パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

GoDaddyのSSL証明書発行の際のドメイン所有者確認システムにバグ、証明書8,850件が失効」記事へのコメント

  • ファイルをおける人ってだけではドメイン管理者かはわからないでしょ?

    • だからそこがまずかった、という話

      # 置ける位置と内容がしっかりしてれば、「ドメイン管理者といえそう」といえるだろう条件はあるが、今回のこれは条件がずさんだった、と

      --
      M-FalconSky (暑いか寒い)
      • by Anonymous Coward on 2017年01月14日 14時31分 (#3144290)

        今回のは「ファイル置いてなくてもOK」とされてたって話。置ける位置も内容も問題なかった。その確認がずさんだった、と

        親コメント
        • 内容も良くない。
          徳丸氏の日記でも指摘されているが、ファイル名とその内容に同一のコードを含める設計はマズい。
          ファイル名とは別のコードをセットで発行して、それを確認すべきだ。

          親コメント
          • by Anonymous Coward

            >ファイル名とファイル中に記述する認証コードは別々に発行することで、仮にステータスのチェックが抜けていても脆弱性にならないような設計となります。このように、予防的な設計を心がけることが重要です。

            このケースで「エラーページにファイル名が含まれる」を事前に予想できるならば、当然ステータスのチェックはするだろう。それを予想できなかったことに本質がある以上、この「予防的な設計」の提言は何の意味もない。

            • by Anonymous Coward on 2017年01月16日 7時50分 (#3144863)

              エラーページでなくても、PHPか何かで、本文にURLのファイル名に相当する部分を入れて返す挙動であれば通ってしまうだろ。

              そもそも、リクエストに含まれないデータを検証しなくては、認証になってない。
              「山」に対して「川」と答えるから合言葉になる。「山」に対して〈『山』を含む応答があればOK〉、ではダメダメ。

              親コメント
              • by Anonymous Coward

                なるほど。つーことはファイル名と内容を別にすることこそが本質で、ステータス確認のほうが枝葉でしたか。
                いずれにせよ徳丸さんの指摘は間違っていることに。
                #多層防御みたいな考え方は信頼できない。不完全な防御を多層に積み重ねるより一カ所だけでも「本質的に正しく」対応できてればok。

              • by Anonymous Coward

                > ファイル名と内容を別にすることこそが本質で、ステータス確認のほうが枝葉でしたか。

                そう思う。この場合は内容こそが主だ。

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...