アカウント名:
パスワード:
「biome3d.com」というドメインがフィッシングサイトではない保障もないし、検索サイトにも出てこないのですが、みんな割と無頓着にリンクをクリックしているような。#Biome3D自体は、3Dプリンターのフィラメントのようですが。
知っているドメインに置き換えて試してみたら、Apacheのデフォルトのエラーページが(Apacheのバージョン付きで)出てきてもにょっとしたり。#ミドルウェアの種類やバージョンを知られるのは、そのバージョンで残されている脆弱性を突かれる原因ともなるはず。試したサイトはセキュリティ情報もやりとりされるようなところなだけに、ちょっと残念。
「biome3d.com」というドメインがフィッシングサイトではない保障もないし、検索サイトにも出てこないのですが、みんな割と無頓着にリンクをクリックしているような。
フィッシングサイトか疑うのは個人情報やログイン情報などを入力するときなので、今回のケースはそれにあてはまりません。
もしかして、毎回リンクをクリックするたびにwhoisでドメインの所有者を確認しているくらい、慎重な行動をされている人ですか?
#ミドルウェアの種類やバージョンを知られるのは、そのバージョンで残されている脆弱性を突かれる原因ともなるはず。
ソフトウェアの種類やバージョンを隠すことでセキュリティが向上することはないですよ。実は脆弱性の判明されているバージョンを使用しているが、脆弱性のないバージョン番号に偽装されているものかもしれないですしね。
ハニーポットの可能性もあるし。それに、攻撃するときに、バージョン番号なんか確認なんかしないよ。
あと、あなたのブラウザもバージョン番号やらOSやら放出してません?
ソフトウェアの種類やバージョンを隠すことでセキュリティが向上することはないですよ。
昔は私も、クライアントPCにおける UserAgent や、Webサーバにおける Server(HTTP Header)の隠蔽・偽装をしたところでセキュリティ上の効果が無いというコメントをした記憶がありますが、ここ数年で状況が変わったと思います。
最近のマルウェア配布サイトは、UserAgent でターゲットを絞り込む場合が多いです。
理由は簡単で、Webブラウザにマルウェア配信サイトをブロックする機能が内蔵されるようになったので、全てのクライアントに対してマルウェアを配信すると、ブロックされる可能性が高くなるからです。悪意のあるWebサイトのブロック機能は、クローラーが当該Webサイトをクロールして、悪意のあるコードを含むかどうかを判定しているので、クローラーのUserAgentに対してマルウェアを配信しなければ、ブロックされる可能性が低くなります(最も、悪意のあるページだとの報告が増えればブロックされますが、時間稼ぎになります)。そのため、「UserAgent」が脆弱性のあるバージョンのブラウザの場合に限って悪意のあるコードを配信するサイトも増えてきました
ということは、UserAgentを隠蔽・偽装することで、悪意のあるコードが配信されにくくなるので、補助的なセキュリティ対策として明確に効果があります。
また、フィッシング詐欺サイトの場合は、例えば日本の金融機関を狙っているのであれば、ブラウザの言語設定やIPアドレスから日本国内からのアクセスを判定して、それを満たす場合にのみフィッシング詐欺サイトを配信するケースもあります。これもフィッシング詐欺サイトとしてブラウザにブロックされにくくするためです。
最近はターゲット型の攻撃も増えており、報道によると、特定企業や特定団体(政府機関など)のみをターゲットにする例もあるようです。GOM Player のマルウェア配信についても、特定のIPアドレスにのみマルウェアを配信していました。
Webサーバーについても同様で、最近では例えばApache であれば mod_evasive とか mod_dosdetector などのモジュールや、IDS・Webアプリケーションファイアウォールなどを導入するケースが増えているので、昔のように色々な種類・バージョンのサーバソフト向けの攻撃コードを山ほど送り付けたら、あっという間にIPアドレスごとブロックされてしまいます。従って、攻撃ツールも Server Header を見たり、エラーページやレスポンスの特徴から判断したりしてサーバソフトウェア・バージョンを特定してからそれに対応した攻撃コードを送ってきますから、Server(Webサーバ)ヘッダーの隠ぺいも補助的なセキュリティ対策としては有用な状況となりました(振る舞いからサーバOSを特定する方法もあるので完璧な対策とはなりませんが)。
