アカウント名:
パスワード:
対策はホボこの一点に集中しているのでは。
影響範囲(略)HTTPリクエストヘッダのHOSTフィールドをチェックしていない
つまり、default hostで運用するなって事かと。
それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?
ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレスhttp://124.83.147.204/ [124.83.147.204]でアクセスできますよね。
必要がなければ制限しないのはごく普通のことでは?
あのね、今更 JavaScript とかかんたん認証にからめて騒いでいる人が多いかも知れないけれど、他人のドメイン名が勝手に自分のサーバーに向いていたらどうしようかっていうのはもう何万回も議論されているネタなの。
ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
#1702096>つまり、default hostで運用するなって事かと。
#1702691>ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
言ってること全然違うね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
なぜ今更ネタになるのか (スコア:0)
対策はホボこの一点に集中しているのでは。
つまり、default hostで運用するなって事かと。
Re: (スコア:0)
それって常識ですか?安いレンタル共有サーバ使ってるところがたまたまそうなってるだけでは?
ヤフージャパンの http://www.yahoo.co.jp/ [yahoo.co.jp] だって、数値IPアドレス
http://124.83.147.204/ [124.83.147.204]
でアクセスできますよね。
必要がなければ制限しないのはごく普通のことでは?
Re: (スコア:0)
あのね、今更 JavaScript とかかんたん認証にからめて騒いでいる人が多いかも知れないけれど、他人のドメイン名が勝手に自分のサーバーに向いていたらどうしようかっていうのはもう何万回も議論されているネタなの。
ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
Re:なぜ今更ネタになるのか (スコア:0)
#1702096
>つまり、default hostで運用するなって事かと。
#1702691
>ログイン周りで HOST 名をチェックしないと(普通は SSL がこれを兼ねるのだけど)今回のような事件も起こるし、そもそも自分のサーバー上でフィッシング詐欺が行なわれてしまう可能性もあるの。
言ってること全然違うね。