Lynxでアクセスしたら逮捕された? 293
ストーリー by Acanthopanax
なんでこうなるの 部門より
なんでこうなるの 部門より
koshian 曰く、 "セキュリティホールmemo MLで知ったのですが、スマトラ沖地震救援支援の寄付をしようとテキストブラウザ「Lynx」でウェブサイトにアクセスしたイギリスの男性が、なぜか逮捕されたようです。boingboingの記事ではその理由を「nonstandardなブラウザを使ったため」と書いています。BBCの記事では「'hacking'された」とまで書いてあります。この文脈では不正アクセスということでしょうか。
Lynxは今となってはマイナーなブラウザであることは確かでしょうが、視覚障害を持つ方がウェブを閲覧するのに使用していたりもするブラウザです。それを使ったが為に不正アクセス呼ばわりされ、あまつさえ逮捕されてしまう。こんなことが本当にあるのでしょうか。本当だとしたら、我々はこのことをどう考えたらいいのでしょうか。"
本家でもストーリー(Man Reportedly Jailed for Using Lynx)になっている。
テキストブラウザ (スコア:4, おもしろおかしい)
にしてもマジなら怖い時代だ
なにがって??IEがstandardであることがだよ;P
-- ラテール部参加者募集中
Re:テキストブラウザ (スコア:1, すばらしい洞察)
IEだけがlegalなんだと思います。
Re:テキストブラウザ (スコア:2, おもしろおかしい)
問題のおおもと (スコア:3, すばらしい洞察)
コンテンツ提供側が意図しないアクセス方法については、
これからもっと厳しい規制が課せられるんじゃないかね。
「インターネットは善意のネットワークだったのは昔の話だ。」
なんて言ってる連中が、実は昔のものにしちゃったやつら
==提供側が意図しないアクセスでいい気になってる連中と同一だったりする現状見てると
あまりのバカバカしさに腹が立って来る。
そのあたりをもっと厳しく規制すべきだ、くらいは言いたくなる。
(ブラウザ指定なんいうのはあんまりだと思うけどさ)
今回の事件が本当に「イレギュラーな」アクセスに当局が過剰反応しただけのものだとしたら
ロクに前準備もせず調べもせずWebサーバー立ててるバカも
先達が決まりはなくても暗黙の了解でうまくやってきたことを
「法律には反してない!」を合言葉にぶちこわしてる奴も
両方逮捕者とLynxの開発者に謝るべきだろうな。
ブラウザを前提したサイトへの他のツールによるアクセ (スコア:3, 興味深い)
わたしゃは、日頃Yahoo!オークションを利用していて、通常のブラウザでの閲覧だと色々不便なので自作のツールでアクセスしてます。もはや、それがないと不便で閲覧できません。だから、そういうのに制限がかけられるのは正直勘弁だなぁ。標準の使いづらいアクセス方法とは別のアクセス方法を使うのは規制されたくないです。
Yahoo!JAPANの利用規約 [yahoo.co.jp]には「ユーザーはYahoo! JAPANによってユーザーに提供されているインターフェイス以外の手段を用いてサービスにアクセスしてはならないものとします。」とあるけど、「Yahoo! JAPANによってユーザーに提供されているインターフェイス」って何を指すんだろう? 少なくとも、Yahoo!オークションに関しては専用の閲覧ソフトは提供されていないから、IE使おうがFireFox使おうがlynx使おうがwgetで取得しようがその他自作ツールでアクセスしようが利用規程に触れない、と解釈しているけど…。ただし、HTMLのフォームって「インターフェース」に入りそうだから、フォームによって生成されるはずのURIをツールが直接生成してアクセスするのはダメって言われれば言い返せないなぁ。
#余談:「詳細な残り時間」のデータは専用のJAVAアプレットでアクセスするのが前提だから、おそらくそれを利用している"Sniper☆2"とかの使用は規約に触れるな。まぁ、そのアクセスの方法を知っているわたしゃも規約に触れてるんですけどね…。
Re:問題のおおもと (スコア:1, 興味深い)
これはそのとおりだと思いますし、昔と違って「おいしいデータ」がネットに接続されたマシンに蓄積されている昨今では性善説を頼りに運営するのは無理なのは明らかでしょう。
そもそも、サービスを受ける側がサービスを提供する側の意図を尊重することを前提としているようなシステムに根本的な問題があるわけで、サービスを提供する側の意図を(敢えて言えば)受け取り側に強制できるようなシステムを作ることで解決する方向に持っていったほうがいいのではないかと思いますけど。
Re:問題のおおもと (スコア:3, 興味深い)
ユーザは本能的に裏技を探す生き物なのだから、何を
どうつつかれても意図しない裏技が発生しないようにするべし。
というのが最初に勤めたゲーム会社の会社説明会での言葉だった。
この言葉だけはいまだによく覚えてるよ。
#結局ゲーム業界出戻りなのでI.D.
