パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「.svn」「CVS」ディレクトリを狙ってWebサイトの非公開ファイルをゲット 」記事へのコメント

  • by Anonymous Coward
    日本だと「できるかな?」といって安易に試すと罪に問われる可能性があります。
    鍵が掛かってなくてもドラクエもどきに家に入って箪笥を開けてはいけません。

    #WEBサイト相手だと試すのがものすごく安易とはいえ、さぁ。
    • by Anonymous Coward on 2009年09月25日 14時29分 (#1644237)

      鍵がかかってないなら良かったと思いますが。

      親コメント
      • by Anonymous Coward
        セキュリティホールがあっても使ってはいけません。

        >電気通信回線を通じて、アクセス制御機能を持つ電子計算機にアクセスし、識別符号以外の情報や指令を入力し、
        >アクセス制御機能を作動させて、本来制限されている機能を利用可能な状態にする行為

        # 法律の穴にも突っ込んじゃだめですよ
        • by tietew (6130) on 2009年09月25日 14時56分 (#1644249) ホームページ

          ただ、今回の場合は対象のファイル群がアクセス制御下にあったとは言えないため、(日本の不正アクセス禁止法で言う)不正アクセスに該当するとは言い難いと思います。

          例の件では、

          1. アクセス制御下にあり、通常のリクエストでは取得できないファイルを
          2. ディレクトリトラバーサルというセキュリティホールを通じてアクセス制御を迂回し
          3. アクセス可能とした

          ので不正アクセスである、とされました。

          親コメント
          • by Elbereth (17793) on 2009年09月25日 20時54分 (#1644374)
            例の件てのは、Excel……じゃないや、Office事件のことやね。
            親コメント
          • by Anonymous Coward
            > 「例の件では、……ので不正アクセスである、とされました。」

            それは違う。判決文にはそんなふうに書かれてない。
            思い込みを広めるのはやめよう。
          • by Anonymous Coward
            擬似不正アクセスってことですね
      • by Anonymous Coward

        >鍵がかかってないなら良かったと思いますが。
        扉の前に鍵が落ちてる場合は、鍵をかけているもんだと見なしてくれるもんなんでしょうか?
        うちはパスワードかけてるし~とか思ってたら、
        admin, guestがデフォルト設定のままになってることに気がついて慌てて修正しましたorz

      • by Anonymous Coward

        一箇所(ひとつのプロトコル)でも鍵がかかってればアウト [cnet.com]だったと思います。

        • by doda (31157) on 2009年09月25日 22時55分 (#1644406) 日記

          一つのプロトコルでアクセス制御がかかっているだけで即アウトというわけではないと思います。

          リンク先のページで書かれているのは、アクセス制御機能の有無についてですよね。
          アクセス制御機能の有無については、プロトコル毎に別々に考えるのではなく、計算機として持っているかを考えると。
          しかし、不正アクセス禁止法で禁止されているのは、アクセス制御機能によって行われている制限を回避する事です。
          実際、次のページ [cnet.com]では、

          もっとも、本件サーバにアクセス制御機能があるとしても、被告人の本件行為によってなし得る状態になった本件の各特定利用が、アクセス制御機能によって「制限」されていたかについては、さらに検討を要する。

          識別符号を入力してもしなくても同じ特定利用ができ、アクセス管理者が当該特定利用を誰にでも認めている場合には、アクセス制御機能による特定利用の制限はないと解するべきであるが、

          と書かれていますし、HTTPで公開されているコンテンツに関してはアクセス制限がかかっていないと考えていいと思います。

          Office氏の件に関しては、#1644249 [srad.jp]でも書かれているように、HTTPで公開されていないファイルをCGIプログラムの脆弱性を利用してアクセスしたのが問題だったのでしょう。

          親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...