DNSリバインディング: かんたんログイン手法の脆弱性に対する責任は誰にあるのか - 徳丸浩の日記(2010-02-12)

_かんたんログイン手法の脆弱性に対する責任は誰にあるのか id:ikepyonの日記経由で、NTTドコモのサイトに以下のセキュリティ・ガイドラインが掲示されていることを知った。 iモードブラウザ機能の多様化により、機種によってiモードサイトにおいてもJavaScriptを組み込んだ多様な表現、CookieやReferer情報を有効に活用したサイト構築が行えるようになりました。 しかし、PC向けインターネットサイト同様に、セキュリティ対策が十分に行われていないサイトでは、そのサーバの脆弱性を突き（クロスサイトスクリプティング、SQLインジェクション、DNSリバインディングなど様々な攻撃手法が存在しています）、これらの機能が悪用される危険性があります。十分にご注意ください。 [作ろうiモード：iモードブラウザ | サービス・機能 | NTTドコモより引用] XSSやSQLインジェクションと並ん

[kenichiice]

DNSリバインディング

[setamise]

DNS Rebinding + ドコモ携帯JS

[tyamamoto]

http://bakera.jp/ebi/topic/4054

[rryu]

DNSリバインディング自体はDNSに基づいた同一生成元ポリシーの脆弱性だが、i-modeはそれを利用可能な攻略経緯路を提供してしまった訳で、順序的にはまずはi-mode側で自身かその上位に対して何らかのアクションをすべき。

[kogawam]

（キャリアは何故自分達で対策の指針を出さないのか？）IPAがやってくれるのを期待してたりして。知らないけど。

[ktakeda47]

最終的には、Webサイトの運営者が責任を負うべき問題

[ockeghem]

↑id:HiromitsuTakagi ご指摘どうも。その点については別途加筆したいと思います/ 2/16追記しました