パスワードを忘れた? アカウント作成
11522094 story
インターネット

プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる 38

ストーリー by hylom
とはいえ注意したいところではある 部門より

最近、「自社/自組織のWebサイトを模倣したサイトに注意」という注意喚起が複数の企業/組織から出ている(例:NTTドコモ大阪府警)。

これらは、「<正規のサイト>.●●●●.org」といったURLを使用しており、これらのサイトにアクセスするとウイルスなどに感染する可能性があると警告されているのだが、その1つとして挙げられている「3s3s.org」は、検閲回避のためにオリジナルのサイトの内容をそのまま返すゲートウェイサービスで、現時点では特に危険性はないという(セキュリティ通信ロシア向けのプロキシサービス「3s3s」の管理人へ質問をしてみたNTTグループや楽天が発表した模倣サイトについて調べてみた)。

セキュリティ通信では、「告知が25日ごろに集中している」ことにも触れられており、大阪府警がそのタイミングで告知を行っていることから、連鎖的に誤報が発生したのではないかと思われる。

とはいえ、何らかのサイトを中継して別のサイトにアクセスすることは、その途中で送受信される情報が傍受されていたり、改変される可能性があるため安全とは言い切れず、特にログインが必要なサイトでは使用すべきではない。今回の3s3s.orgについても、突然危険なサイトに変わる可能性もないとはいえないので注意してほしい。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年08月25日 16時26分 (#2663551)

    転送元のドメイン名・ホスト名がそのままサイト名に埋め込まれるのってちょっと気味悪いかな…
    http://slashdot.jp.3s3s.org/ [3s3s.org] ← スラドだとこんな風にドメイン名を表示してくれるからいいけど…

    • by minet (45149) on 2014年08月25日 18時00分 (#2663604) 日記

      気持ち悪いというか、「好ましくない」URL設計だと思います。
      プロキシのような事を行うには、接続先をパラメータで受け取るべきです。
      パラメーターとして受け取る例
      //3s3s.org/?slashdot.jp
      あるいは、パスの一部として受け取る例
      //3s3s.org/slashdot.jp
      さもなくば、ハッシュで受け取る例
      //3s3s.org/#slashdot.jp
      であって、現状のようにホスト名の一部として受け取るなんてのは論外です。

      ブラウザのアドレス欄での入力のしやすさを優先させたのかも知れませんが、今回のように誤解を招きやすい上に柔軟性にも欠けますし、非常に悪手と言えます。

      親コメント
      • by qwerty (20776) on 2014年08月25日 19時22分 (#2663652) 日記

        Cookie を正常に処理しようとした場合、ドメインを分けるのは正解かと思います。
        path 属性はあまり役に立たないので…。

        # shebang considered harmful

        --
        [Q][W][E][R][T][Y]
        親コメント
        • by minet (45149) on 2014年08月25日 22時06分 (#2663746) 日記

          なるほど。クッキーを通過的に扱おうとすると、ホスト名が別になる記法に利点がありますね。
          論外は言いすぎでしたね。

          親コメント
          • by qwerty (20776) on 2014年08月26日 1時49分 (#2663830) 日記

            えー、Cookie に限らず web のセキュリティは same origin policy の原則によって
            保たれている面がありますので、ドメインが変わらないゲートウェイサービスは本質的に危険です。

            そういった匿名化や検閲回避サービスを1つのドメイン名でサービスしようとすると、
            よほど注意深く変換処理をしないと、悪意のあるサイトは利用者をターゲットとしたセキュリティホールが作れます。
            # てか、おそらくそんな処理は無理でしょう。

            もっとも、今回の 3s3s.org、ドメイン名の書き換えが注意深く作られているかは別問題ですが。。。

            --
            [Q][W][E][R][T][Y]
            親コメント
            • by minet (45149) on 2014年08月26日 7時31分 (#2663858) 日記

              理解しました。
              別ホストへのアクセスが別ホストへのアクセスに見えるURLが望ましいわけですね。
              とすれば3s3sの方法は論外ではなく妥当といえますね。

              誤解を減らすには…先頭にもなにか付けましょうか。
              proxied.slaahdot.jp.3s3s.org とか

              親コメント
              • by Anonymous Coward

                いやいやそもそも domain をいじってるようなものだから same-origin policy の点からも気持ち悪いでしょ…

                「3s3s.org は安全」という迷信だけが触れ回ったら
                www.example.com.[Attacker's malicious service].3s3s.org とかやれば幾らでもあやしいことができちゃうよ

              • by Anonymous Coward

                だからそういう 3s3s.org は OK みたいな結論にはどうやってもならないって。
                悪用の方法・可能性は幾らでもある。
                そもそもいわゆる「オンラインアノニマイザー」なんて危なっかしいし信用できないんだから、
                そういうことしたかったら Tor を使えってこと

      • by Anonymous Coward

        誤解を招きやすい以外はまったく欠点だとは思えないのですが。
        言うほど「論外」でもないような。

        • by Anonymous Coward

          > 言うほど「論外」でもないような。

          入力のしやすい: +1点
          誤解を招きやすい: -1点
          柔軟性に欠ける: -1点
          何となく気に入らない: -10,000点

          みたいな内訳なんでしょ。
          こういう人はよくいる。

          • by Anonymous Coward

            入力のしやすい: +1点

            全然入力しやすくないでしょ、これ

            先頭に書く方が楽 (入力箇所が毎回固定になるため)。

    • by Anonymous Coward

      security.srad.jp/story/14/08/25/0556201/プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる.3s3s.org/

      これでもここのページ表示できたよ! あれ?

