[5676] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」

記事個別表示 (5676)

これは「水無月ばけらのえび日記 : docomoケータイのDNS Rebinding問題、全国紙で報道」に関連するコメントです。

[5676] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」

徳丸浩 (2010年1月20日 8時35分)

pinningというのは、ドメインに対応するIPアドレスが変更された場合に、その変更を一時保留することだと理解しています。しかし、いつまでも変更を保留することはできず、いつかは変更しなければなりません。変更のタイミングとして有効なのは、一つのページの単位とすることで、そこから呼び出されるJavaScriptやJavaアプレット、Flashコンテンツなどがドメインに対するIPアドレスが同一であることを保証することは、実装も現実敵で、かつ効果が見込めます。

一方、ゲートウェイからはページという単位は見えないので、ホスト名を単位として、IPアドレスの変更を一定時間保留することくらいしかできません。これは、短いTTLを長くすることに相当します。しかし、どれくらいTTLを長くすれば確実に安全という明確な閾値はなく、いつかはIPアドレスが変更されるとすると、その変更のタイミングでたまたまDNS Rebindingが成立するリスクは残るということです。TTLを長くすることは、DNS Rebindingの確率を下げることはできますがゼロにはできない、という言い方もできます。

うーん、元の説明からあまりかわっていませんね。図示できれば、少しは分かりやすくなると思うのですが、どうでしょうか。

これは「水無月ばけらのえび日記 : docomoケータイのDNS Rebinding問題、全国紙で報道」に関連するコメントです。
全読: [5674]Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」からのスレッド(32件)]
- [5674] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月19日 7時26分)
  - [5675] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : ばけら (2010年1月20日 1時19分)
- [5676] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月20日 8時35分)
  - [5681] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : ばけら (2010年1月22日 19時51分)
    - [5682] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : えむけい (2010年1月23日 2時21分)
      - [5683] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : ばけら (2010年1月24日 3時17分)
        [5684] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : えむけい (2010年1月24日 21時54分)
    - [5700] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : fdgafgaf (2010年2月11日 2時41分)
    - [5701] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : fdgafgaf (2010年2月11日 2時44分)
    - [5787] 未承認メッセージ (投稿元:58.247.163.24) : 美人豹 (2010年4月21日 23時41分)
    - [5791] 未承認メッセージ (投稿元:58.38.80.209) : ugg サンダル (2010年4月24日 3時13分)
    - [5794] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時19分)
    - [5795] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時50分)
    - [5796] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時51分)
    - [5797] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時52分)
    - [5798] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時53分)
    - [5799] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月24日 21時54分)
    - [5800] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月25日 3時28分)
    - [5804] 未承認メッセージ (投稿元:58.38.91.8) : ugg サンダル (2010年4月27日 1時7分)
    - [5805] 未承認メッセージ (投稿元:112.64.17.4) : kokol (2010年4月27日 2時30分)
    - [5806] 未承認メッセージ (投稿元:112.64.17.4) : lopo (2010年4月27日 2時31分)
    - [5807] 未承認メッセージ (投稿元:222.64.97.47) : ugg サンダル (2010年4月27日 20時12分)
    - [5810] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月28日 22時26分)
    - [5811] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月28日 23時13分)
    - [5812] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年4月29日 3時35分)
    - [5818] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年5月11日 23時8分)
    - [5823] 未承認メッセージ (投稿元:222.188.0.253) : 抨蛊 (2010年5月12日 21時40分)
- [5677] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月20日 9時16分)
- [5678] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 匿名 (2010年1月21日 6時39分)
- [5679] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月21日 7時42分)
- [5680] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 匿名 (2010年1月21日 10時7分)
- [5685] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」 : 徳丸浩 (2010年1月25日 8時15分)

コメントフォーム

※広告や宣伝の書き込みはご遠慮ください。

題名 :

名前 :

本文 : >pinningというのは、ドメインに対応するIPアドレスが変更された場合に、その変更を一時保留することだと理解しています。しかし、いつまでも変更を保留することはできず、いつかは変更しなければなりません。変更のタイミングとして有効なのは、一つのページの単位とすることで、そこから呼び出されるJavaScriptやJavaアプレット、Flashコンテンツなどがドメインに対するIPアドレスが同一であることを保証することは、実装も現実敵で、かつ効果が見込めます。 >一方、ゲートウェイからはページという単位は見えないので、ホスト名を単位として、IPアドレスの変更を一定時間保留することくらいしかできません。これは、短いTTLを長くすることに相当します。しかし、どれくらいTTLを長くすれば確実に安全という明確な閾値はなく、いつかはIPアドレスが変更されるとすると、その変更のタイミングでたまたまDNS Rebindingが成立するリスクは残るということです。TTLを長くすることは、DNS Rebindingの確率を下げることはできますがゼロにはできない、という言い方もできます。 >うーん、元の説明からあまりかわっていませんね。図示できれば、少しは分かりやすくなると思うのですが、どうでしょうか。

新生鳩丸掲示板♯

記事個別表示 (5676)

[5676] Re:「docomoケータイのDNS Rebinding問題、全国紙で報道」