Kaigi on Rails 2021 での発表資料です。 https://kaigionrails.org/2021/talks/tricknotes/
TL;DR JPドメインの管理をしている株式会社日本レジストリサービスには、下記の規則がある ざっくり言うと、「誰かがあなたのドメインを欲しいと言って、あなたが10日以内に返事をしなければ、ほしいと言った人にあげちゃうよ」という規約である // https://jprs.jp/doc/rule/toritsugi-rule-wideusejp.html 2 当社が、指定事業者に対して登録者の意思確認等を依頼した場合、指定事 業者がその依頼のときから10日以内に登録者がその意思を有しない旨の回答を しない場合には、指定事業者において登録者の意思確認等を行い、登録者がそ の意思を有する旨の回答を得たものとみなす。 流石にこれではやばいので、レジストラ企業の中には ドメイン移管ロック なる機能を提供しているところもある ドメイン移管ロック により守られたドメインは第三者から取られることがない A
インターネット上の住所に当たる「ドメイン名」を乗っ取り、サイト運営者に元に戻すための身代金を要求したとして、京都府警サイバー犯罪対策課と南署は9日、恐喝未遂の疑いで、滋賀県草津市の自称ITコンサルタントの男(42)と東京都港区の会社員の男(26)を逮捕した。 【図解】首相官邸、国会図書館、なのに海外? 「ドメイン名ハイジャック」と呼ばれるサイバー犯罪で、国内では2014年ごろから被害が相次いでいる。IT専門機関によると事件として摘発されるのは初とみられる。 ドメイン名は、サイトに接続するためのURLのうち、冒頭の「http://www.」に続く部分。専門機関JPCERTコーディネーションセンターによると、ドメイン名が乗っ取られるとサイトの内容が改ざんされたり、偽サイトに誘導されたりする。19年には人気アニメ「ラブライブ!」の公式サイトが正常に表示できない被害に遭った。 2人の逮捕容疑は仲間
2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決
はじめに 既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。 ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。 閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。 その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。 このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。 不審な JavaScript 先日、不審な挙動を示す以下のJavaScriptを目にしました。 Cookieを含むいくつかの情報を king[.]connect
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く