パスワードを忘れた? アカウント作成

こちらは、tietewさんのユーザページですよ。 ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

5903361 comment

tietewのコメント: L2TP/IPsecは無事なのかな? (スコア 1) 38

認証はPPPを使うから、MS-CHAPv2も選択できるんだけども。PPTPを使わなければ(とりあえず)安心、てことでいいんだろうか。

元のページざっと眺めたけど、IPSEC-PSK over PPTPにしか言及していないっぽいのでよくわからなかった。

342069 comment

tietewのコメント: Re:ezweb (スコア 1) 25

その代わりPCサイトブラウザの「IPアドレス帯域」が統合されたことで別の問題が

御意。ただし、詳細が不明なので今のところ具体的に問題視できないという問題が。(公式プロバイダだけに詳細情報開示とかだったら…ぞぞ)

342066 comment

tietewのコメント: Re:ezweb (スコア 4, 参考になる) 25

docomoのmova初期(SSL非対応の502iの頃まで)、auはWAP1.0の頃(今は停波)、SSLをGWで中継していました。ただし、SBMのようにドメインをすり替えてしまうものではなく、[オリジンサーバ]←SSL→[GW]←独自プロトコルor非暗号化→[端末] というように、プロトコルを切り替えていましたので、端末上のドメインは本来のものです。

現在はdocomo(SSL非対応端末を除く)、auともend-to-endのSSLでしか通信していませんので、SBMのような問題はありません。auはauでCookieには別の問題があるのですが(この秋の端末から解消)。

234322 comment

tietewのコメント: Re:一時凌ぎにしかならないのでは……。 (スコア 5, すばらしい洞察) 43

いやいや。パスワードを変更すれば、少なくともその場では、そのISPでの改竄活動はほぼ100%停止します。

んで、顧客がそれに気づかず、かつページの更新もしないならば、例えその顧客のPCが感染し続けていたとしても「そのISPでの、その顧客のアカウントでの」改竄活動は止まったままです。

ページを更新しようとした顧客はお知らせを見るとか、ISPに問い合わせる等の行動をするはずで、その際、ある程度はウイルス対策をしてくれると期待できます。

この時点で感染を放置して更新し続ける困ったちゃんはかなり絞られるので、個別に対応するなど、やりようはあるはずです。

対症療法に過ぎないというのはその通りですが、「お知らせを目に付かせやすい」「最も困る顧客から順に個別対応をできる」それなりに有用な策だと思います。
223020 comment

tietewのコメント: Re:サイト側の対策 (スコア 3, 参考になる) 35

アドバイザリを読んでください。XMLHttpRequestオブジェクトに於いて、Hostヘッダが上書きできてしまうため、仮想ホストでHostヘッダをチェックしていても、すり抜けてしまいます。サーバ側で対策ができません。

PCブラウザ、iモードブラウザではHostヘッダの上書きはできません。
typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...