パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft Outlookがアドレス帳に登録された正規ドメインと似た字形の文字を使ったフィッシングドメインを区別しないという報告」記事へのコメント

  • by Anonymous Coward

    フィッシングドメインからのホモグラフ電子メールアドレスと
    アドレス帳のホモグラフ対象メールアドレスとを
    文字列判定をせず
    画像判定しています
    ってことなんですかね?

    # なかのこびとさんもたいへんだんだよー

    • by Anonymous Coward

      正規化処理を挟んでるんじゃないかと思うけど、なぜそこに入れた? という疑問が。

      • by Anonymous Coward

        そりゃ、例えば日本だとメールアドレスを全角で登録するような人がいるから、でしょ。

        • by Anonymous Coward

          たとえメールアドレスに全角を入れたとしても、よく似た文字を使った別のメールアドレスを同じものとして扱う必要は一切ないんだが。
          同一視するのがうれしいケースがあるとすれば、手入力した文字列でメールアドレスを検索するときくらい。
          文字列検索用のロジックをメールアドレスの同一判定にまで適用する意味があるのはどういう時なのか知りたい。

          • Re: (スコア:2, 参考になる)

            by Anonymous Coward

            いや、だから、Outlookは、foo@example.comから来たメールの送信者がアドレス帳にあるFOO@EXAMPLE.COMと同じ人なのか判定しなきゃいけないんだよ。だから、校合はともかく必要なの。

            で、受信者の正規化のアルゴリズムと送信者の正規化のアルゴリズムが違っている場合は、このストーリーみたいな話が起こりうる。手書きとかOCRとか、そういう問題ではないと思うよ。

            • by Anonymous Coward on 2021年09月10日 20時51分 (#4110388)

              送信者なんていくらでも偽装できるのだし
              送信者がアドレス帳にある人と同一だと判定しなければならない理由がいまいちわからないなぁ。

              勝手に表示を省略して変更しちゃう機能が邪魔だとしか思えないんだけど、
              どんなメリットが有るの?

              # あれ一度間違ってキャッシュされると、なんかコマンドでクリアするんでしたっけ?

              親コメント
              • by Anonymous Coward

                日本だとそう多くはないのだが、ラテン文字圏だと、似たような名前や同姓同名が結構いる。間違えても社内ならまだいいが、社外だと洒落にならんことがある。そういう間違いを防ぐために、アドレス帳の顔写真の代わりに会社のロゴを登録しておくと、少なくとも送信者は瞬時に判別できる。当然のことながら、稚拙な偽装アドレスも見抜ける。

                もちろん、偽装されている可能性はあるけど、アカウントを乗っ取られていることもあるし、乗っ取りや偽装がなくても送信者の不注意による危険なメールの転送もあり得るから、基本的には本文や添付ファイルの形式・サイズなどの妥当性で判断するしかない。

                そして、メールアドレスを精査するのは、怪しいと判断したときだけ。メールアドレスだけで判断できる眼力は俺には無い。

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...