アカウント名:
パスワード:
明示的に移管を拒否しない限りは、自動的に移管が許可されるというのがデフォルトだからね。管理者不在時にドメインが宙に浮いてしまうのを防ぐためだろうけど、こういう事故もあるだろうね。
更新料を払い続けているうちは宙に浮いていないという判断じゃダメなのか?
srad.jpも大丈夫なんかね。
非SSLなサイトだとMITM攻撃が簡単に出来ちゃうから防御手段が欲しいとは思う。メール乗っ取りだけでも、パスワード再発行やらなにやらでセキュリティ的にボロボロになっちゃう可能性も有るし。
ドメイン乗っ取られたらSSLあろうとMITMなんて不要で攻撃者のサーバーに向けて再度証明書発行してもらえば見分けなんてつかない。
そういえば、EV証明書以外だったら簡単に取得出来ちゃいますね。
たとえば、三菱UFJ銀行とか汎用.jpドメインなんですよね。これでドメインを乗っ取れた場合、MITMというかフィッシングサイトを作れば本物のURLで、オートコンプリートで、本物のIDとパスワードが手に入るので犯罪に利用される危険性が。オートコンプリートって、URLとかだけでEV証明書が同一かのチェックはしてなかった気がする。
JPRS [jprs.jp]自身が乗っ取られないと認証キー導入みたいな機能導入までいかないのかなぁ。
詳しくないんだけど、certのロックとかはこれを防ぐため?
ていうか本件では実際に取得されている [crt.sh]
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
デフォルト許可だからね (スコア:1)
明示的に移管を拒否しない限りは、自動的に移管が許可されるというのがデフォルトだからね。
管理者不在時にドメインが宙に浮いてしまうのを防ぐためだろうけど、こういう事故もあるだろうね。
Re: (スコア:0)
更新料を払い続けているうちは宙に浮いていないという判断じゃダメなのか?
Re: (スコア:0)
jpドメインにはない
Re: (スコア:0)
srad.jpも大丈夫なんかね。
非SSLなサイトだとMITM攻撃が簡単に出来ちゃうから防御手段が欲しいとは思う。
メール乗っ取りだけでも、パスワード再発行やらなにやらでセキュリティ的にボロボロになっちゃう可能性も有るし。
Re:デフォルト許可だからね (スコア:0)
ドメイン乗っ取られたらSSLあろうとMITMなんて不要で攻撃者のサーバーに向けて再度証明書発行してもらえば見分けなんてつかない。
Re: (スコア:0)
そういえば、EV証明書以外だったら簡単に取得出来ちゃいますね。
たとえば、三菱UFJ銀行とか汎用.jpドメインなんですよね。
これでドメインを乗っ取れた場合、MITMというかフィッシングサイトを作れば本物のURLで、オートコンプリートで、本物のIDとパスワードが手に入るので犯罪に利用される危険性が。
オートコンプリートって、URLとかだけでEV証明書が同一かのチェックはしてなかった気がする。
JPRS [jprs.jp]自身が乗っ取られないと認証キー導入みたいな機能導入までいかないのかなぁ。
Re: (スコア:0)
詳しくないんだけど、certのロックとかはこれを防ぐため?
Re: (スコア:0)
ていうか本件では実際に取得されている [crt.sh]