適切な場所がなかったのでここに書きます。
IE7betaが来月から NDA 無しで一般評価が始まります。
前提として XP SP2 or Vista(TechnicalPreView) のみ。
まぁ、MSFT なのでひょっとすると評価配布先は限定のまま
かも知れません。
デフォルトSSL は v3 とか、http/https混在メッセージを
出さない、ActiveXコンポーネンツダウンロードはログイン
パスワードを促す、透過PNG対応といったことよりも
AntiPhising 対応し、そのデータベースは MSFT が
整備してくれるとのこと。メカニズムを探ろうとすると
現時点では NDA 違反になっちゃうのでアレゲですが。
ブラウザで AntiPhising が完璧にできないとしても
そういうブラックホールリストを整備していく姿勢とか
オンアクセス時にリスト参照し該当すればアドレスバーが
赤紫色に変色して注意を促す仕掛けなんですが、、
みなさんはどのようにお考えになられますか?
素晴らしい、その他のベンダーも取り組むべきだ、
無条件にリレー許可するマヌケMTAリスト(RBL)みたい or
その AntiPhising 機能を無効にするよからぬモノを早く作ってみたいとか。
IE7betaが来月から NDA 無しで一般評価が始まります。
前提として XP SP2 or Vista(TechnicalPreView) のみ。
まぁ、MSFT なのでひょっとすると評価配布先は限定のまま
かも知れません。
デフォルトSSL は v3 とか、http/https混在メッセージを
出さない、ActiveXコンポーネンツダウンロードはログイン
パスワードを促す、透過PNG対応といったことよりも
AntiPhising 対応し、そのデータベースは MSFT が
整備してくれるとのこと。メカニズムを探ろうとすると
現時点では NDA 違反になっちゃうのでアレゲですが。
ブラウザで AntiPhising が完璧にできないとしても
そういうブラックホールリストを整備していく姿勢とか
オンアクセス時にリスト参照し該当すればアドレスバーが
赤紫色に変色して注意を促す仕掛けなんですが、、
みなさんはどのようにお考えになられますか?
素晴らしい、その他のベンダーも取り組むべきだ、
無条件にリレー許可するマヌケMTAリスト(RBL)みたい or
その AntiPhising 機能を無効にするよからぬモノを早く作ってみたいとか。
|
|
|
|
コメント(14)
s/Phising/Phishing/g
>>1
> Outlookで迷惑メールを自動で仕分けしてくれる仕組みも私よくわかりません。その判断ソースとなるDBはどこにあるのでしょうか。。ご存知?
http://www.microsoft.com/downloads/results.aspx?DisplayLang=ja&nr=20&freetext=%e8%bf%b7%e6%83%91%e3%83%a1%e3%83%bc%e3%83%ab+%e3%83%95%e3%82%a3%e3%83%ab%e3%82%bf%e6%9b%b4%e6%96%b0%e3%83%97%e3%83%ad%e3%82%b0%e3%83%a9%e3%83%a0&sortCriteria=date
NDA:
http://www2.alc.co.jp/ejr/index.php?word_in2=%A9%AB%AD%AF%B1&word_in3=TlYZ8YoZKTlYZ8YoZK&word_in=nda
これぐらい調べれば出てくるのにー。
どういう仕組みなのか私も知りませんが、
IE で見てる URI がその DB へ全部送られる、とか
そんなのだったら(Trendmicro のがそれで叩かれてますね)
また Anti-MS なひとが五月蠅くなるでしょうね。
>>1
> Outlookで迷惑メールを自動で仕分けしてくれる仕組みも私よくわかりません。その判断ソースとなるDBはどこにあるのでしょうか。。ご存知?