      • by Anonymous Coward

        security.srad.jp/story/14/08/25/0556201/プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる.3s3s.org/

        これでもここのページ表示できたよ! あれ?

        それは security.slashdot.jp/story/14/08/25/0556201/プロキシサービスの3s3s.org、公的機関や企業から模倣サイト扱いされる.3s3s.org/ の security.slashdot.jp に接続にいっているからかと。

    • by Anonymous Coward

      顔文字みたいなので繋ぐDele串を思い出したオッサンは挙手願います

  • by Anonymous Coward on 2014年08月25日 16時28分 (#2663552)

    通信事業者まで模造サイト扱いして告知文を出してるのには何かモヤモヤする

    • たとえば 3s3s.org が安全なサイトという情報が広まった後で、
      store.sonyentertainmentnetwork.com に模倣した
      store.sonyemtertainmentnetwork.com.3s3s.org
      というフィッシングサイトが作成される可能性を考慮すると、一概に安全とは言い切れないかと。

      親コメント
      • by Anonymous Coward

        たとえば 3s3s.org が安全なサイトという情報が広まった後で、

        whois によると Registry Expiry Date: 2016-01-21T21:01:37Z だそうなので、
        2016年に阿鼻叫喚の地獄になる可能性もありそう。
        # ドメイン乗っ取りとか

      • by Anonymous Coward

        さらに3s3sさんがSSL certを取得してhttpsに対応、アドレスバーに緑色の安全マークが出ちゃったりしたら……

        • by Anonymous Coward

          SSL対応するってなると、3s3sのシステム的にワイルドカードSSL証明書にしなきゃならないと思うんだが。
          有料化若しくはevil化しないと運営できないだろ…。
          EV ワイルドカードSSL証明書なんて年額幾らすると思って…って、そもそもできるのか?

          • by Anonymous Coward

            別にたいした額じゃなくない?
            とかいったら怒られんのかな(笑)

            少なくとも EV とかじゃなければ余裕でしょ

          • by Anonymous Coward

            ワイルドカードSSL証明書でも多分出来ない気が。
            *.3s3s.org は出来ても
            *.*.3s3s.orgなんてSSL証明書CNは設定出来ないという認識。

      • by Anonymous Coward

        信用できるサイトがある日フィッシングサイトになるって意味なら、
        「store.sonyentertainmentnetwork.com」が
        フィッシングサイトになる可能性もあるのでは。

        • by Anonymous Coward

          信用できるサイトがある日フィッシングサイトになるって意味なら、
          「store.sonyentertainmentnetwork.com」が
          フィッシングサイトになる可能性もあるのでは。

          元のコメントは、
          誰か悪人が store.sonye『m』tertainmentnetwork.com という詐欺サイトを立て、
          あえて 3s3s.org をかまして store.sonyemtertainmentnetwork.com.3s3s.org とすることによって
          「3s3s.org は安全」という評判 (妄想?) を悪用できる、
          ということを言っているんだと思います。

    • by Anonymous Coward

      通信事業者がインターネットを管理していると思ってる利用者もいるから仕方がない。

  • by Anonymous Coward on 2014年08月25日 16時50分 (#2663565)

    「オリジナルのサイトの内容をそのまま返す」と言うのは相手が言ってるだけだし、
    危険性に関しては、4段落目で自分でも言ってるじゃない。

    • by Anonymous Coward

      ドメイン名を偽った偽サイトなんていくらでもあるし、公開プロキシ的に他のサイトを間接参照するだけの商売は胡散臭いだけ。フィッシングサイト的な詐欺や、個人情報の収集をやっていると、見做されても仕方なかろう。

  • by Anonymous Coward on 2014年08月25日 17時17分 (#2663581)

     京都府警はどうした?

  • 文句言われるのは3s3s.orgだしww

  • by Anonymous Coward on 2014年08月26日 9時24分 (#2663928)

    Root namer server と TLD を .3s3s.org というよく分からんところにお任せにするようなものなので、
    とてもじゃないけど賛同できない。

    「信用するな」「使うな」「危険」としか言えない。

    • by fukapon (4131) on 2014年08月26日 10時41分 (#2664007)

      「模倣サイト」というのが不正確であるという話でしょ。
      信用できない、危険であるなら余計に、不正確な情報に基づき判断してはならない。それは危険を増し、(信用できないと言いながらもなお)過大な信用を招きうるからです。

      正しい情報と知識で正しく守ろう。セキュリティの基本です。

      親コメント
      • by Anonymous Coward

        「模倣サイト」というのが不正確であるという話でしょ。

        だったら「模倣サイトではないが、危険な事には変わりないので使うな」っていえばいいじゃん。
        何でわざわざ「現時点では危険性はない」とか余計な擁護をするわけ?

      • by Anonymous Coward

        >正しい情報と知識で正しく守ろう。セキュリティの基本です。

        それではセキュリティのセの字も知らない一般市民向けに300文字6行ぐらい(docomoのお知らせがそれくらいの分量。あと画像1枚付き)で今回の件を正しく伝える文章をお出しください。

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...