと問題だけど。
            後は公表する場合のやり方の問題で、具体的なサイト名を列記して「ココは危ない」とかやっちゃうとマズいだろうけど、統計的に「何%が危ない」という事を出すだけなら問題無いんじゃないかなぁ?
            まぁ、その数字をみて「おぉこんなに脆弱性を持つサイトがあるのか。だったらちょっと弄ってみよう」と思われてしまえば「第三者のセキュリティを脅かす恐れのある行為」かもしれないけど、ある程度脆弱性のあるサイトが存在するというのは、だいたい誰でも知ってる(というか予測している)事だし、それが単に具体的な数字になっただけなので、取り立てて「第三者のセキュリティを脅かす恐れのある行為」と言うほどの事はないんじゃないでしょうか?
            むしろ、啓蒙になるとかそういうプラス面もあるかもしれないし。

            まぁ、それをどう判断するかはJPNIC次第なので何とも言えませんが...

            親コメント

開いた括弧は必ず閉じる -- あるプログラマー

処理中...