アカウント名:
パスワード:
鍵がかかっているか片っ端から確認して回る行為もまた問題
といっても、ポートスキャンや 脆弱性スキャン(ex. ShellShock スキャン)なんてサイト動かしてれば山のように来るから、IPS入れてても黙って弾いてアノマリ扱いにならない。個人的には ShellShock のスキャンでも、echo vulnerable するだけなら違法とも職業倫理に反するとも言えない。SQL injection も、認証が不要な範囲で試すことは出来るでしょうし。
個人的に許されない範囲は法律的に明らかな違法である許可・認証が必要な領域に、それらを飛ばして入ったりする行為ですかね・・・。また、第3者がShellShock 脆弱性があると確認するために echo vulnerable するのと、cat /etc/passwd するのでは、後者には悪意があると判断します。
世の中には、たとえば ssh をスキャンして同じ鍵が使われている!っていう論文https://www.usenix.org/conference/usenixsecurity12/technical-sessions/... [usenix.org]が あるけど、これも脆弱性の確認行為ではある。個人的にはこの程度のことをサイバー攻撃だ許すな、など騒ぐ時間があれば、もっと対策に力を入れてほしい。
まぁ、FACTA記事がどの程度の攻撃をしているかわからんので、この文章も的外れかも知れないけど。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
鍵がかかっていない家は問題として (スコア:0)
鍵がかかっているか片っ端から確認して回る行為もまた問題
Re:鍵がかかっていない家は問題として (スコア:1)
といっても、ポートスキャンや 脆弱性スキャン(ex. ShellShock スキャン)なんて
サイト動かしてれば山のように来るから、IPS入れてても黙って弾いてアノマリ扱いにならない。
個人的には ShellShock のスキャンでも、echo vulnerable するだけなら違法とも職業倫理に反するとも言えない。
SQL injection も、認証が不要な範囲で試すことは出来るでしょうし。
個人的に許されない範囲は法律的に明らかな違法である
許可・認証が必要な領域に、それらを飛ばして入ったりする行為ですかね・・・。
また、第3者がShellShock 脆弱性があると確認するために echo vulnerable するのと、
cat /etc/passwd するのでは、後者には悪意があると判断します。
世の中には、たとえば ssh をスキャンして同じ鍵が使われている!っていう論文
https://www.usenix.org/conference/usenixsecurity12/technical-sessions/... [usenix.org]
が あるけど、これも脆弱性の確認行為ではある。
個人的にはこの程度のことをサイバー攻撃だ許すな、など騒ぐ時間があれば、
もっと対策に力を入れてほしい。
まぁ、FACTA記事がどの程度の攻撃をしているかわからんので、この文章も的外れかも知れないけど。