http://www.microsoft.com/downloads/results.aspx?DisplayLang=ja&nr=20&freetext=%e8%bf%b7%e6%83%91%e3%83%a1%e3%83%bc%e3%83%ab+%e3%83%95%e3%82%a3%e3%83%ab%e3%82%bf%e6%9b%b4%e6%96%b0%e3%83%97%e3%83%ad%e3%82%b0%e3%83%a9%e3%83%a0&sortCriteria=date
NDA:
http://www2.alc.co.jp/ejr/index.php?word_in2=%A9%AB%AD%AF%B1&word_in3=TlYZ8YoZKTlYZ8YoZK&word_in=nda
これぐらい調べれば出てくるのにー。
どういう仕組みなのか私も知りませんが、
IE で見てる URI がその DB へ全部送られる、とか
そんなのだったら(Trendmicro のがそれで叩かれてますね)
また Anti-MS なひとが五月蠅くなるでしょうね。
現在出回ってるIE7bは2種類あって、
1つはMSDNなもの。これはまだ英語版のまま。
僕が手にしてるのは、Technical Preview のほう。
存在事実は公開してもいいんだけど、MSDNのNDAには
含まれていないガチガチな契約内容なので
メカニズムすべてを現時点でお話できません。
大体の流れは次の通りです。
1. ブラウザ起動
2. ネットワークチェック(更新ファイルがあるかどうか)
3. ローカルにインデックスっぽいものを持つっぽい
4. ローカルポリシを参照
5. アドレスバー入力待機
6. 入力されたエンティティをチェック(全角でうっかり
http://と書いても半角へ自動処理)
7. FQDN分析(おそらくサブドメインレベルまで)
8. ローカルインデックスにないものは問いあわせ(全世界に参照用のエッジサイトを立てるんだろうね)
9. 問い合わせ結果処理(判定)
10. 異常があるものはアドレスバーの色を変化
11. 通常 IE 処理。
12. さらに疑わしいサイトの場合はブラウザから通報汁ボタンが表示
13. やっと通常の IE 処理。
という感じです。表現はかなり、ぼかしました。
2月に行われるデブコン(開発者有償カンファレンス)で
参加者に一般配布するようで、その時点からメカニズムが
あちこちで公開されると思います。
そうですね、Anti-MS なヒト、がんがってください。
1つはMSDNなもの。これはまだ英語版のまま。
僕が手にしてるのは、Technical Preview のほう。
存在事実は公開してもいいんだけど、MSDNのNDAには
含まれていないガチガチな契約内容なので
メカニズムすべてを現時点でお話できません。
大体の流れは次の通りです。
1. ブラウザ起動
2. ネットワークチェック(更新ファイルがあるかどうか)
3. ローカルにインデックスっぽいものを持つっぽい
4. ローカルポリシを参照
5. アドレスバー入力待機
6. 入力されたエンティティをチェック(全角でうっかり
http://と書いても半角へ自動処理)
7. FQDN分析(おそらくサブドメインレベルまで)
8. ローカルインデックスにないものは問いあわせ(全世界に参照用のエッジサイトを立てるんだろうね)
9. 問い合わせ結果処理(判定)
10. 異常があるものはアドレスバーの色を変化
11. 通常 IE 処理。
12. さらに疑わしいサイトの場合はブラウザから通報汁ボタンが表示
13. やっと通常の IE 処理。
という感じです。表現はかなり、ぼかしました。
2月に行われるデブコン(開発者有償カンファレンス)で
参加者に一般配布するようで、その時点からメカニズムが
あちこちで公開されると思います。
そうですね、Anti-MS なヒト、がんがってください。
Download details: Anti-phishing
http://www.microsoft.com/downloads/details.aspx?familyid=B4022C66-99BC-4A30-9ECC-8BDEFCF0501D&displaylang=en
Download details: Internet Explorer 7 Beta 1 Technology Overview
http://www.microsoft.com/downloads/details.aspx?familyid=718E9B3A-64FE-4A4C-9DDF-57AF0472EAD2&displaylang=en