待ちます。 (スコア:3, おもしろおかしい)
逮捕を待ちます。
人ごとではありません。 (スコア:2, おもしろおかしい)
PCの安全より身の安全の方が大切な人は、IE以外のブラウザを使用するべきではありません。
Re:人ごとではありません。 (スコア:2, 興味深い)
示されないまま無限にリロードを繰り返してしまうというサイトが
存在したりもしています。
ブラウザの表示は真っ白なまま延々と読み込んでいるように見え
たので、最初はサーバの動作が重いのかと勘違いしていました。
こんなニュースを読むと、サイト動作に問題があることにすぐに
気付かないとDDoS攻撃扱いされるのではとか恐い考えに。
どんどん使いにくくなっていくね (スコア:2, おもしろおかしい)
?????-SERVEとか??-?ANとか?ELNE?を使ったりとか
50歩100歩? (スコア:2, 参考になる)
http://www1.jars.gr.jp/k/kdis0010.do
取り残され? (スコア:2, 興味深い)
キャラクタベースのアプリケーションというものの存在が廃れているのかなぁ、とも思います。
実際、視覚障害があるひとは、キーボード操作でないと難しいんだけどなぁ……
だからこそ、アクセシビリティ [zspc.com]というものが提言されたりするわけなんですが。
周りに薦めたり、説明したりしても(゚Д゚)ハァ?という顔をされるし、
そもそもアクセシビリティとは、とか、ユーザビリティとか、
1から説明し始めないとならなくなるし……
たまーに、コンピュータとは、から説明を始めなければならないことも……
すっごいジレンマを感じますです。
せめて、官公庁のサイトはこのあたりを考慮しないといけないんだけど、
公文書関係はPDFだし、画像に説明つけないし、Javascript使いまくりだし……
機能が追加されていくたびに取り残される情報弱者、ていう構図がなんともかんともだなぁ。
コンピュータは魔法の箱じゃない。
ということが広く一般的にならないかなぁ、と思ってますです。
US-CERT Vulnerability Note (スコア:2, おもしろおかしい)
Overview:
lynx -- a text-based web browser -- leaves "unusual" event in the system log which lets site-operator misread as a hack-attempt, and the police breake down the user's door.
This vulnerability was reported lynx 2.8.5 or earlier running on Solaris 10.
Impact:
User may be jailed.
Solution:
Change the User-Agent string to another web browser's.
詳細がわかんないとなんとも言えない (スコア:1, 興味深い)
Re:詳細がわかんないとなんとも言えない (スコア:1)
・Lynxで津波支援サイトに寄付
・ハッキングと誤認
・逮捕
・実はLynx使ってただけだった
ってことなの?
まぁ 寄付ってことはpostしたってことだろうから
おそらくそこでIEとかだと細工しなきゃ投げれない値を投げちゃったってことかな?
んで エラー吐いてハッキング扱い
Javascriptとか使ってると十分可能性はあるよねぇ
サイトのできが悪すぎるってのが一番悪いんだけど
Re:詳細がわかんないとなんとも言えない (スコア:2, 興味深い)
>・ハッキングと誤認
>・逮捕
>・実はLynx使ってただけだった
1番目と4番目は、どっちの立場から見るかだけで同じ事。
2番目では、誤認したのが解っていて逮捕のようにも読める。
だから、こうかな
・津波支援サイトに寄付した中に見慣れぬパラメータ
・ハッキング行為の疑いで通報、逮捕した
・Lynxを使ってただけだった
単に、サイトの出来が悪いのではなく、IE以外で訪れる事を想定
していないとか、JSに依存して起きるエラーがあるのに不正な処理
は全てハッキングに違いないとか、思い込みに基づくサイト運営
ポリシーが先にあったという事で、単にサイトの出来が悪いだけなら
即ハッキングと分析するような自体にはならなかったかと。
>IEとかだと細工しなきゃ投げれない値
むしろ、IEで細工して投げる値が入っていなかったのだと。
そうでなければ、Lynx自体に意図しないパラメータを投げる
バグがあるって事でしょ。
イギリスの法律 (スコア:2, 参考になる)
#「意図」を罰する法律、というのもそれはそれで怖いような
本当にブラウザだけが理由だろうか (スコア:1)
ミスって異常な頻度でアクセスしてしまったとかじゃないだろうか
いくらなんでも見慣れないブラウザだからと言うだけで
こんな騒ぎにならないだろうというのは甘い考え?
#それにしたって突然SWATが踏み込むってのは酷いと思うが
Re:本当にブラウザだけが理由だろうか (スコア:2, おもしろおかしい)
うえーん。swatさんがきたら抵抗せずに、座っとけばいいんでしょうか?
