A Londonder made a tsnuami-relief donation using lynx -- a text-based browser used by the blind, Unix-users and others -- on Sun's Solaris operating system. The site-operator decided that this "unusual" event in the system log indicated a hack-attempt, and the police broke down the donor's door and arrested him.
こりゃ (スコア:0)
Re:こりゃ (スコア:3, おもしろおかしい)
British Telecom [bt.com] で寄付しようとしたということはhttps://www.donate.bt.com/bt_form.htm [bt.com] でしょうか.だったら,
Server: Oracle-Application-Server-10g/9.0.4.0.0 Oracle-HTTP-Server
だそうです.
# LiveHTTPHeaders つきの FireFox でアクセスしてみましたが,逮捕されませんよね.
# 念のため寄付はしませんでしたが.
Re:こりゃ (スコア:4, 参考になる)
このページ、ソースを斜め読みしましたが・・・
Javascriptで入力した値をチェックして、正常ならば隠しフィールドに値を入れてますね。(初期値は'F'/入力が正常なら'B'にしてる)
恐らくLynxだとJavascriptのサポートなんて無いから、'F'のまんまサーバ側に送信されるのではないのかな。
で、Javascirptで書かれたチェックルーチンを通ってないデータ見て「ナンだコレ!変なデータ送ってきた奴がいる!」って騒いだのではないのかなぁ、、まぁ、想像でしかないけど。
#ソース見たけど、逮捕されませんよね?
#右クリックで変なメッセージボックスが出るのはソース見るなって事ですか?
Re:こりゃ (スコア:0)
Re:こりゃ (スコア:0)
基本は、どんな環境でも同じように動くことを目標にして作るのでチェックはサーバサイドで行うべきだ。
Re:こりゃ (スコア:1, 参考になる)
Re:こりゃ (スコア:0)
「サイトの意図」を示すには十分だと思う
「サイトの意図した方法以外で見るな」というコトそのものが
(あえて,現状では)否定されるべきだと思うのだが
#サイトの意図した方法以外でアクセスすると不正アクセス禁止法違反で逮捕される国の国民より
Re:こりゃ (スコア:4, フレームのもと)
> なお、本プログラムはサーバ証明書を同梱していません (再配布できる
> ものが見つからなかったことと、そもそも再配布するような性質のもの
> ではないと考えたためです)。
> 本プログラムで、SSL を利用しているサーバの正当性を保証するために、
> サーバ証明書を利用する場合には、org_docs/README.rootcerts を御参照
> 下さい。
だそうですが、、、「SSL 周りの振る舞いの差を『ハッキングだ!』と勘違いの警報を出されたのが原因だったのかなぁ」などと思ったりもしますが、詳しくはないのでわかりません。いずれにせよ、善意で寄付した人間を逮捕っていうのは最低最悪だし、この BBC News [bbc.co.uk] の、DEC (Disasters and Emergency Committee) の言い訳も白々しくて読んでて嫌になる。
さらに最悪なのは、「何で寄付した人間が裁判でこの件に関して弁明させられるのか」って事。イギリスの裁判制度って、どっかおかしいんじゃないかな。関連報道
- boingboing [boingboing.net] (BBC の言い分とはだいぶ違っている)
- Tsunami 'hack' -- London cops Swat lynx [nbr.co.nz]
- Jailed for using Lynx [p2pnet.net]
しかし、日本では「放置されていた Web サイトの脆弱性を指摘したら不正アクセスで逮捕され、懲役8カ月を求刑される」 [impress.co.jp]から、もっと酷いか。日本でも裁判長になるような年代の人はコンピューターなんてまるで専門外の異次元な世界だろうけど、そういう人が憶測で判断して判決を出すのだろうか。Re:こりゃ (スコア:2, すばらしい洞察)
>弁明させられるのか」って事。
寄付したかどうかは、関係ないのではないでしょうか?
問題なのは、不正アクセスとやらが本当にあったのかどうか?です。
不正アクセスしていたのなら、寄付していようが、逮捕は正当です。
不正アクセスしていないのなら、寄付してなくても、逮捕は不当です。
>しかし、日本では「放置されていた Web サイトの脆弱性を指摘した
>ら不正アクセスで逮捕され、懲役8カ月を求刑される」から、もっと
>酷いか。
スタンダードじゃないブラウザを使っただけで逮捕される可能性が
あるというのなら、私にも同じことが起きる可能性があって、とて
も怖いと思います。
ですが、ACCS不正アクセス裁判の場合、私ならそんな「問題になる
ような行動」をしたりしませんので、怖くありません。
ですので、私にとっては日本のほうが「もっと酷い」とは思えない
です。
Re:こりゃ (スコア:0, 余計なもの)
頼むから、他人の記事に反論する前に、元のタレコミで参照されているニュースぐらい読んでからにしてくれ!
