DNS Rebinding問題の所在
2010年2月12日(金曜日)
DNS Rebinding問題の所在
公開: 2010年2月15日23時40分頃
「かんたんログイン手法の脆弱性に対する責任は誰にあるのか (www.tokumaru.org)」。細かいところに反応しますが……。
同DNSリバインディングの問題は、携帯端末や事業者設備の問題ではなく、Webアプリケーション側の問題である(私も同意)
「問題」という言葉のニュアンスが微妙なところですが、これはちょっと違和感があります。少なくともWebアプリケーション側の「不具合」ではないように思いますし、実際のところはこんな感じではないでしょうか。
- iモードブラウザ2.0対応のdocomo端末は、DNS Rebindingの攻撃に対して脆弱である。
- 端末の問題であるため端末側で対応することが望ましいが、名前解決はdocomoのゲートウェイ側で行われる場合があり、端末側では対応が難しい。
- docomoのゲートウェイの問題についてはdocomo側で対応することが望ましいが、問題の性質上、対応が難しい (参考: Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」)。
- これらの問題に対してはWebサイト側で対応することが可能であり、しかも簡単に対応できる方法が存在する。
- 従って、Webサイト側での対応が推奨される。
Webサイト側の問題だからWebサイト側で対応するべき、という話ではなくて、docomo側での対応が困難だからWebサイト側で対応しましょうという話かと思います。そもそもの問題はと言えば、やはりdocomoや端末メーカーの側の問題ではないかと思いますが……。
※ついでにもっと細かいことを言ってしまうと、推奨されている「VirtualHostを使う」という対応は、「Webアプリケーション」と言うよりは「Webサーバ」側の対応になりますね。両者は不可分の場合もありますが、大規模サイトの場合はハード的にも分かれていたり、担当者 (社) も異なっていたりする場合があります。
- 「DNS Rebinding問題の所在」へのコメント (3件)
関連する話題: セキュリティ
- 前(古い): Wizardry 囚われし魂の迷宮 クリア
- 次(新しい): Wizardry 囚われし魂の迷宮 試練の迷宮10階