アカウント名:
パスワード:
とは言っても、実際、もうこの話、お隣さんとかに伝わってると思うので、今のまま、国内向けに脅しても、国外からの不正アクセスはどうにもならないですよ。穴は開いたままなんでしょうから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
なんか誰も書いてないけど (スコア:3, 参考になる)
それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。
もちろん.svnとかソースのtarとかを公開ディレクトリに置いて外部からアクセス可能になってる場合は問題だけど、
https://www.example.com:443/bks.svl/%c0%ae%c0%ae/HTML_JS/CVS/Root
みたいなURLは脆弱性を利用したアクセスであって、公開情報とは言わないと思うよ。
(実際はどうか知らないけど、そもそも脆弱性を利用しないパターンのアクセスは禁止されてた可能性もあるわけで)
当然、脆弱性のある(しかも修正が公開されている)フレームワーク使ってるのが一番の問題。
でも、仮に通常アクセスへの制限が行われていたとすると、上記の脆弱性を利用したアクセスって言うのは、
いわゆる不正アクセス禁止法に引っかかる可能性が高い(三条2項の二)。
こう言う簡単なアクセスで攻撃できてしまうパターンって、imgタグか何かで無実の人が攻撃者に
見せかけられる可能性もあるし、厄介だね。
今回の場合は、これらのURLを公開情報だと思ってアクセスしちゃった人たちは過失犯で対象外だけど、
この脆弱性を見つけて、URLを面白がって公開した人なんかはかなりマズいんじゃないかと思う。
それとも、脆弱性の攻撃方法って「他人の識別符号」じゃないから、不正アクセス禁止法での
「不正アクセス行為を助長する行為」には含まれてなくて大丈夫だったりするのかな?
Re: (スコア:0)
とは言っても、実際、もうこの話、お隣さんとかに伝わってると思うので、
今のまま、国内向けに脅しても、国外からの不正アクセスはどうにもならないですよ。
穴は開いたままなんでしょうから。
Re: (スコア:0)
もし修正が適用できないのであれば、SymbolicLinkをたどれる設定をオフにするなどの対応をしないと。
(これは皆さん異論あるかもしれないけど)HTTPサーバーや、アプリケーションサーバーが稼動するサーバーでは、シンボリックリンクを使っちゃだめです(使える設定にしちゃだめです)。セキュリティ上の問題を起こしやすいから。
#これでうちの製品もいろいろ問題を起こしたのでAC。
Re: (スコア:0)
3条実行犯に対する教唆犯(刑法61条)になるでしょう。