[5674] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」

記事個別表示 (5674)

これは「水無月ばけらのえび日記 : docomoケータイのDNS Rebinding問題、全国紙で報道」に関連するコメントです。

[5674] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」

徳丸浩 (2010年1月19日 7時26分)

DNS Rebindingを携帯電話端末ないし事業社のゲートウェイの側で対策するのは難しいのではないでしょうか。

まず、現在の携帯電話は、かならずゲートウェイ(Proxy)経由でインターネットアクセスするので、DNSの名前解決はゲートウェイ上で行われます。

一方、DNS Pinningを行うには、端末側のページ単位で行われなければならないのに対して、一台のゲートウェイで多数の端末を処理するので、ページ単位の処理を行うのはゲートウェイ側では難しいように思います。端末からProxyへの要求に、どのページに紐ついたリクエストかどうかを区別する識別子はないと思われるからです。

したがって、ゲートウェイ側でできることは、DNSのTTLの最低時間を長くすることくらいですが、いつかは必ずIPアドレスを切り替えなければならないため、たまたまそのタイミングにアクセスしていたユーザが攻撃の被害にあうことになります。

つまり、キャリアの端末ないし設備では、攻撃を受ける確率を低減することはできても、完全にリスクをゼロにすることはできないように思えます。特殊なProxyをプロトコルまで含めて設計すれば対策できるでしょうが、コストが掛かりすぎて現実的ではないのではないでしょうか。

これは「水無月ばけらのえび日記 : docomoケータイのDNS Rebinding問題、全国紙で報道」に関連するコメントです。
全読: [5674]Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」からのスレッド(32件)]
- [5674] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月19日 7時26分)
  - [5675] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : ばけら (2010年1月20日 1時19分)
- [5676] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月20日 8時35分)
  - [5681] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : ばけら (2010年1月22日 19時51分)
    - [5682] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : えむけい (2010年1月23日 2時21分)
      - [5683] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : ばけら (2010年1月24日 3時17分)
        [5684] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : えむけい (2010年1月24日 21時54分)
    - [5700] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : fdgafgaf (2010年2月11日 2時41分)
    - [5701] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : fdgafgaf (2010年2月11日 2時44分)
    - [5787] 未承認メッセージ (投稿元:58.247.163.24) : 美人豹 (2010年4月21日 23時41分)
    - [5791] 未承認メッセージ (投稿元:58.38.80.209) : ugg サンダル (2010年4月24日 3時13分)
    - [5794] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時19分)
    - [5795] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時50分)
    - [5796] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時51分)
    - [5797] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時52分)
    - [5798] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時53分)
    - [5799] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時54分)
    - [5800] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月25日 3時28分)
    - [5804] 未承認メッセージ (投稿元:58.38.91.8) : ugg サンダル (2010年4月27日 1時7分)
    - [5805] 未承認メッセージ (投稿元:112.64.17.4) : kokol (2010年4月27日 2時30分)
    - [5806] 未承認メッセージ (投稿元:112.64.17.4) : lopo (2010年4月27日 2時31分)
    - [5807] 未承認メッセージ (投稿元:222.64.97.47) : ugg サンダル (2010年4月27日 20時12分)
    - [5810] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月28日 22時26分)
    - [5811] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月28日 23時13分)
    - [5812] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月29日 3時35分)
    - [5818] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年5月11日 23時8分)
    - [5823] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年5月12日 21時40分)
- [5677] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月20日 9時16分)
- [5678] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 匿名 (2010年1月21日 6時39分)
- [5679] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月21日 7時42分)
- [5680] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 匿名 (2010年1月21日 10時7分)
- [5685] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月25日 8時15分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >DNS Rebindingを携帯電話端末ないし事業社のゲートウェイの側で対策するのは難しいのではないでしょうか。 >まず、現在の携帯電話は、かならずゲートウェイ(Proxy)経由でインターネットアクセスするので、DNSの名前解決はゲートウェイ上で行われます。 >一方、DNS Pinningを行うには、端末側のページ単位で行われなければならないのに対して、一台のゲートウェイで多数の端末を処理するので、ページ単位の処理を行うのはゲートウェイ側では難しいように思います。端末からProxyへの要求に、どのページに紐ついたリクエストかどうかを区別する識別子はないと思われるからです。 >したがって、ゲートウェイ側でできることは、DNSのTTLの最低時間を長くすることくらいですが、いつかは必ずIPアドレスを切り替えなければならないため、たまたまそのタイミングにアクセスしていたユーザが攻撃の被害にあうことになります。 >つまり、キャリアの端末ないし設備では、攻撃を受ける確率を低減することはできても、完全にリスクをゼロにすることはできないように思えます。特殊なProxyをプロトコルまで含めて設計すれば対策できるでしょうが、コストが掛かりすぎて現実的ではないのではないでしょうか。

新生鳩丸掲示板♯

記事個別表示 (5674)

[5674] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」