アカウント名:
パスワード:
ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。
そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?そうすれば機能的に損なう物もないですし。
括弧内の条件は
タレコミにコレも書いてくれないと。
とどう関係してるんだ?
がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね
#1769778 の理解は正しいと思うんだけど、どう違うの?
> そんなことをせずとも、きちんとバーチャルホストの設定をして、バーチャルホストの設定は「かんたんログイン」とやらの設計そのものの根本的な欠陥を回避するためにやむなく行うことで、設定していないからと言って「きちんと」していないのではない。「かんたんログイン」などさっさと捨ててしまうことこそ「きちんと」した対応。> 予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?そもそもDNS Rebindingの影響を受けないとしても安全性など保証されていないけど、それ以前に今回のソフトバンクの件ではsetRequestHeaderでHostを書き換え可能な機種が存在するので明らかに安全ではない。せめてリンク先のアドバイザリくらい読んでから物言ったら?> そうすれば機能的に損なう物もないですし。別に端末IDがないと機能を維持できないわけではない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
サイト側の対策 (スコア:0)
ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。
Re:サイト側の対策 (スコア:1)
そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
そうすれば機能的に損なう物もないですし。
Re:サイト側の対策 (スコア:4, 参考になる)
PCブラウザ、iモードブラウザではHostヘッダの上書きはできません。
Re: (スコア:0)
タレコミにコレも書いてくれないと。
Re: (スコア:0)
Re: (スコア:0)
括弧内の条件は
とどう関係してるんだ?
Re: (スコア:0)
意訳:DND rebinding に関係なく、Host: の書き換え自体が危険
→ Host: 書き換えの危険性って何ですか?
Re: (スコア:0)
がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね
Re: (スコア:0)
#1769778 の理解は正しいと思うんだけど、どう違うの?
Re:サイト側の対策 (スコア:2, 参考になる)
> そんなことをせずとも、きちんとバーチャルホストの設定をして、
バーチャルホストの設定は「かんたんログイン」とやらの設計そのものの根本的な欠陥を回避するためにやむなく行うことで、設定していないからと言って「きちんと」していないのではない。
「かんたんログイン」などさっさと捨ててしまうことこそ「きちんと」した対応。
> 予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは?
そもそもDNS Rebindingの影響を受けないとしても安全性など保証されていないけど、それ以前に今回のソフトバンクの件ではsetRequestHeaderでHostを書き換え可能な機種が存在するので明らかに安全ではない。せめてリンク先のアドバイザリくらい読んでから物言ったら?
> そうすれば機能的に損なう物もないですし。
別に端末IDがないと機能を維持できないわけではない。
Re: (スコア:0)