カテゴリー
Vulnerability

(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について-#2

 昨年, jprs.jp から「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について」というのが出て,それについて記事を書いたことがあるのだが,昨日,同件について更新情報が出た。「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について(2015年5月26日更新)

 今回の更新情報の目新しいところとしては,
  (2015年5月26日更新)
  (*2)JPドメイン名では2015年1月19日より、レジストリロックサービスの
     提供を開始しました。本サービスの提供方法及び提供範囲は、指定事
     業者によって異なります。詳細はドメイン名の管理指定事業者にお問
     い合わせください。

     レジストリロックサービス
     <http://jprs.jp/about/dom-rule/registry-lock/>

ということで,リンク先に行くと,レジストリロックサービスの具体例がわかる。

 前回のときに,レジストリロックとレジストラロックの違いが分からなくてずいぶん悩んだから,ありがたい。

「(緊急)登録情報の不正書き換えによるドメイン名ハイジャックとその対策について-#2」への10件の返信

くりくりさん,こんばんは。

ホントに暑かったですね。わが町も,真夏日でした。 31.2 ℃ by 弱小アメダス @ わが町。

> といってもjpドメインもってませんが・・・。
素人サイトで取るには,高いですワ,値段が(汗)。コスト分しっかり管理していただかないと(爆)。

ところで,こんなんありました。「悪意あるコードを含んだ偽「PuTTY」に注意 – ログイン情報が攻撃者へ」。正規のサイトのダウンロードファイルをいじられてしまうと,素人には実際のファイルのウィルスチェックくらいしか手がありませんが,それはそれとして,変なところからは落とさないというのは,それ以前の鉄則ですね。あと,ハッシュやシグネチャの確認は面倒でもやらないといけないですねぇ。←自戒を込めて

おはようございます。

Puttyの件は私も見ました。
todosの方に書こうかなと思ったんですが
会社でつかってるだけでいまいちなじみがないので
やめました。
そのうちTeraTermに変更しちゃうかもしれません。

くりくりさん,こんばんは。

そうですね。 TeraTerm も後継のプロジェクト版になってから,また,開発が継続されてますしね。やっぱ,日本人には使いやすい気がします。

そういえば, sourceforge.jp は osdn.jp に変わったんでしたよね。記事は読んでたんですが,今日, sourceforge.jp に行ったつもりで,あれっとか思いました(爆)。

おはようございます。

>sourceforge.jp は osdn.jp に変わったんでしたよね
ああ、やっぱりおかしいとおもったんですね。
俺は一瞬ocn.ne.jpかodn.ne.jpと名前にてるなとは
思ってしまいましたよ(w

それとkingsslが3年か2000円なんで
証明書の更新をしてみようかなとおもっています。

前の証明書分有効期限も+されるらしいです。
それとstartsslで会社サーバー用ドメインの証明書を発行しようとしたのですが、startsslで秘密キーと要求書をつくったらブラウザの挙動がおかしくなりログインもできなくなり
別アカウントを作成してつくりなおそうとしても
その証明書は存在するとでてつくれません。

証明書の有効期限が30日?

you will be able to use this verification for the next 30 days,after which it expires and must be renewed

のでまた来月の末に挑戦したいとおもいます。

追記 kingsslに申し込んでいきなり承認メールを間違えましたwww
webmaster at superweibu dot comをwebmaster at www dot superweibu dot comと間違い。
返金手続きにはいってます。それと39ヶ月以上の証明書は発行できません。なんで8月12日有効期限ですから6月13日に再度挑戦してみます!!

くりくりさん,こんばんは。

> ああ、やっぱりおかしいとおもったんですね。
まぁ,アナウンスは読んでいたので,あれっと思ったのち,ああそうだっけと思い出したんですけどね。このごろ, /. ジャパンあまり行っていなかったので,そちらもちょっと覘いときました。

ところで, OpenSSL 1.0.2 でビルドされた Windows 版 Apache はいつになるのかなとApacheLounge の News & Hangout を見てたら, Logjam, SSL Labs grading changes, and more というのがあって, Steffen が Ivan のニュースレターを掲載してくれてました。 Steffen は Apache Lounge のなかの人, Ivan は確か SSL Labs のなかの人です。 Public Key Pinning ってもうずいぶん使われてるんですか?

VC2015 RC (VC14) build 2.4.12 available – PHP7 timetable というのもあって, PHP7 の話も出てるんですが,注目したのは, OpenSSL 1.0.2 でビルドされてるんですよね。試してみようかな。

おはようございます。

>Public Key Pinning
こんなのがあるんですね。
初めて知りました。ssl・・・。
またお勉強することがふえそうですな(w

>OpenSSL 1.0.2 でビルドされてるんですよね。
試してみようかな。
確かに中身みると
IPv6 and Crypto enabled, apr-1.5.1 apr-util-1.5.4 apr-iconv-1.2.1 openssl-1.0.2a zlib-1.2.8 pcre-8.37 libxml2-2.9.2 lua-5.1.5 expat-2.1.0
となってますね。
ただ、openssl1.0.2ってhttp/2のalpnしかおもいつかないですが、apacheで色々検証してみると幅がひろがりそうですね。

最後にphp7
11月に出る予定らしいですが
http/2と色々やることがうまってきました・・・。

くりくりさん,こんばんは。

> こんなのがあるんですね。
> またお勉強することがふえそうですな(w
ですねぇ,お勉強の種は尽きないです。ロートルとしては,「ついてけなーい」と泣きの入るところでありまする(爆)。

> openssl1.0.2ってhttp/2のalpn
うん,そうですね。 1.0.1 と 1.0.2 の大きな違いの一つが,それですもんね。やっぱ, HTTP/2 のほうが主流になりそうなんですか?私は, OpenSSL 1.0.2 ブランチというと,この間の Logjam で SSLOpenSSLConfCmd が使えなかったので, 1.0.2 系でビルドされたのが出たのなら,チョイ試してみようかなという軟弱レベルでした(汗)。

追記:
上のメールアドレスの表記を, @→at, .→dot に直しました。訂正理由は,正規のメールアドレス的なものに見えたので,リンクされないほうがいいだろうということです。

おはようございます。

>HTTP/2 のほうが主流になりそうなんですか?

nginxが今年中に対応するといってましたが、
本格的に動き出すのは来年くらいじゃないですかね。
自分のwordpressはnginxが実装されしだい変更するつもりです。

むしろnginxよりはapacheの方がすすんでいるきがしますが
https://github.com/icing/mod_h2
それにgoogleやtwiiterなんかはapacheでうごしてるだろうし。o6asanさんのほうが早く実装できるかも?

くりくりさん,こんにちは。

> https://github.com/icing/mod_h2
なんですが,今のとこ, linux と OS X で動くところまでしか来てないようなんです。 Windows で動くモジュールはいつになりますかねぇ。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です