アカウント名:
パスワード:
・MSはスパム・フィッシング詐欺対策だと回答・HTTPのURLはアクセスされない (HTTPSのURLのみアクセスが来る) → スパムやフィッシングリンクを含んでいる可能性がより高いはずのHTTPを含むURLには全くアクセスしていなかった・URLのリソースを取り出すGETリクエストではなく、HTTPヘッダのみを受信するHEADリクエストをサーバーに送信している → ハイス・セキュリティによると、Skypeが本当にスパムやフィッシングリンクを発見したいのであれば、サイトのコンテンツをチェックできるGETリクエストをサーバーに送っていなければならないはずソース [gigazine.net]
うーん……。テスト内容の詳細が分からないので想像になりますが……。
>・HTTPのURLはアクセスされない (HTTPSのURLのみアクセスが来る)>→ スパムやフィッシングリンクを含んでいる可能性がより高いはずのHTTPを含むURLには全くアクセスしていなかった
直近にチェック済みのURLではアクセスしない、とかでは?それに検索ロボットのアクセス結果とデータを共有しているとしたら、URLが書かれるたびに毎回アクセスするとは限らない気がする。全URLに必ずアクセスするとしたら、かなり高頻度でアクセスが必要になるし、何かしら対策はしていそう。
>・URLのリソースを取り出すGETリクエストではなく、HTTPヘッダのみを受信するHEADリクエストをサーバーに送信している> → ハイス・セキュリティによると、Skypeが本当にスパムやフィッシングリンクを発見したいのであれば、サイトのコンテンツをチェックできるGETリクエストをサーバーに送っていなければならないはず
これは単にポリシーの問題のような気が。MSはWEBレピュテーションのブラックリストと合致するかどうかをチェックしているだけで、サイトの内容を確認しているわけではないんじゃないかな。アクセスしているのは転送先をチェックする為で、その目的にはGetリクエストである必要はない、とか。
> 直近にチェック済みのURLではアクセスしない、とかでは?
セキュリティ会社が複数のhttpアドレスにはアクセスしなかった、httpsだけだったと言っているのだからその言い分は苦しそう。
>アクセスしているのは転送先をチェックする為
転送先を見るためにこそGETアクセスが必要ですが。
結局Skypeがプライバシーポリシーで言っていることと実態が違うってことがこの問題の本質で、そこで嘘を言っているなら他の部分も信用できなくなるということですよね。それを考慮しないで問題ないかのように言っているレスは的はずれだなあと思います。
> 転送先を見るためにこそGETアクセスが必要ですが。間違い。HEADリクエストに対しても3xxを返せる。
「可能である」というだけですよね。フィッシングサイトはヘッダに書く以外の転送方法を使わないとでも?
GETでもHEADでも無関係に転送する以外のフィッシングサイトを見たことないけど。一つでもいいから、HEADの場合はGETと違う転送をするフィッシングサイトって挙げられる?
それは善意を期待しすぎですね。
世の中にはHEADに対して200を返すのにGETに対して301や404を平然と返すようなサーバーがあります。それに、転送方法はHTTPだけではなく、HTMLやJavaScriptにもいろいろありますから、ヘッダだけチェックするのに大して意味があるとは思えません。
理由としては、サーバーの生死を確認している、くらいしか思いつきません。URLを収集するにあたってゴミを減らしたいんだと思いますが、それをクライアントでやるな、自分でやれって話になりそうですね。
フィッシング詐欺こそhttpsを使っている気がするが…。今日日httpでログインさせるようなサイトなんてないでしょ。/.程度の雑談サイトはともかく。(ログインページはhttpsでなくてもいいわけだが普通はそこからhttpsだよね)
>(ログインページはhttpsでなくてもいいわけだがそんなこといってるとjbeef先生に怒られちゃうよ
>セキュリティ会社が複数のhttpアドレスにはアクセスしなかった、httpsだけだったと言っているのだからその言い分は苦しそう。
もしメッセージ内容を閲覧する目的だとしたら、httpだろうがhttpsだろうが閲覧すると思うんです。だからセキュリティ会社が気付いていない別の条件があるのではないか、と推測してみました。
MSの言い分は疑ってかかるが、セキュリティ会社の言い分は全面的に信用する、というのはフェアではないと思うので。
>転送先を見るためにこそGETアクセスが必要ですが。
短縮URLの転送先を知るためだけなら、HEADリクエストで十分ですね。それ以外の転送方法については対応していないのでしょう。不十分な対応かも知れませんが、言い分との齟齬はないと思います。
というかHEADリクエストだと記載内容が分からないのだから、手動によるアクセスでないことは明白ですね。
> 直近にチェック済みのURLではアクセスしない、とかでは?元記事によると違う。httpの方もhttpsの方もこのために用意した非公開のURL。
証明書のチェックしてるだけじゃね???
