import otsune from Hatena RSSフィード

MM/memo

void GraphicWizardsLair( void ); //

http://www.otsune.com/diary/

 | 

2006-03-03

http://diary.pahoo.org/ にアクセスしても危険なことは特に無い http://diary.pahoo.org/ にアクセスしても危険なことは特に無いを含むブックマーク

d.hatena.ne.jpをIPアドレスに名前解決したら61.196.246.67に。

diary.pahoo.orgを名前解決しても61.196.246.67に。

つまりどっちのurlにアクセスしても、たどりつく所は「はてなのサーバー」です。

ついでに言うと http://61.196.246.67/ にアクセスしてもはてなダイアリーのサーバーに接続します。

だから http://61.196.246.67/jkondo/ でjkondoダイアリーが閲覧できたりします。

ドメインを登録していて、DNSサーバーに任意のAレコードを設定できる人であれば、誰でも自分のドメインではてなダイアリーにアクセスさせることが出来ると言うことです。

個人的にはいろいろと紛らわしい悪用法がなきにしもあらずだと思うので、はてな側でHost:ヘッダーでアクセス不能にするほうが望ましい気がします。

kanimasterkanimaster 2006/03/03 22:10 > http://diary.pahoo.org/ にアクセスしても危険なことは特に無い

というのは、アクセスした結果、危険がなかったということであって、今後、アクセスした場合に危険が発生する可能性がないとは言い切れないのではないでしょうか。

koyhogekoyhoge 2006/03/03 22:17 DNSのAレコードを書き換えて自分が管理するサーバに向けなおせば、それまでに http://diary.pahoo.org/ でログインした人の cookie を集めることができるのではないでしょうか。

otsuneotsune 2006/03/03 23:24 「いろいろと紛らわしい悪用法」はそれ以外にも結構有るので、はてな側が対策するでしょう。

cubed-lcubed-l 2006/03/04 09:40 はてなに限らず、Hostヘッダによる制御をWebサーバ設置の常識にした方が良いのでは。

TransFreeBSDTransFreeBSD 2006/03/04 18:31 loginプロセスはwww.hatena.ne.jpで行なわれます。
cookieを送るべきホストはそのcookieを発行したサーバが指定します。
↑リバースプロクシ的動作でヘッダやリンクを一部修正すれば回避できます。
↑loginを行なわなければcookieがやりとりされる事はありません。(ただしセキュリティーホールがあった場合を除く)

 | 
最近書いたコメント
プロフィール

otsune

otsune

フルスタックネットウォッチャー

track feed import otsune from Hatena