web/DNSリバインディング攻撃

web/DNSリバインディング攻撃について、ここに記述してください。

以下のtweetを検証する。

クッキーモンスター問題とDNSリバインディング攻撃は、どちらもドメイン名がからめたwebアプリに対する攻撃ですが、
DNSの問題ではなく、ブラウザのバグとも言いにくい、隙間を狙った攻撃と理解しています。
結果としてアプリ側で対処するしかない

「DNSの問題ではなく」: 「DNSの問題とは言えない」と言いたかったのか。

DNS、ブラウザ、サーバアプリケーションという分割をして、そのどれかに問題解決の責任を負わせるというのは無理だろう。

徳丸氏がどういう行動をするかは彼の問題だが、利用者は彼の言うことをそのまま受け取る必要はない。

1. DNS漓バインディング攻撃

DNSキャッシュサーバで、ある程度は回避可能と考える。

same domain という欠陥のある方法でなにかが守れると考えたのが間違いだ。

-- ToshinoriMaeno 2011-11-20 14:59:29

欠陥のあるブラウザを前提にしたら、対策があると思うのが間違いだ。

ブラウザの欠陥仕様をRFCにないから、あるいはRFCどおりだからバグとは言えないなんてとんでもない。

そんなの関係ない。

現状(不良)を追認するようなことはセキュリティのプロなら言わないで欲しい。