アカウント名:
パスワード:
一般にhttpのページはDNS spoofing攻撃によって、 ニセのアドレスにアクセスさせることができます。 こうした成りすましを防ぐためにあるのがSSLのサーバ証明書です。 どんなにがんばってニセのページを作っても、 httpsのページについては、 証明書発行機関が署名してくれた本物のslashbank.jpのサーバ証明書をサーバに組み込んでおかないと、 ブラウザが「セキュリティエラー:ドメイン名の不一致」という警告を出すので、ニセ物とばれてしまいます。
今回のバグで警告が出ないのであれば、 ニセの https://slashbank.jp/login.jsp を用意して、 サーバ証明書にはどこかぜんぜん違うところのドメイン用のものを流用しておけば、 一見本物と違わないように見せることができてしまいます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
バグというか・・・ (スコア:1)
どう悪用され得るか (スコア:5, 参考になる)
一般にhttpのページはDNS spoofing攻撃によって、 ニセのアドレスにアクセスさせることができます。 こうした成りすましを防ぐためにあるのがSSLのサーバ証明書です。 どんなにがんばってニセのページを作っても、 httpsのページについては、 証明書発行機関が署名してくれた本物のslashbank.jpのサーバ証明書をサーバに組み込んでおかないと、 ブラウザが「セキュリティエラー:ドメイン名の不一致」という警告を出すので、ニセ物とばれてしまいます。
今回のバグで警告が出ないのであれば、 ニセの https://slashbank.jp/login.jsp を用意して、 サーバ証明書にはどこかぜんぜん違うところのドメイン用のものを流用しておけば、 一見本物と違わないように見せることができてしまいます。
おまけに DNS spoofing は (スコア:1)
CERT(R) Incident Note IN-2001-11: Cache Corruption on Microsoft DNS Servers [cert.org]
Re:どう悪用され得るか (スコア:0)
勉強になりましたm(_ _)m
Re:バグというか・・・ (スコア:0)