Re:本当にブラウザだけが理由だろうか (スコア:1)
#攻殻SACネタかよ
##と知らない人のために無粋な説明
Re:本当にブラウザだけが理由だろうか (スコア:2, 参考になる)
> ミスって異常な頻度でアクセスしてしまったとかじゃないだろうか
妄想書く前に元の情報ソースを読んだら?
Solaris と Lynx で津波支援に寄付したら、アホな BT の管理者が「このログの記録は一体何だ。 変なブラウザで変な挙動でアクセスしている!」と思い込み、善意の行為者がサイバーテロリストにされちまった、という事だよ。
もっとレアな (スコア:1)
レア/マイナーUA一覧? (スコア:3, 参考になる)
東北大学でHTTP_USER_AGENT のリストを収集しているようで
A List of User Agents [tohoku.ac.jp]
あと、FireFoxでUAを偽わる機能拡張ツール
User Agent Switcher Extension [chrispederick.com]
なんてのもあります。
下手なIE「専用」のサイトを見るためのツールと思いますが
これを用いる前に アホな設定をすり抜ける機能拡張が必要ですな
#しかし、サーバ管理者、ソフト担当、法律の専門家など
「高度な」専門的知識をお持ちの方々が何人も居たはずなのに
バイパスしたのかな? それとも逮捕のダシに使われただけか?
どうしてこうなったのか ぜひ発表して欲しいです
Re:もっとレアな (スコア:1, おもしろおかしい)
Re:もっとレアな (スコア:1)
Re:もっとレアな (スコア:3, おもしろおかしい)
User-Agent: HandTyping
って送ってますが・・・。
# 明日あたり玄関先に黒服の方々が、なんてことはないですよね?
いや、別に好きでやってるからいいけどさ・・・。
Re:もっとレアな (スコア:1)
ぐぐっても見つかりません,何処ですか? :)
# Lynx よりユーザー少ない筈です(苦笑)
「夜露死苦」 (スコア:1, おもしろおかしい)
暴走族がコンクリートの塀に書くように
UserAgentを書き換えたブラウザでの大量アクセスが発生
数日後は何もなかったように静まりかえる。
#某掲示板からのリンクなら相当な数になるだろ。
#祭りでサーバが落ちたらなんて言われるのだろうか?
#「日本のハッカーの攻撃によりサーバーが破壊された」という記事に
#疑者不肖で訴えるとか [itmedia.co.jp]
ホームページだって (スコア:1)
Re:「夜露死苦」 (スコア:1, すばらしい洞察)
少なくともこのサイトは、世間一般ではMACといえばマクドナルドかマックだけ
認識していても、MACアドレスも想定できる人間のほうが多いと思ってる。
「古くなってしまった常識」と断言するような場所でも、単語でもないだろう。
Re:「夜露死苦」 (スコア:1)
Re:「夜露死苦」 (スコア:2, 参考になる)
Re:「夜露死苦」 (スコア:3, 参考になる)
え~と、つまり JIS X 0001-1994 的には、「script kiddy」は「高度の技術を」持っているわけではないので、「ハッカー」にあらずという結論でいいわけですね?
# で、lynx 使うのは「高度の技術」?
原因はブラウザではないのでは? (スコア:1)
ブラウザを経由して目でみた世界とが違うのでのが原因ではないでしょうか?
・本来ならアクセスしないような場所を直接叩いてしまった
もしくはアドレスを入れてしまった。
・その時、記録されたデータが見知らぬブラウザであった
以上、大いなる妄想を加えた結果がハッキング行為になったと思います。
#画像でできているガンダムなサイトは読めないんだろな。 [srad.jp]
#住み別けは必要なんだろうけど、基本的に文字は画像にすべきじゃないですね。きっと
Re:こりゃ (スコア:3, おもしろおかしい)
British Telecom [bt.com] で寄付しようとしたということはhttps://www.donate.bt.com/bt_form.htm [bt.com] でしょうか.だったら,
Server: Oracle-Application-Server-10g/9.0.4.0.0 Oracle-HTTP-Server
だそうです.
# LiveHTTPHeaders つきの FireFox でアクセスしてみましたが,逮捕されませんよね.
# 念のため寄付はしませんでしたが.
Re:こりゃ (スコア:4, 参考になる)
このページ、ソースを斜め読みしましたが・・・
Javascriptで入力した値をチェックして、正常ならば隠しフィールドに値を入れてますね。(初期値は'F'/入力が正常なら'B'にしてる)
恐らくLynxだとJavascriptのサポートなんて無いから、'F'のまんまサーバ側に送信されるのではないのかな。
で、Javascirptで書かれたチェックルーチンを通ってないデータ見て「ナンだコレ!変なデータ送ってきた奴がいる!」って騒いだのではないのかなぁ、、まぁ、想像でしかないけど。
#ソース見たけど、逮捕されませんよね?