Re:こりゃ (スコア:1)
裁判で証言する事の是非の関連がわかりません。
問題はやはり、不正アクセスという判断が正しいかどうかでは
ないのですか?
Re:こりゃ (スコア:0)
>いずれにせよ、善意で寄付した人間を逮捕っていうのは最低最悪
>「何で寄付した人間が裁判でこの件に関して弁明させられるのか」
と言う風に、寄付したことを重視し、それについてこだわっているように見えることに対してのレスでは?
別に寄付をしたしないと、今回の問題の本質である「アクセスしただけで勝手に犯罪者に仕立て上げられた」と言う
Re:こりゃ (スコア:0)
Re:こりゃ (スコア:0)
>あるというのなら、私にも同じことが起きる可能性があって、とて
>も怖いと思います。
>ですが、ACCS不正アクセス裁判の場合、私ならそんな「問題になる
>ような行動」をしたりしませんので、怖くあ
Re:こりゃ (スコア:1, 興味深い)
> 不正アクセスで逮捕され、懲役8カ月を求刑される」
こういう情報操作はよくありませんねぇ。河合容疑者の件なら
管理者に脆弱性を指摘する前に、集会で手法まで公開したでしょ。
これを「脆弱性を指摘したら逮捕」と省略するのは、国語力の
不足でないとすると、事実を歪曲する意図があったとしか言えません。
元のコメントもアレだけれども (スコア:2, すばらしい洞察)
そっちは民事。刑事の方をよく把握してくれ。
Re:こりゃ (スコア:1, 参考になる)
嘘書いちゃ行けませんね。管理者に脆弱性を指摘してしかるべき期間が
経った後に情報を公開しただけでしょう。公開した情報の中に問題が
あるものがあったのは事実でしょうが。
Re:こりゃ (スコア:0)
>経った後に情報を公開しただけでしょう。
先に管理者に対して通告していたという情報のソースはどこでしょう?
ACCSの大本営発表は元より一般的なニュースサイトや、2chのまとめサイトでの経緯を見ても
プレゼンで公表した後にの当日夜にメールでACCSとJPCERTに通報した事になってるけど。
http://www.askaccs.ne.jp/houkoku3.html
http://www.geocities.jp/officeandaccs/keii.html
ht
Re:こりゃ (スコア:1)
ファーストサーバ株式会社を管理者と呼べるかどうかははっきりしませんが。
Re:こりゃ (スコア:0)
彼は管理者ではありませんので、(#686204)は大嘘なわけですが。
Re:こりゃ (スコア:0)
Re:こりゃ (スコア:0)
時系列からするとファーストサーバが脆弱性に気づいたの(2002末)は
office氏が気づいた時点(2003/7)より早いです。
また、office氏の謝罪文ではファーストサーバに連絡をしたのはACCS等と
同じタイミングに思えます。
http://web.archive.org/web/20031204132307/http://www.office.ac/index.html
それとも
Re:こりゃ (スコア:0)
>関係者で連携しないの?
そんなスタンスだったから、officeはクズ呼ばわりされるわけだが。
関係者に連絡しただけで全てオッケーなのが理想なんだろうが、現実はそうじゃないだろ?
その程度のこともわからないのであれば論外のバカ。
わかっていて、あえて悪
Re:こりゃ (スコア:0)
どうこう言うわけではないけど。
もう既に一審の求刑まで進行している案件に対して、今頃あやふやな印象で
事実関係とか言葉の定義やら愚にもつかないたとえ話でぐだぐだと
オフトピ話をつづけるなら、チ
SSLアクセスログ (スコア:0)
そのWebサーバ側の普通でないイベントって、どんなエラーメッセージだったんでしょうね?
lynxの振る舞いってよく知りませんが、SSLでクライアント認証を要求されたとき
Re:こりゃ (スコア:0)
まるでそのリンク先の記事中に「~」内の記述があるかのような書き方ですが、当然そんな馬鹿な記述はありません。