アカウント名:
パスワード:
> 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える> 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換えるソースからそうなってるけどこれらは一体何が違うんだ…
.comを例に出すと、レジストリはVeriSign、レジストラはお名前.comやNSI、Enomなどです。レジストリはVeriSign1社ですが、レジストラは世界中で1000社以上あります。
.comの場合、顧客のデータは基本的にレジストラが持っていて、VeriSignが直接ユーザーからの各種申請を受け付けることはありません。登録や変更などはレジストラ経由で行われ、レジストラで書き換えたデータが自動的にVeriSignが持つデータベースに反映される仕組みになっています。
ということで、
2.の場合は、お名前.comなりNSIなりの持つデータが書き換えられて、その結果VeriSignのDBにそのまま反映された4.の場合は、VeriSignのデータベースが直接書き換えられた
という違いがあります。
2.の場合は、脆弱性を抱えたシステムを使っているレジストラのユーザーでなければ被害に遭うことはありませんが、4.の場合はどこのレジストラを使ってようと、.comのユーザーである限り、狙われれば自分が被害者になる可能性があります。
> 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える会社の仕組みに脆弱性がある
> 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換えるDNS登録システムに脆弱性がある
2.レジストラ登録の仲介業者。脆弱性を突いた後にドメイン情報の変更作業が必要になる。
4.レジストリドメインの管理側。脆弱性を突いて登録情報を書き換えた後は特に作業は必要ない。
えいごの おべんきょ しましょっか。
レジストラ → Regist + er → 登録+者 → ドメインの利用者 → なので2は「ドメイン登録者の脆弱性を利用して書き換える」レジストリ→ Regist + ry → 登録+地点 → ドメインのソース → なので4は「ドメイン登録元の脆弱性を利用して書き換える」
#しかし4なんてけっこうヤバいインシデントなんじゃね?
オフトピですが…Oxfordのオンライン辞書で確認した範囲では、その説明はヘンです。ありていに言えば間違いです。// レジスト(regist)が和製英語っぽいものだと思っていない人が多いようだ。
// レジスト(regist)が和製英語っぽいものだと思っていない人が多いようだ。
そいやレジスタ(登録)とレジスト(抵抗)って関連ありそうで意味 全然関係ないよなあ、と辞書引いたら、違う単語なのですね。
registerの意味・用例|英辞郎 on the WEB:アルク [alc.co.jp] resisterの意味・用例|英辞郎 on the WEB:アルク [alc.co.jp]
片仮名表記でレジストと書くとresistでもregistでもそれっぽくなるから、 違和感が働いてくれませんよね。 registなんて単語はなかったんや・・・。
そこにないけど戸籍謄本の英訳もファミリーレジスターっていうよね
残念ながらドメインの世界ではその説明は少し違います
レジストリ(TLD管理組織)…そのTLDを一元的に管理する組織レジストラ(登録業者)…ユーザからの登録を受け付け、その内容をレジストリDBに登録する業者
です。一般ユーザ(=ドメインの利用者)は「Registrant」と呼びます。
レジストリとレジストラhttp://www.onamae.com/clever/about/regist.html [onamae.com]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
4点の攻撃手法? (スコア:0)
> 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
> 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える
ソースからそうなってるけどこれらは一体何が違うんだ…
Re:4点の攻撃手法? (スコア:4, 参考になる)
.comを例に出すと、レジストリはVeriSign、レジストラはお名前.comやNSI、Enomなどです。
レジストリはVeriSign1社ですが、レジストラは世界中で1000社以上あります。
.comの場合、顧客のデータは基本的にレジストラが持っていて、VeriSignが直接ユーザーからの各種申請を受け付けることはありません。
登録や変更などはレジストラ経由で行われ、レジストラで書き換えたデータが自動的にVeriSignが持つデータベースに反映される仕組みになっています。
ということで、
2.の場合は、お名前.comなりNSIなりの持つデータが書き換えられて、その結果VeriSignのDBにそのまま反映された
4.の場合は、VeriSignのデータベースが直接書き換えられた
という違いがあります。
2.の場合は、脆弱性を抱えたシステムを使っているレジストラのユーザーでなければ被害に遭うことはありませんが、
4.の場合はどこのレジストラを使ってようと、.comのユーザーである限り、狙われれば自分が被害者になる可能性があります。
Re: (スコア:0)
> 2. レジストラのシステムの脆弱性を使用し、レジストラの登録情報を書き換える
会社の仕組みに脆弱性がある
> 4. レジストリのシステムの脆弱性を使用し、レジストリの登録情報を書き換える
DNS登録システムに脆弱性がある
Re: (スコア:0)
2.レジストラ
登録の仲介業者。脆弱性を突いた後にドメイン情報の変更作業が必要になる。
4.レジストリ
ドメインの管理側。脆弱性を突いて登録情報を書き換えた後は特に作業は必要ない。
Re: (スコア:0)
えいごの おべんきょ しましょっか。
レジストラ → Regist + er → 登録+者 → ドメインの利用者 → なので2は「ドメイン登録者の脆弱性を利用して書き換える」
レジストリ→ Regist + ry → 登録+地点 → ドメインのソース → なので4は「ドメイン登録元の脆弱性を利用して書き換える」
#しかし4なんてけっこうヤバいインシデントなんじゃね?
Re:4点の攻撃手法? (スコア:1)
オフトピですが…Oxfordのオンライン辞書で確認した範囲では、その説明はヘンです。ありていに言えば間違いです。
// レジスト(regist)が和製英語っぽいものだと思っていない人が多いようだ。
Re:4点の攻撃手法? (スコア:1)
そいやレジスタ(登録)とレジスト(抵抗)って関連ありそうで意味
全然関係ないよなあ、と辞書引いたら、違う単語なのですね。
registerの意味・用例|英辞郎 on the WEB:アルク [alc.co.jp]
resisterの意味・用例|英辞郎 on the WEB:アルク [alc.co.jp]
片仮名表記でレジストと書くとresistでもregistでもそれっぽくなるから、
違和感が働いてくれませんよね。 registなんて単語はなかったんや・・・。
Re:4点の攻撃手法? (スコア:1)
そこにないけど戸籍謄本の英訳もファミリーレジスターっていうよね
Re: (スコア:0)
残念ながらドメインの世界ではその説明は少し違います
レジストリ(TLD管理組織)…そのTLDを一元的に管理する組織
レジストラ(登録業者)…ユーザからの登録を受け付け、その内容をレジストリDBに登録する業者
です。一般ユーザ(=ドメインの利用者)は「Registrant」と呼びます。
レジストリとレジストラ
http://www.onamae.com/clever/about/regist.html [onamae.com]