ネットランダム改変

はてなダイアリーからはてなブログにインポート。

リダイレクタ設置時の鉄則

東芝ダイナブックのサイトで同意を求める仕組みがフィッシングページを容易に作成できるとして、
警告している人がいた。

これで簡単にフィッシングできんな。さらにfilename=の項目をpostでできたら完璧*1。できるらしいので、死ぬほどやばい!もう東芝からダウンロードなんて絶対しない!

URL自体はdynabook.comなわけで、相当な人がだまされると思うんだけど。これってどうよ?

米欄で「何が問題?」と言っている人もいるが、高木さんのところで2005年12月5日の記事でふれている。*1

# リダイレクタは脆弱性ではないと考え、利用者が入力時確認を徹底する。
# すべてのリダイレクタの存在は脆弱性であるということにして、リダイ レクタを設けたいときは、信用性の低いドメイン名を使うか、数値形式のIPア ドレス(ホスト名でアクセスできない)を使った別サーバに設置する。

仕掛けた人の責任というところだろうか。

なるほどGoogleIPアドレスで翻訳させたりしているのはこういうわけなのか。

*1:本文の「去年4月28日の日記に書いていた。」の記事は削除されちゃったのかな?