- - PR -
メールアドレスを完璧にチェックするには
投稿者 | 投稿内容 | ||||||||
---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2002-04-18 18:34
私は、システムを利用するエンドユーザーの立場ですが、一般のユーザーには HexValidMail の中身まで知らないと Dosアタックになるかどうかわりませんよね! このようなソフトは、商品として販売すべきではないということなのでしょうか。 初歩てきな質問ですみませんが、Dosアタックの意味を教えてください。 解決しました! Denial of Service の略称だったんですね。 ところでちょっと疑問に思ったのですが・・・ たとえば、5万人のメーリングリストがあるとします。このメーリングリストからメールを送ることと、メーリングリストのメールアドレスが正しいかメールサーバに問い合わせするのでは何が違うのでしょうか。Dos攻撃とは、特定のサーバを攻撃してマヒさせることですよね! [ メッセージ編集済み 編集者: Dr ADO.NET 編集日時 2002-04-18 21:29 ] | ||||||||
|
投稿日時: 2002-04-18 18:45
たしかに確認メールを送信すれば解決しますが、この場合、正しいメールアドレスを入力したということが前提になります。メールアドレスを誤入力したときは、本人に確認のメールが届きません。パスワードのようにメールアドレスも再入力(2回)させるしか解決方法はないのでしょうか・・・ 参考までに、私のサイトでメールアドレスを入力するページがありますが誤入力がかなりあります。 | ||||||||
|
投稿日時: 2002-04-18 19:25
現在では、Eメールアドレスの確認入力をしてもらうのは普通だと思います。 また、確認メールを送るのは*正しいメールアドレスの入力が前提*ではないとおもいます。1.Eメールアドレスが正しいか、2.登録要求を出した人が本人か、の2点を確認するために送信するのではないでしょうか。 もちろん、メールがエラーメールだったり、メールに書いた確認用URLへアクセスがなければ登録は破棄されるだけです。 | ||||||||
|
投稿日時: 2002-04-18 22:46
ども。
あまり「べき」論を論じるのは好きではないのですが。技術者という立場から考えた場合、容易に攻撃ツールになってしまうものを販売するのはいかがなものか、とは思います。 というか、まさにDr ADO.NETさんがおっしゃる通り、「一般のユーザー には-中略-わからない」からこそ、技術者が、きちんとその辺をやらなきゃいけない、と思うんですね、私は。
では、簡単に解説してみたいと思います。 例えば、とりあえず落としたいサーバA(ドメイン:foo.com)があったとしましょう。 上記のソフトが、例えば「RCPT」などを用いてサーバに問い合わせを行う、と仮定します。 1.上記ソフトがインストールされているサイトを複数見つけます。 例えば、「hoge1.com」から「hoge10.com」までの、10個のサーバを見つけたとしましょう。 2.適当なマシン(これも、どこかが乗っ取れると好ましい)を使って、シェルでCGIの「確認画面」を叩きます。メールアドレスは適当にランダムにして(サーバの防止機能への布石)、ドメイン部分だけそろえておくとより確実でしょう。 上記の状態で、「複数のマシンから」サーバAに問い合わせのパケットが飛び交います。シェルでぶん回しているので、比較的容易に大量の問い合わせをすることが可能です。 こうやって、前述のアプリケーションを踏み台に、Dos攻撃が可能になります。 無論、こんな方法は「直接SMTP叩いても」OKなのですが。この方法ですと、特にtelnetなどでログインできなくても、HTTPという、比較的セキュリティー的にざるになりやすい場所から進入して攻撃が可能になってしまうんですね。 もちろん、MLに「架空のメールアドレス」を「大量に」登録するのも、基本的にかなり凶悪なことが出来ます。が、その辺は大抵「一回Mailを送って本人である旨確認を取る」手法で、大部分どうにかなります。この辺はautumnさんとかudaさんとかが書かれたとおり。 こう、ひょんなところから、以外と攻撃は色々と出来るものです(例えば、Cookieのデータの処理一つ間違えればとんでもないセキュリティーホールが作れます)。 と、この辺がDoSアタックのやり方の概要なのですが、どんなもんでしょうか? ご質問などありましたら、お気軽にいただければと思います。 |