プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる 38
ストーリー by hylom
とはいえ注意したいところではある 部門より
とはいえ注意したいところではある 部門より
最近、「自社/自組織のWebサイトを模倣したサイトに注意」という注意喚起が複数の企業/組織から出ている(例:NTTドコモ、大阪府警)。
これらは、「<正規のサイト>.●●●●.org」といったURLを使用しており、これらのサイトにアクセスするとウイルスなどに感染する可能性があると警告されているのだが、その1つとして挙げられている「3s3s.org」は、検閲回避のためにオリジナルのサイトの内容をそのまま返すゲートウェイサービスで、現時点では特に危険性はないという(セキュリティ通信、ロシア向けのプロキシサービス「3s3s」の管理人へ質問をしてみた、NTTグループや楽天が発表した模倣サイトについて調べてみた)。
セキュリティ通信では、「告知が25日ごろに集中している」ことにも触れられており、大阪府警がそのタイミングで告知を行っていることから、連鎖的に誤報が発生したのではないかと思われる。
とはいえ、何らかのサイトを中継して別のサイトにアクセスすることは、その途中で送受信される情報が傍受されていたり、改変される可能性があるため安全とは言い切れず、特にログインが必要なサイトでは使用すべきではない。今回の3s3s.orgについても、突然危険なサイトに変わる可能性もないとはいえないので注意してほしい。
なんか気持ち悪い (スコア:0)
転送元のドメイン名・ホスト名がそのままサイト名に埋め込まれるのってちょっと気味悪いかな…
http://slashdot.jp.3s3s.org/ [3s3s.org] ← スラドだとこんな風にドメイン名を表示してくれるからいいけど…
好ましくない (スコア:2)
気持ち悪いというか、「好ましくない」URL設計だと思います。
プロキシのような事を行うには、接続先をパラメータで受け取るべきです。
パラメーターとして受け取る例
//3s3s.org/?slashdot.jp
あるいは、パスの一部として受け取る例
//3s3s.org/slashdot.jp
さもなくば、ハッシュで受け取る例
//3s3s.org/#slashdot.jp
であって、現状のようにホスト名の一部として受け取るなんてのは論外です。
ブラウザのアドレス欄での入力のしやすさを優先させたのかも知れませんが、今回のように誤解を招きやすい上に柔軟性にも欠けますし、非常に悪手と言えます。
Re:好ましくない (スコア:2)
Cookie を正常に処理しようとした場合、ドメインを分けるのは正解かと思います。
path 属性はあまり役に立たないので…。
# shebang considered harmful
[Q][W][E][R][T][Y]
Re:好ましくない (スコア:1)
なるほど。クッキーを通過的に扱おうとすると、ホスト名が別になる記法に利点がありますね。
論外は言いすぎでしたね。
Re:好ましくない (スコア:2)
えー、Cookie に限らず web のセキュリティは same origin policy の原則によって
保たれている面がありますので、ドメインが変わらないゲートウェイサービスは本質的に危険です。
そういった匿名化や検閲回避サービスを1つのドメイン名でサービスしようとすると、
よほど注意深く変換処理をしないと、悪意のあるサイトは利用者をターゲットとしたセキュリティホールが作れます。
# てか、おそらくそんな処理は無理でしょう。
もっとも、今回の 3s3s.org、ドメイン名の書き換えが注意深く作られているかは別問題ですが。。。
[Q][W][E][R][T][Y]
Re:好ましくない (スコア:1)
理解しました。
別ホストへのアクセスが別ホストへのアクセスに見えるURLが望ましいわけですね。
とすれば3s3sの方法は論外ではなく妥当といえますね。
誤解を減らすには…先頭にもなにか付けましょうか。
proxied.slaahdot.jp.3s3s.org とか
Re: (スコア:0)
いやいやそもそも domain をいじってるようなものだから same-origin policy の点からも気持ち悪いでしょ…
「3s3s.org は安全」という迷信だけが触れ回ったら
www.example.com.[Attacker's malicious service].3s3s.org とかやれば幾らでもあやしいことができちゃうよ
Re: (スコア:0)
だからそういう 3s3s.org は OK みたいな結論にはどうやってもならないって。
悪用の方法・可能性は幾らでもある。
そもそもいわゆる「オンラインアノニマイザー」なんて危なっかしいし信用できないんだから、
そういうことしたかったら Tor を使えってこと
Re: (スコア:0)
誤解を招きやすい以外はまったく欠点だとは思えないのですが。
言うほど「論外」でもないような。
Re: (スコア:0)
> 言うほど「論外」でもないような。
入力のしやすい: +1点
誤解を招きやすい: -1点
柔軟性に欠ける: -1点
何となく気に入らない: -10,000点
みたいな内訳なんでしょ。
こういう人はよくいる。
Re: (スコア:0)
全然入力しやすくないでしょ、これ
先頭に書く方が楽 (入力箇所が毎回固定になるため)。
Re: (スコア:0)
security.srad.jp/story/14/08/25/0556201/プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる.3s3s.org/
これでもここのページ表示できたよ! あれ?
Re: (スコア:0)
security.srad.jp/story/14/08/25/0556201/プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる.3s3s.org/
これでもここのページ表示できたよ! あれ?
