- PR -

メールアドレスを完璧にチェックするには

«前のページへ 1|2
投稿者投稿内容
Access
ぬし
会議室デビュー日: 2002/04/08
投稿数: 829
投稿日時: 2002-04-18 18:34
引用:

これを読まれている全ての技術系の人が。
利便性の裏に潜む危険を、その利便性を(可能な限り)損なわず、かつ「問題ないレベルで」安全なシステムを組むことに興味を持っていただければ、と願ってやみません。


私は、システムを利用するエンドユーザーの立場ですが、一般のユーザーには
HexValidMail の中身まで知らないと Dosアタックになるかどうかわりませんよね!

このようなソフトは、商品として販売すべきではないということなのでしょうか。

初歩てきな質問ですみませんが、Dosアタックの意味を教えてください。

解決しました! Denial of Service の略称だったんですね。

ところでちょっと疑問に思ったのですが・・・
たとえば、5万人のメーリングリストがあるとします。このメーリングリストからメールを送ることと、メーリングリストのメールアドレスが正しいかメールサーバに問い合わせするのでは何が違うのでしょうか。Dos攻撃とは、特定のサーバを攻撃してマヒさせることですよね!






[ メッセージ編集済み 編集者: Dr ADO.NET 編集日時 2002-04-18 21:29 ]
Access
ぬし
会議室デビュー日: 2002/04/08
投稿数: 829
投稿日時: 2002-04-18 18:45
引用:

単純にメーリングリストの登録の問題に限れば、機械的な確認ではなく、本人に確認のメールを送った方が良いと思います。


たしかに確認メールを送信すれば解決しますが、この場合、正しいメールアドレスを入力したということが前提になります。メールアドレスを誤入力したときは、本人に確認のメールが届きません。パスワードのようにメールアドレスも再入力(2回)させるしか解決方法はないのでしょうか・・・

参考までに、私のサイトでメールアドレスを入力するページがありますが誤入力がかなりあります。



uda
会議室デビュー日: 2001/12/28
投稿数: 13
投稿日時: 2002-04-18 19:25
引用:

たしかに確認メールを送信すれば解決しますが、この場合、正しいメールアドレスを入力したということが前提になります。メールアドレスを誤入力したときは、本人に確認のメールが届きません。パスワードのようにメールアドレスも再入力(2回)させるしか解決方法はないのでしょうか・・・


現在では、Eメールアドレスの確認入力をしてもらうのは普通だと思います。

また、確認メールを送るのは*正しいメールアドレスの入力が前提*ではないとおもいます。1.Eメールアドレスが正しいか、2.登録要求を出した人が本人か、の2点を確認するために送信するのではないでしょうか。
もちろん、メールがエラーメールだったり、メールに書いた確認用URLへアクセスがなければ登録は破棄されるだけです。
がるがる
ぬし
会議室デビュー日: 2002/04/12
投稿数: 873
投稿日時: 2002-04-18 22:46
ども。

引用:

このようなソフトは、商品として販売すべきではないということなのでしょうか。

あまり「べき」論を論じるのは好きではないのですが。技術者という立場から考えた場合、容易に攻撃ツールになってしまうものを販売するのはいかがなものか、とは思います。
というか、まさにDr ADO.NETさんがおっしゃる通り、「一般のユーザー には-中略-わからない」からこそ、技術者が、きちんとその辺をやらなきゃいけない、と思うんですね、私は。

引用:

たとえば、5万人のメーリングリストがあるとします。このメーリングリストか らメールを送ることと、メーリングリストのメールアドレスが正しいかメール サーバに問い合わせするのでは何が違うのでしょうか。Dos攻撃とは、特 定のサーバを攻撃してマヒさせることですよね!

では、簡単に解説してみたいと思います。
例えば、とりあえず落としたいサーバA(ドメイン:foo.com)があったとしましょう。
上記のソフトが、例えば「RCPT」などを用いてサーバに問い合わせを行う、と仮定します。

1.上記ソフトがインストールされているサイトを複数見つけます。
 例えば、「hoge1.com」から「hoge10.com」までの、10個のサーバを見つけたとしましょう。
2.適当なマシン(これも、どこかが乗っ取れると好ましい)を使って、シェルでCGIの「確認画面」を叩きます。メールアドレスは適当にランダムにして(サーバの防止機能への布石)、ドメイン部分だけそろえておくとより確実でしょう。

上記の状態で、「複数のマシンから」サーバAに問い合わせのパケットが飛び交います。シェルでぶん回しているので、比較的容易に大量の問い合わせをすることが可能です。

こうやって、前述のアプリケーションを踏み台に、Dos攻撃が可能になります。
無論、こんな方法は「直接SMTP叩いても」OKなのですが。この方法ですと、特にtelnetなどでログインできなくても、HTTPという、比較的セキュリティー的にざるになりやすい場所から進入して攻撃が可能になってしまうんですね。
もちろん、MLに「架空のメールアドレス」を「大量に」登録するのも、基本的にかなり凶悪なことが出来ます。が、その辺は大抵「一回Mailを送って本人である旨確認を取る」手法で、大部分どうにかなります。この辺はautumnさんとかudaさんとかが書かれたとおり。

こう、ひょんなところから、以外と攻撃は色々と出来るものです(例えば、Cookieのデータの処理一つ間違えればとんでもないセキュリティーホールが作れます)。

と、この辺がDoSアタックのやり方の概要なのですが、どんなもんでしょうか?
ご質問などありましたら、お気軽にいただければと思います。


«前のページへ 1|2

スキルアップ/キャリアアップ(JOB@IT)