メールの送信元を完璧になりすます「Mailsploit」は何が危険か | 匿名ブログ

Mozillaの「Thunderbird」や、macOSおよびiOSに標準搭載の「Apple Mail.app」など、多数のメールクライアントにおいて、受信されたメールの送信元を詐称することが可能な脆弱性「Mailsploit」が5日、公開されました。日本語の情報がまだ出回っていないため、自分用のメモも兼ねてまとめました。 — 今回発覚したこの脆弱性の影響を受けるメールクライアントは非常に多く、先述の「Thunderbird」「Apple Mail.app」だけでなく、Microsoftの「メール」アプリ、「Outlook 2016」、Webメールでは「Yahoo!メール（英語版）」など、世界中でリリースされているほぼ全てのメールクライアントが該当しています。 Mailsploitのサイトでは、実際にそのデモを試すことができます。 Mailsploitのデモ 送信先の欄に自分のメールアドレ

[kaerucircus]

そもそも、エンベロープFromが詐称できるんだし、Senderは情報発信者としてのは異なる事が多いし。Eメールという旧世代の メッセージング手段をそろそろ捨てるべきだと思うんだわ。

[gabill]

むしろメールの詐称を防止する技術の方がハックで、成り立ってるのが奇跡だと思う。

[Haaaa_N]

C言語文字列の害だ…

[uunfo]

ドメイン認証しててもなりすましできるってことか。どうせFromはそこまで信じてないけど。／httpsでドメインの一部が表示されてないのにエラーにならないようなもの

[solve0]

やっぱFAXだな

[whoge]

spfをパスしてれば疑い持たないからな。逐一IPアドレス調べないし。

[n314]

nullバイトの処理がおかしくなるなんて、昔のPHPみたいだな。

[zgmf-x20a]

サニタイズが出て来た…

[T-norf]

オールドタイプは、Fromは全く信用してないからねぇ。って私もだけど。解説感謝。

[tmatsuu]

なるほどー分かりやすい

[zyzy]

「あぁ、やっぱそこ、何らかの爆弾残ってたんだね。残ってる気はしてたけども!!」って多分皆思ってるだろうな。

[ynabokun]

はい　“これは自由に決めることができ、デフォルトではトランプ大統領からのメールになっています。”

[okaz931]

いまは日本語が怪しいフィッシィングが多いからまだなんとか成り立ってるけど、もう少し日本語にこなれて来たら、もうメールなんて文化は成り立たないだろうな

[dekasasaki]

なるほど

[craftone]

わかりやすい

[yuyakko]

何を言ってるんだと思ったらスパムフィルターをすり抜ける話だった

[mirucons]

Eメールが無くなるまでには一体何年かかるのだろうか…

[Cald]

DMARC普及すれば解決？と思ったら、ダメなのね。 https://www.jpcert.or.jp/newsflash/2017120701.html

[notwaruguchi]

Gmailは大丈夫だそうだ

[underd]

あとでよむ

[exadit]

メールの次を作り出すと覇権が取れるのですね…！作り上げなきゃ！LINE？何のこと？

[t-cyrill]

メールに信頼性はないんだけどクライアントがチェックしてないってのはなるほどという感想。これ以外でもメールはザルな印象だし、メール消滅してほしい

[tauerie7186562]

完璧なものってこの世にはないんだよなー

[akulog]

メールを辞めるというソリューション

[collectedseptember]

beckyまだ生きてたのか

[mieltrefle]

すごく怖い

[hiby]

メンドクセー

[todesking]

メールの送信元を完璧になりすます「Mailsploit」は何が危険か – 無能ブログ