それは security.slashdot.jp/story/14/08/25/0556201/プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる.3s3s.org/ の security.slashdot.jp に接続にいっているからかと。
Re: (スコア:0)
顔文字みたいなので繋ぐDele串を思い出したオッサンは挙手願います
Re:なんか気持ち悪い (スコア:1)
顔文字みたいなので繋ぐDele串を思い出したオッサンは挙手願います
/-_-ノシ
模倣サイト扱いがしょうがないとしても (スコア:0)
通信事業者まで模造サイト扱いして告知文を出してるのには何かモヤモヤする
Re:模倣サイト扱いがしょうがないとしても (スコア:1)
たとえば 3s3s.org が安全なサイトという情報が広まった後で、
store.sonyentertainmentnetwork.com に模倣した
store.sonyemtertainmentnetwork.com.3s3s.org
というフィッシングサイトが作成される可能性を考慮すると、一概に安全とは言い切れないかと。
Re: (スコア:0)
whois によると Registry Expiry Date: 2016-01-21T21:01:37Z だそうなので、
2016年に阿鼻叫喚の地獄になる可能性もありそう。
# ドメイン乗っ取りとか
Re: (スコア:0)
さらに3s3sさんがSSL certを取得してhttpsに対応、アドレスバーに緑色の安全マークが出ちゃったりしたら……
Re: (スコア:0)
SSL対応するってなると、3s3sのシステム的にワイルドカードSSL証明書にしなきゃならないと思うんだが。
有料化若しくはevil化しないと運営できないだろ…。
EV ワイルドカードSSL証明書なんて年額幾らすると思って…って、そもそもできるのか?
Re: (スコア:0)
別にたいした額じゃなくない?
とかいったら怒られんのかな(笑)
少なくとも EV とかじゃなければ余裕でしょ
Re: (スコア:0)
ワイルドカードSSL証明書でも多分出来ない気が。
*.3s3s.org は出来ても
*.*.3s3s.orgなんてSSL証明書CNは設定出来ないという認識。
Re: (スコア:0)
信用できるサイトがある日フィッシングサイトになるって意味なら、
「store.sonyentertainmentnetwork.com」が
フィッシングサイトになる可能性もあるのでは。
Re: (スコア:0)
信用できるサイトがある日フィッシングサイトになるって意味なら、
「store.sonyentertainmentnetwork.com」が
フィッシングサイトになる可能性もあるのでは。
元のコメントは、
誰か悪人が store.sonye『m』tertainmentnetwork.com という詐欺サイトを立て、
あえて 3s3s.org をかまして store.sonyemtertainmentnetwork.com.3s3s.org とすることによって
「3s3s.org は安全」という評判 (妄想?) を悪用できる、
ということを言っているんだと思います。
Re: (スコア:0)
通信事業者がインターネットを管理していると思ってる利用者もいるから仕方がない。
誤報ってわけでもないだろ (スコア:0)
「オリジナルのサイトの内容をそのまま返す」と言うのは相手が言ってるだけだし、
危険性に関しては、4段落目で自分でも言ってるじゃない。
Re: (スコア:0)
ドメイン名を偽った偽サイトなんていくらでもあるし、公開プロキシ的に他のサイトを間接参照するだけの商売は胡散臭いだけ。フィッシングサイト的な詐欺や、個人情報の収集をやっていると、見做されても仕方なかろう。
大阪府警 (スコア:0)
京都府警はどうした?
http://大阪府警.京都府警 (スコア:1)
発信元が京都府警で大阪府警がプロキシという可能性も
ディープリンク禁止のサイトにリンク貼るにはいいかもw (スコア:0)
文句言われるのは3s3s.orgだしww
なんか謎の擁護論が噴出しているようですが… (スコア:0)
Root namer server と TLD を .3s3s.org というよく分からんところにお任せにするようなものなので、
とてもじゃないけど賛同できない。
「信用するな」「使うな」「危険」としか言えない。
Re:なんか謎の擁護論が噴出しているようですが… (スコア:3, すばらしい洞察)
「模倣サイト」というのが不正確であるという話でしょ。
信用できない、危険であるなら余計に、不正確な情報に基づき判断してはならない。それは危険を増し、(信用できないと言いながらもなお)過大な信用を招きうるからです。
正しい情報と知識で正しく守ろう。セキュリティの基本です。
Re: (スコア:0)
だったら「模倣サイトではないが、危険な事には変わりないので使うな」っていえばいいじゃん。
何でわざわざ「現時点では危険性はない」とか余計な擁護をするわけ?
Re:なんか謎の擁護論が噴出しているようですが… (スコア:1)
なるほど。それはおっしゃる通りでもありますな。
しかしどちらの言いようも不正確ですね。「現時点で危険性は確認されていない」などと表現しなくてはならない。
Re: (スコア:0)
「危険」とか「危険性」は悪用のおそれがある時点で該当するから「危険性がある」は不正確ではないかと。
あえて書くなら「現時点で実害 (の報告) は確認されていない」では。
Re:なんか謎の擁護論が噴出しているようですが… (スコア:1)
悪用の恐れって、件のレイヤも含め、全ての通信設備がそうなっちゃいますけど。
Re: (スコア:0)
そんな屁理屈はいらない
Re: (スコア:0)
>正しい情報と知識で正しく守ろう。セキュリティの基本です。
それではセキュリティのセの字も知らない一般市民向けに300文字6行ぐらい(docomoのお知らせがそれくらいの分量。あと画像1枚付き)で今回の件を正しく伝える文章をお出しください。