水無月ばけらのえび日記

DNS Rebinding問題の所在

公開: 2010年2月15日23時40分頃

「かんたんログイン手法の脆弱性に対する責任は誰にあるのか (www.tokumaru.org)」。細かいところに反応しますが……。

「問題」という言葉のニュアンスが微妙なところですが、これはちょっと違和感があります。少なくともWebアプリケーション側の「不具合」ではないように思いますし、実際のところはこんな感じではないでしょうか。

• iモードブラウザ2.0対応のdocomo端末は、DNS Rebindingの攻撃に対して脆弱である。
• 端末の問題であるため端末側で対応することが望ましいが、名前解決はdocomoのゲートウェイ側で行われる場合があり、端末側では対応が難しい。
• docomoのゲートウェイの問題についてはdocomo側で対応することが望ましいが、問題の性質上、対応が難しい (参考: Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」)。
• これらの問題に対してはWebサイト側で対応することが可能であり、しかも簡単に対応できる方法が存在する。
• 従って、Webサイト側での対応が推奨される。

Webサイト側の問題だからWebサイト側で対応するべき、という話ではなくて、docomo側での対応が困難だからWebサイト側で対応しましょうという話かと思います。そもそもの問題はと言えば、やはりdocomoや端末メーカーの側の問題ではないかと思いますが……。

※ついでにもっと細かいことを言ってしまうと、推奨されている「VirtualHostを使う」という対応は、「Webアプリケーション」と言うよりは「Webサーバ」側の対応になりますね。両者は不可分の場合もありますが、大規模サイトの場合はハード的にも分かれていたり、担当者 (社) も異なっていたりする場合があります。

• 「DNS Rebinding問題の所在」へのコメント (3件)

関連する話題: セキュリティ