アカウント名:
パスワード:
すいません。てっきり高木氏の指摘(「IPアドレス帯域」をどうやって安全に更新するのか [takagi-hiromitsu.jp])を斜め読みして、DNSキャッシュ汚染の指摘をしているものと勘違いしていました。ご指摘ありがとうございます。適切に修正します。
「DNSキャッシュ汚染」という言葉はまだ誤解を招くんじゃないかな。
今回の攻撃でポイントなのはアクセス先のWebサイト(およびそのDNSレコード)は攻撃側のものであるため、攻撃側が自由に変更可能である、という点です。「DNSキャッシュ汚染」と言われると、Webサイト管理者やDNSキャッシュサーバ管理者以外の第三者からの攻撃のように見える。この誤解を避けるため、紹介記事などでは poisoning と書かず rebinding と記述されているものと思います。
その勘違いを今でも垂れ流しているわけだが。
本当に> もうhylomの中では終わった話題なのでこれ以上何を言っても無駄ですよ。って感じだな。
クビに出来ないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
Re: 部門名 (スコア:2, 参考になる)
数年前から指摘されている問題とは異なりますよ。
高木氏がこれまで指摘してきたのは、(1)固有IDが全サイトに常時送信されることによる個人の行動との紐づけ、(2)固有IDをログイン情報代わりにする場合に、キャリアのゲートウェイのIPアドレスのリストを常時更新し続けなければPC等から偽装して送信可能であるという問題、についてです。
(1)は置いておいて、(2)についてはサイト運営者がキャリアのGWのIPアドレスを常時きちんと更新できていれば(できるのか?)問題は発生しないはずだったのですが、今回のはJavaScriptとDNS rebindingを組み合わせることで携帯電話だけを用いて攻撃が可能になる、という点が大きく異なります。
今回の手法は、携帯電話に偽のDNS情報を返すことで、正規サイト内のコンテンツを罠サイトのドメイン内の一部とみなしてJSからアクセスするというものです。
Re: (スコア:3, 参考になる)
技術解説の物書き仕事をする場合、編集者のお陰で細かい間違いをせずに済むことが非常に多いです.
しかし、時には技術的な内容の分かる編集者が気をきかせてくれたはずの校正でかえって技術的な正確さが損なわれることもあるものです.(筆者の再校正が無い場合・再校正で編集者による修正を見落とした場合などは仕方無いですね)
Re: (スコア:1)
すいません。てっきり高木氏の指摘(「IPアドレス帯域」をどうやって安全に更新するのか [takagi-hiromitsu.jp])を斜め読みして、DNSキャッシュ汚染の指摘をしているものと勘違いしていました。ご指摘ありがとうございます。適切に修正します。
Re: (スコア:3, 参考になる)
「DNSキャッシュ汚染」という言葉はまだ誤解を招くんじゃないかな。
今回の攻撃でポイントなのはアクセス先のWebサイト(およびそのDNSレコード)は攻撃側のものであるため、攻撃側が自由に変更可能である、という点です。
「DNSキャッシュ汚染」と言われると、Webサイト管理者やDNSキャッシュサーバ管理者以外の第三者からの攻撃のように見える。この誤解を避けるため、紹介記事などでは poisoning と書かず rebinding と記述されているものと思います。
Re: (スコア:0)
日本語大丈夫?
Re: 部門名 (スコア:0)
その勘違いを今でも垂れ流しているわけだが。
本当に
> もうhylomの中では終わった話題なのでこれ以上何を言っても無駄ですよ。
って感じだな。
クビに出来ないの?