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
肝心な部分が抜けてる (スコア:2, 興味深い)
・MSはスパム・フィッシング詐欺対策だと回答
・HTTPのURLはアクセスされない (HTTPSのURLのみアクセスが来る) → スパムやフィッシングリンクを含んでいる可能性がより高いはずのHTTPを含むURLには全くアクセスしていなかった
・URLのリソースを取り出すGETリクエストではなく、HTTPヘッダのみを受信するHEADリクエストをサーバーに送信している → ハイス・セキュリティによると、Skypeが本当にスパムやフィッシングリンクを発見したいのであれば、サイトのコンテンツをチェックできるGETリクエストをサーバーに送っていなければならないはず
ソース [gigazine.net]
Re:肝心な部分が抜けてる (スコア:0)
うーん……。
テスト内容の詳細が分からないので想像になりますが……。
>・HTTPのURLはアクセスされない (HTTPSのURLのみアクセスが来る)
>→ スパムやフィッシングリンクを含んでいる可能性がより高いはずのHTTPを含むURLには全くアクセスしていなかった
直近にチェック済みのURLではアクセスしない、とかでは?
それに検索ロボットのアクセス結果とデータを共有しているとしたら、
URLが書かれるたびに毎回アクセスするとは限らない気がする。
全URLに必ずアクセスするとしたら、かなり高頻度でアクセスが
必要になるし、何かしら対策はしていそう。
>・URLのリソースを取り出すGETリクエストではなく、HTTPヘッダのみを受信するHEADリクエストをサーバーに送信している
> → ハイス・セキュリティによると、Skypeが本当にスパムやフィッシングリンクを発見したいのであれば、サイトのコンテンツをチェックできるGETリクエストをサーバーに送っていなければならないはず
これは単にポリシーの問題のような気が。
MSはWEBレピュテーションのブラックリストと合致するかどうかを
チェックしているだけで、サイトの内容を確認しているわけでは
ないんじゃないかな。
アクセスしているのは転送先をチェックする為で、その目的には
Getリクエストである必要はない、とか。
Re:肝心な部分が抜けてる (スコア:1)
> 直近にチェック済みのURLではアクセスしない、とかでは?
セキュリティ会社が複数のhttpアドレスにはアクセスしなかった、httpsだけだったと言っているのだからその言い分は苦しそう。
>アクセスしているのは転送先をチェックする為
転送先を見るためにこそGETアクセスが必要ですが。
結局Skypeがプライバシーポリシーで言っていることと実態が違うってことがこの問題の本質で、そこで嘘を言っているなら他の部分も信用できなくなるということですよね。
それを考慮しないで問題ないかのように言っているレスは的はずれだなあと思います。
Re: (スコア:0)
> 転送先を見るためにこそGETアクセスが必要ですが。
間違い。
HEADリクエストに対しても3xxを返せる。
Re: (スコア:0)
「可能である」というだけですよね。
フィッシングサイトはヘッダに書く以外の転送方法を使わないとでも?
Re: (スコア:0)
GETでもHEADでも無関係に転送する以外のフィッシングサイトを見たことないけど。
一つでもいいから、HEADの場合はGETと違う転送をするフィッシングサイトって挙げられる?
Re: (スコア:0)
それは善意を期待しすぎですね。
世の中にはHEADに対して200を返すのにGETに対して301や404を平然と返すようなサーバーがあります。それに、転送方法はHTTPだけではなく、HTMLやJavaScriptにもいろいろありますから、ヘッダだけチェックするのに大して意味があるとは思えません。
理由としては、サーバーの生死を確認している、くらいしか思いつきません。URLを収集するにあたってゴミを減らしたいんだと思いますが、それをクライアントでやるな、自分でやれって話になりそうですね。
Re: (スコア:0)
フィッシング詐欺こそhttpsを使っている気がするが…。
今日日httpでログインさせるようなサイトなんてないでしょ。/.程度の雑談サイトはともかく。
(ログインページはhttpsでなくてもいいわけだが普通はそこからhttpsだよね)
Re: (スコア:0)
>(ログインページはhttpsでなくてもいいわけだが
そんなこといってるとjbeef先生に怒られちゃうよ
Re: (スコア:0)
>セキュリティ会社が複数のhttpアドレスにはアクセスしなかった、httpsだけだったと言っているのだからその言い分は苦しそう。
もしメッセージ内容を閲覧する目的だとしたら、httpだろうがhttpsだろうが閲覧すると思うんです。
だからセキュリティ会社が気付いていない別の条件があるのではないか、と推測してみました。
MSの言い分は疑ってかかるが、セキュリティ会社の言い分は全面的に信用する、
というのはフェアではないと思うので。
>転送先を見るためにこそGETアクセスが必要ですが。
短縮URLの転送先を知るためだけなら、HEADリクエストで十分ですね。
それ以外の転送方法については対応していないのでしょう。
不十分な対応かも知れませんが、言い分との齟齬はないと思います。
というかHEADリクエストだと記載内容が分からないのだから、
手動によるアクセスでないことは明白ですね。
Re: (スコア:0)
> 直近にチェック済みのURLではアクセスしない、とかでは?
元記事によると違う。httpの方もhttpsの方もこのために用意した非公開のURL。
Re: (スコア:0)
証明書のチェックしてるだけじゃね???