#右クリックで変なメッセージボックスが出るのはソース見るなって事ですか?
Re:こりゃ (スコア:4, フレームのもと)
> なお、本プログラムはサーバ証明書を同梱していません (再配布できる
> ものが見つからなかったことと、そもそも再配布するような性質のもの
> ではないと考えたためです)。
> 本プログラムで、SSL を利用しているサーバの正当性を保証するために、
> サーバ証明書を利用する場合には、org_docs/README.rootcerts を御参照
> 下さい。
だそうですが、、、「SSL 周りの振る舞いの差を『ハッキングだ!』と勘違いの警報を出されたのが原因だったのかなぁ」などと思ったりもしますが、詳しくはないのでわかりません。いずれにせよ、善意で寄付した人間を逮捕っていうのは最低最悪だし、この BBC News [bbc.co.uk] の、DEC (Disasters and Emergency Committee) の言い訳も白々しくて読んでて嫌になる。
さらに最悪なのは、「何で寄付した人間が裁判でこの件に関して弁明させられるのか」って事。イギリスの裁判制度って、どっかおかしいんじゃないかな。関連報道
Re:こりゃ (スコア:2, すばらしい洞察)
>弁明させられるのか」って事。
寄付したかどうかは、関係ないのではないでしょうか?
問題なのは、不正アクセスとやらが本当にあったのかどうか?です。
不正アクセスしていたのなら、寄付していようが、逮捕は正当です。
不正アクセスしていないのなら、寄付してなくても、逮捕は不当です。
>しかし、日本では「放置されていた Web サイトの脆弱性を指摘した
>ら不正アクセスで逮捕され、懲役8カ月を求刑される」から、もっと
>酷いか。
スタンダードじゃないブラウザを使っただけで逮捕される可能性が
あるというのなら、私にも同じことが起きる可能性があって、とて
も怖いと思います。
ですが、ACCS不正アクセス裁判の場合、私ならそんな「問題になる
ような行動」をしたりしませんので、怖くありません。
ですので、私にとっては日本のほうが「もっと酷い」とは思えない
です。
Re:こりゃ (スコア:1, 興味深い)
> 不正アクセスで逮捕され、懲役8カ月を求刑される」
こういう情報操作はよくありませんねぇ。河合容疑者の件なら
管理者に脆弱性を指摘する前に、集会で手法まで公開したでしょ。
これを「脆弱性を指摘したら逮捕」と省略するのは、国語力の
不足でないとすると、事実を歪曲する意図があったとしか言えません。
元のコメントもアレだけれども (スコア:2, すばらしい洞察)
そっちは民事。刑事の方をよく把握してくれ。
Re:セキュリティーホールmemo MLのリンク先 (スコア:1, 興味深い)
>適当なIDとパスワード打ち込んで認証されてしまったら、
>私も逮捕されてしまうのでしょうか?
自分に権利がないと認識している適当なIDとパスワード打ち込んだ時点でハッキング行為です。
実際に認証されるか(成功するか)は関係なかったように思います。
Re:セキュリティーホールmemo MLのリンク先 (スコア:1, 参考になる)
で、メッセージが解りにくいですが、
IDがarchive、パスワードがarchiveだよって書いてあります。
# 実は新手の罠だったりして(==;
Re:セキュリティーホールmemo MLのリンク先 (スコア:1)
Re:セキュリティーホールmemo MLのリンク先 (スコア:1)
昼寝をすればいいじゃない。
#入ろうとしてテキトーID&テキトーPASSを打ったんだったら、
#ハッキング扱いされても文句言えないと思う。
--
「なんとかインチキできんのか?」
Re:逆じゃね? (スコア:1)
#686045 [srad.jp] の AC さんではありませんが、どうぞ ご確認 [goo.ne.jp] ください。
Re:セキュリティーホールmemo MLのリンク先 (スコア:2, 参考になる)
> を含める非標準な拡張はサポートされなくなっています。
RFC2396 Uniform Resource Identifiers (URI): Generic Syntax [zvon.org] の
3.2. Authority Component [zvon.org] 周辺を改めて見てみましたが、
"http://archives:archives@www.st.ryukoku.ac.jp/...." のような書き方は標準
に準拠してると思いますよ。
Re:スラッシュドット ジャパンは守っているのか? (スコア:1, 参考になる)
Re:俺の中では (スコア:2, 興味深い)
rootkit 等で、侵入後に本体を取ってくるのに使われるのが lynx だったりすることがあるようです。知らないうちに使っているのかもしれませんね。
cpan shell も lynx が入っていれば利用したりしますね。
Re:結審した某裁判って? (スコア:2)
そうなったら、「JavaScriptを切ることが可能」なブラウザを作った会社を訴えましょうや。