概要レヴェルまでの文書は公開されてたんですな。
なんか最近全然おっかけてないや…
IEBlog
http://blogs.msdn.com/ie/
Internet Explorer デベロッパー センター
http://www.microsoft.com/japan/msdn/ie/
http://www.microsoft.com/downloads/details.aspx?familyid=B4022C66-99BC-4A30-9ECC-8BDEFCF0501D&displaylang=en
Download details: Internet Explorer 7 Beta 1 Technology Overview
http://www.microsoft.com/downloads/details.aspx?familyid=718E9B3A-64FE-4A4C-9DDF-57AF0472EAD2&displaylang=en
概要レヴェルまでの文書は公開されてたんですな。
なんか最近全然おっかけてないや…
IEBlog
http://blogs.msdn.com/ie/
Internet Explorer デベロッパー センター
http://www.microsoft.com/japan/msdn/ie/
本日付で早期ベータプログラム申込者へ Vista と IE7 日本語ベータ版(VistaDecCTP_JPN)がリリースされました。が、まだまだオープンベータには程遠いので、詳細公開できません。。。
日本語版固有の問題もいくつかあり、テスト用のフィッシング
サイトを立てても警告を発せずに通過できてしまったりします。
---
>ベレロフォンさん
入力システムとしてエンコーディングが UTF-8, S-JIS
どちらであっても解釈できました。が、UTF-8 でも他言語
ユニコード情報を渡した場合は当然解釈できずに、デフォルト
検索サイトである MSN へ問い合わせ引数として渡して
しまいます。
アプリケーションから URL 情報をキックする際も
ここらへんは要チェックですね。国際化対応アプリを
開発してるヒトにとっては当たり前の話ですが。
日本語版固有の問題もいくつかあり、テスト用のフィッシング
サイトを立てても警告を発せずに通過できてしまったりします。
---
>ベレロフォンさん
入力システムとしてエンコーディングが UTF-8, S-JIS
どちらであっても解釈できました。が、UTF-8 でも他言語
ユニコード情報を渡した場合は当然解釈できずに、デフォルト
検索サイトである MSN へ問い合わせ引数として渡して
しまいます。
アプリケーションから URL 情報をキックする際も
ここらへんは要チェックですね。国際化対応アプリを
開発してるヒトにとっては当たり前の話ですが。
リダイレクト対策についてですが、
GoogleとかYahooとかは、普通にリダイレクトしてどこからでも(Googleからじゃなくとも)、どこにでも飛べますからねぇ。Phishingの対策としては、この手のURIはあくまでパラメータなので、クライアント側での対応は難しいんではないでしょうか。
クライアント側で幾ら対策しても、
XSSでフレーム作って
入力をフォワード
しちゃったら、どんな優れたクライアント機能でもスルーしそうな気もします。
%22%3e%3c%53
とかやられたら、見た目にも機械的にもわからない可能性もあるし。M$のユニコード処理は怪しいし(まあ英語圏だとどこでも同じですが)、UTF-8エンコード噛ませば更に効果的。
リダイレクトをクライアント側で対策を行う事に関してはかなり悲観的だと思う、という話でした。
GoogleとかYahooとかは、普通にリダイレクトしてどこからでも(Googleからじゃなくとも)、どこにでも飛べますからねぇ。Phishingの対策としては、この手のURIはあくまでパラメータなので、クライアント側での対応は難しいんではないでしょうか。
クライアント側で幾ら対策しても、
XSSでフレーム作って
入力をフォワード
しちゃったら、どんな優れたクライアント機能でもスルーしそうな気もします。
%22%3e%3c%53
とかやられたら、見た目にも機械的にもわからない可能性もあるし。M$のユニコード処理は怪しいし(まあ英語圏だとどこでも同じですが)、UTF-8エンコード噛ませば更に効果的。
リダイレクトをクライアント側で対策を行う事に関してはかなり悲観的だと思う、という話でした。
- mixiユーザー
- ログインしてコメントしよう!
|
|
|
|