ということで、ブラウザの UserAgent を本来のものとかけ離れたものにすることをお勧めします。ただし、「ご利用のブラウザでは当サイトはご利用になれません」といったページにリダイレクトされる恐れもあるため、初心者にはお勧めできません(そういったメッセージが表示された場合には別のUserAgentにする必要があります)。
確かに最近の悪意のあるサイト(埋め込みスクリプト)はUAで処理を分岐するものがよくありますねただ,正規サイトも同様のものが多くなってきており,ユーザ側でUA偽装すると仰っているとおり正規サイトでもいろいろ困ることになると思います身近な例ではAMOやChromeStore,Googleの各種サービスもUA基準で表示や処理を変えていますセキュリティとの天秤にかけた場合に,ベネフィットに比べると不便さの方が強い気がします
あえてUA変えるぐらいなら,ブラウザのアップデートをきちんとするとかNoScript/RequestPolicy/uMatrixなどのアドオンで悪意のあるスクリプトのロードを防ぐとかの方が効果的かなーと
ブラウザのアップデートをちゃんとやって、かつUAを変更する。別に競合する対策じゃないし。
UA文字列を変えて状況によって自分で対処するだけのガッツがある人は、そもそも臭いフィッシングサイトには引っ掛からないでしょうから、効果があるのはゼロデイだけです。最近のUA文字列は種類だけを示して型番はないので、リスクとしてはそう変わりません。
なんか引用のつき方がおかしいけどSlashcodeのバグ?
たんに閉じタグの/を忘れたか消したかで二重に開いちゃっただけでしょう。
実際今どきのマルウェア配信サイトはUA見て特定UA狙い撃ちでマルウェアに感染させようとするくらいのことは普通にやるけどね。最近では窓の杜がやらかした。http://www.forest.impress.co.jp/docs/news/20150909_720423.html [impress.co.jp]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
みんなセキュリティリスクに無頓着? (スコア:1)
「biome3d.com」というドメインがフィッシングサイトではない保障もないし、検索サイトにも出てこないのですが、みんな割と無頓着にリンクをクリックしているような。
#Biome3D自体は、3Dプリンターのフィラメントのようですが。
知っているドメインに置き換えて試してみたら、Apacheのデフォルトのエラーページが(Apacheのバージョン付きで)出てきてもにょっとしたり。
#ミドルウェアの種類やバージョンを知られるのは、そのバージョンで残されている脆弱性を突かれる原因ともなるはず。
試したサイトはセキュリティ情報もやりとりされるようなところなだけに、ちょっと残念。
Re:みんなセキュリティリスクに無頓着? (スコア:0)
「biome3d.com」というドメインがフィッシングサイトではない保障もないし、検索サイトにも出てこないのですが、みんな割と無頓着にリンクをクリックしているような。
フィッシングサイトか疑うのは個人情報やログイン情報などを入力するときなので、今回のケースはそれにあてはまりません。
もしかして、毎回リンクをクリックするたびにwhoisでドメインの所有者を確認しているくらい、慎重な行動をされている人ですか?
#ミドルウェアの種類やバージョンを知られるのは、そのバージョンで残されている脆弱性を突かれる原因ともなるはず。
ソフトウェアの種類やバージョンを隠すことでセキュリティが向上することはないですよ。
実は脆弱性の判明されているバージョンを使用しているが、脆弱性のないバージョン番号に偽装されているものかもしれないですしね。
ハニーポットの可能性もあるし。それに、攻撃するときに、バージョン番号なんか確認なんかしないよ。
あと、あなたのブラウザもバージョン番号やらOSやら放出してません?
時代が変わり、UserAgent(ブラウザ)やServer(Webサーバ)を隠蔽すべき状況に (スコア:3)
昔は私も、クライアントPCにおける UserAgent や、Webサーバにおける Server(HTTP Header)の隠蔽・偽装をしたところでセキュリティ上の効果が無いというコメントをした記憶がありますが、ここ数年で状況が変わったと思います。
最近のマルウェア配布サイトは、UserAgent でターゲットを絞り込む場合が多いです。
理由は簡単で、Webブラウザにマルウェア配信サイトをブロックする機能が内蔵されるようになったので、全てのクライアントに対してマルウェアを配信すると、ブロックされる可能性が高くなるからです。悪意のあるWebサイトのブロック機能は、クローラーが当該Webサイトをクロールして、悪意のあるコードを含むかどうかを判定しているので、クローラーのUserAgentに対してマルウェアを配信しなければ、ブロックされる可能性が低くなります(最も、悪意のあるページだとの報告が増えればブロックされますが、時間稼ぎになります)。そのため、「UserAgent」が脆弱性のあるバージョンのブラウザの場合に限って悪意のあるコードを配信するサイトも増えてきました
ということは、UserAgentを隠蔽・偽装することで、悪意のあるコードが配信されにくくなるので、補助的なセキュリティ対策として明確に効果があります。
また、フィッシング詐欺サイトの場合は、例えば日本の金融機関を狙っているのであれば、ブラウザの言語設定やIPアドレスから日本国内からのアクセスを判定して、それを満たす場合にのみフィッシング詐欺サイトを配信するケースもあります。これもフィッシング詐欺サイトとしてブラウザにブロックされにくくするためです。
最近はターゲット型の攻撃も増えており、報道によると、特定企業や特定団体(政府機関など)のみをターゲットにする例もあるようです。GOM Player のマルウェア配信についても、特定のIPアドレスにのみマルウェアを配信していました。
Webサーバーについても同様で、最近では例えばApache であれば mod_evasive とか mod_dosdetector などのモジュールや、IDS・Webアプリケーションファイアウォールなどを導入するケースが増えているので、昔のように色々な種類・バージョンのサーバソフト向けの攻撃コードを山ほど送り付けたら、あっという間にIPアドレスごとブロックされてしまいます。従って、攻撃ツールも Server Header を見たり、エラーページやレスポンスの特徴から判断したりしてサーバソフトウェア・バージョンを特定してからそれに対応した攻撃コードを送ってきますから、Server(Webサーバ)ヘッダーの隠ぺいも補助的なセキュリティ対策としては有用な状況となりました(振る舞いからサーバOSを特定する方法もあるので完璧な対策とはなりませんが)。
ということで、ブラウザの UserAgent を本来のものとかけ離れたものにすることをお勧めします。ただし、「ご利用のブラウザでは当サイトはご利用になれません」といったページにリダイレクトされる恐れもあるため、初心者にはお勧めできません(そういったメッセージが表示された場合には別のUserAgentにする必要があります)。
Re: (スコア:0)
確かに最近の悪意のあるサイト(埋め込みスクリプト)はUAで処理を分岐するものがよくありますね
ただ,正規サイトも同様のものが多くなってきており,ユーザ側でUA偽装すると仰っているとおり正規サイトでもいろいろ困ることになると思います
身近な例ではAMOやChromeStore,Googleの各種サービスもUA基準で表示や処理を変えています
セキュリティとの天秤にかけた場合に,ベネフィットに比べると不便さの方が強い気がします
あえてUA変えるぐらいなら,ブラウザのアップデートをきちんとするとかNoScript/RequestPolicy/uMatrixなどのアドオンで悪意のあるスクリプトのロードを防ぐとかの方が効果的かなーと
Re: (スコア:0)
ブラウザのアップデートをちゃんとやって、かつUAを変更する。
別に競合する対策じゃないし。
Re: (スコア:0)
UA文字列を変えて状況によって自分で対処するだけのガッツがある人は、そもそも臭いフィッシングサイトには引っ掛からないでしょうから、効果があるのはゼロデイだけです。最近のUA文字列は種類だけを示して型番はないので、リスクとしてはそう変わりません。
Re: (スコア:0)
なんか引用のつき方がおかしいけどSlashcodeのバグ?
Re: (スコア:0)
たんに閉じタグの/を忘れたか消したかで二重に開いちゃっただけでしょう。
Re: (スコア:0)
実際今どきのマルウェア配信サイトはUA見て特定UA狙い撃ちでマルウェアに感染させようとするくらいのことは普通にやるけどね。
最近では窓の杜がやらかした。
http://www.forest.impress.co.jp/docs/news/20150909_720423.html [impress.co.jp]