Re:サイト側の対策 (#1769778) | ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に

「ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に」記事へのコメント

記事ページを表示すべてのコメント取得

検索35コメント Log In/Create an Account

サイト側の対策 (スコア:0)

by Anonymous Coward

ソフトバンク端末はほとんどすべてがCookieをサポートしてる [milkstand.net]んだから、いっそソフトバンク端末ではかんたんログイン対応をやめてしまうのが手っ取り早い。具体的には「IPアドレス帯域」からソフトバンクの範囲を外して、PCと同様にセッション管理する。
- Re: (スコア:1)
  
  by yu_raku (419)
  
  そんなことをせずとも、きちんとバーチャルホストの設定をして、予期しているホスト名を使用してのアクセス以外を弾いてしまえば、DNS Rebindingの影響は受けないのでは？
  そうすれば機能的に損なう物もないですし。
  - Re: (スコア:4, 参考になる)
    
    by tietew (6130)
    
    アドバイザリを読んでください。XMLHttpRequestオブジェクトに於いて、Hostヘッダが上書きできてしまうため、仮想ホストでHostヘッダをチェックしていても、すり抜けてしまいます。サーバ側で対策ができません。
    
    PCブラウザ、iモードブラウザではHostヘッダの上書きはできません。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      DNS Rebindingどうこうではなく、コレこそが一番危険なセキュリティホールでは…？
      タレコミにコレも書いてくれないと。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        Host: の書き換え自体、何が危険ですか？（かんたんログインが使われていないとして）
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        括弧内の条件は
        タレコミにコレも書いてくれないと。
        とどう関係してるんだ？
        
        Re:サイト側の対策 (スコア:0)
        
        by Anonymous Coward on 2010年05月26日 13時34分 (#1769778)
        
        >>>「DNS Rebindingどうこうではなく、コレこそが一番危険なセキュリティホールでは…？」
        
        意訳：DND rebinding に関係なく、Host: の書き換え自体が危険
        
        → Host: 書き換えの危険性って何ですか？
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        がんばって誤読させようとしているのは分かるけど、もう少し上手く書こうね
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        #1769778 の理解は正しいと思うんだけど、どう違うの?

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に More ログイン

「ソフトバンク携帯電話に脆弱性、「かんたんログイン」でのなりすましが可能に」記事へのコメント

サイト側の対策 (スコア:0)

Re: (スコア:1)

Re: (スコア:4, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:サイト側の対策 (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド