アカウント名:
パスワード:
明示的に移管を拒否しない限りは、自動的に移管が許可されるというのがデフォルトだからね。管理者不在時にドメインが宙に浮いてしまうのを防ぐためだろうけど、こういう事故もあるだろうね。
更新料を払い続けているうちは宙に浮いていないという判断じゃダメなのか?
srad.jpも大丈夫なんかね。
非SSLなサイトだとMITM攻撃が簡単に出来ちゃうから防御手段が欲しいとは思う。メール乗っ取りだけでも、パスワード再発行やらなにやらでセキュリティ的にボロボロになっちゃう可能性も有るし。
ある日スラドが乗っ取られてtypo日記に。
つまり、既に乗っ取られているということですか?
ドメイン乗っ取られたらSSLあろうとMITMなんて不要で攻撃者のサーバーに向けて再度証明書発行してもらえば見分けなんてつかない。
そういえば、EV証明書以外だったら簡単に取得出来ちゃいますね。
たとえば、三菱UFJ銀行とか汎用.jpドメインなんですよね。これでドメインを乗っ取れた場合、MITMというかフィッシングサイトを作れば本物のURLで、オートコンプリートで、本物のIDとパスワードが手に入るので犯罪に利用される危険性が。オートコンプリートって、URLとかだけでEV証明書が同一かのチェックはしてなかった気がする。
JPRS [jprs.jp]自身が乗っ取られないと認証キー導入みたいな機能導入までいかないのかなぁ。
詳しくないんだけど、certのロックとかはこれを防ぐため?
ていうか本件では実際に取得されている [crt.sh]
なんで別料金なんだよ!家賃と共益費別の上に契約更新料までとるようなもんだろ!許せねーわ。
ルール上は10日以内に指定事業者が回答していれば防げた話なので、担当者が忘れてしまったとかでも無い限り発生しないんですけどねぇ。
登録者の意思を確認しないで勝手に回答していいの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
デフォルト許可だからね (スコア:1)
明示的に移管を拒否しない限りは、自動的に移管が許可されるというのがデフォルトだからね。
管理者不在時にドメインが宙に浮いてしまうのを防ぐためだろうけど、こういう事故もあるだろうね。
Re:デフォルト許可だからね (スコア:0)
更新料を払い続けているうちは宙に浮いていないという判断じゃダメなのか?
Re: (スコア:0)
jpドメインにはない
Re: (スコア:0)
srad.jpも大丈夫なんかね。
非SSLなサイトだとMITM攻撃が簡単に出来ちゃうから防御手段が欲しいとは思う。
メール乗っ取りだけでも、パスワード再発行やらなにやらでセキュリティ的にボロボロになっちゃう可能性も有るし。
Re: (スコア:0)
ある日スラドが乗っ取られてtypo日記に。
Re: (スコア:0)
つまり、既に乗っ取られているということですか?
Re: (スコア:0)
ドメイン乗っ取られたらSSLあろうとMITMなんて不要で攻撃者のサーバーに向けて再度証明書発行してもらえば見分けなんてつかない。
Re: (スコア:0)
そういえば、EV証明書以外だったら簡単に取得出来ちゃいますね。
たとえば、三菱UFJ銀行とか汎用.jpドメインなんですよね。
これでドメインを乗っ取れた場合、MITMというかフィッシングサイトを作れば本物のURLで、オートコンプリートで、本物のIDとパスワードが手に入るので犯罪に利用される危険性が。
オートコンプリートって、URLとかだけでEV証明書が同一かのチェックはしてなかった気がする。
JPRS [jprs.jp]自身が乗っ取られないと認証キー導入みたいな機能導入までいかないのかなぁ。
Re: (スコア:0)
詳しくないんだけど、certのロックとかはこれを防ぐため?
Re: (スコア:0)
ていうか本件では実際に取得されている [crt.sh]
Re: (スコア:0)
なんで別料金なんだよ!家賃と共益費別の上に契約更新料までとるようなもんだろ!許せねーわ。
Re: (スコア:0)
ルール上は10日以内に指定事業者が回答していれば防げた話なので、担当者が忘れてしまったとかでも無い限り発生しないんですけどねぇ。
Re: (スコア:0)
登録者の意思を確認しないで勝手に回答していいの?