アカウント名:
パスワード:
改竄されたサイトが最近は非常に多いですよね。
VPSやらホスティングやらで、Linuxサーバを使うところが増える一方、その運用の能力が無いんですね。
愉快犯がメッセージを残していく改竄だけなら部外者は知らんふりもできるんですが、マルウェアダウンロード先への誘導が仕掛けられることがほとんどなので放置もできません。そのため、発見した被害サイトにはいちいち通報しているのですが、これからは要注意ですね。脆弱性スキャンをしてみつけるのと、実際に不正スクリプトを踏まされて見つけるのとでは別物ですけど、場合によっては善意の報告者への恩を仇で返すことをされるかもしれません。
改竄サイトや脆弱性を抱えたサイトの情報を集約する機関を、警察庁か総務省あたりで整備する必要があるんじゃないでしょうか。通報しても全然直さないサイトも少なくなく、強制的にサイトを一時閉鎖させる権限もあればなお良いのですが。
ACCS事件から何も学んでいないんですね。あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
犯罪の動機として自己顕示欲というのはよくあるものなので、一般的的な感覚からするとそのような行動は非常に怪しまれるわけです。自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。
悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
GoogleやTwitterへの報告については自己顕示的な部分があるかとは思うけれど、それはさておき。
問題を最初にセキュリティカンファレンスで公開したoffice氏の経緯 [geocities.jp]と、内密にサービス提供者へ情報を提供し、恐らくプロバイダの件がなければ特に表沙汰になることはなかっただろう今回の経緯は、「技術的な顕示欲」という点で同一視ができるとは到底思えないのだが。
発見した問題を内密に報告するというのは単純に善行だと思うのだけれど、その行為に対して「インターネット接続環境の停止」という形で返事があったことに対して企業名を出すのは、懲罰的・報復的ではあるとは思うが、自己顕示的と言えるかどうか。
> 悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。この一文だけはとても同意するけれど。
> ACCS事件から何も学んでいないんですね。> あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。> しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
その自己顕示欲とは、欠陥を突いて入手した情報を第三者に見せびらかした行為のこと。もちろん、感情だけで犯罪を構成することはない。実際に有罪とされた行為は、CGIの欠陥を突くことで、ftpサーバに対するログインを回避して情報を入手した行為。
今回はログインを回避して情報を取得したわけではなく、当事者に報告しただけ。それなのに対応が酷いから「ベネッセさん」と書いて批判した。
当事者(サービス提供者)に欠陥を報告する行為がすべて犯罪になるのでは、多くの善意が期待できなくなり、刑法を根本から変えてしまう。(お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)
(お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)
これ思い出した。
http://matomade.2chblog.jp/archives/31385831.html [2chblog.jp]
86: 以下、名無しにかわりましてVIPがお送りします 2013/08/08(木) 05:09:41.11 ID:i3JiNI900>>72警察官から「なにやってるんです?」と言われて「鍵の施錠確認を・・・」と答えたら「このマンションの住人から苦情があり巡回してまし
マンションの各部屋の玄関のかぎが閉まっているか、全部回ってガチャガチャ開けてみた。すると開いている部屋を見つけた。ついでに中に侵入までしてみた。次に、仲間を集めてきて、その玄関が施錠されていないと説明し、皆の前で開けて侵入して見せた。その場で見ていた何人かが、実際に開けて中を覗き込んで侵入までした。
これじゃ擁護出来んわ。
なんで侵入したことにしたがるんだろ。
セールスマンがマンションの各部屋を訪ねて回った。その際に呼び鈴を鳴らし、返事がないので聞こえてないのかと思いドアを開けて声をかけた。それでも返事がなく留守だと分かった。不用心だなと思い管理人(管理会社)に知らせておいた。すると出禁を喰らってしまった。その上なぜか勝手に部屋に入ったことにまでされてしまっている。
XSSだと実際には「穴(扉・窓)」ですらないですからねえ玄関先に置かれていたバット持って「危ないなあ」って言ってたら鍵のかかったドアの中に居たその家の人を狙ったことにされてる。
>お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?
犯罪にはならないかも知れないが、なんでそんなとこまで見てんの?って疑心暗鬼になりそうだ
技術的な顕示欲、いいことではありませんか。何が悪いんでしょうか?検察が動機の説明に「顕示欲から」と書くのには問題はないと思いますが、別にその「顕示欲」自体が罪になったわけではないでしょう。ACCSの裁判での用法は、行った内容(不正アクセス)に対する量刑を補強するファクターでしかありません。
「独善性」(他人の不利益をかえりみず)という言葉を考えてみてください。例えば食物を摂取することには他人の介入する余地はありませんから、「独善」で普通に飯を食っても罪には問われません。一方「独善」で「強盗」を働くと、情状酌量の余地がある場合と比べて重い量刑になるでしょう。でも、それだけです。「独善」自体は罪じゃありません。同様に自己顕示欲も罪ではありません。あえて言うなら、自己顕示欲は、+-には関わらず、善悪の程度を増減するファクターになるという程度です。
一方今回の内容は個人主義への無理解+主観と客観の混同にすぎません。人がどんな欲を持とうが、それこそ個人の自由です。今回の事件でもし「自己顕示欲」が今回の対応の原因になったのなら、「自己顕示欲は悪」という会社側の勝手な価値観が判断をバイアスさせたのでしょう。プロバイダが裁判官の真似事をしようとしても、法律を勉強していないのだから間違いを犯すのは当然です。
だから、> 我々の間で共有している論理が誰にでも通用するわけではないというふうに控えめに対応する必要は全くない。その論理はスラドのようなコミュニティだけに通用するものではなく、きちんとした社会では通用して当然の論理です。なにせ、一般に存在している> 犯罪の動機として自己顕示欲というのはよくあるものなので、一般的な感覚からするとそのような行動は非常に怪しまれるという感覚は、「犯罪者の100%は水を飲んでいる。だから水を飲んでいると怪しまれる」ぐらいの誤謬なわけです。コストは掛かりますが、裁判すれば勝てます。(コストに見合うかという点はさておき)
社会はより良い方向に向かっていますが、まだ野蛮人が残っていたというだけです。
# 正義が勝つにはスゴイ時間がかかりますが、いつかは勝つはずという楽観的な思想。
顕示欲が悪いのではなく、顕示欲による身勝手な犯行ということで正当性が無いってことです。
例えば被害者に良かれと思って善意からやったのであれば情状酌量できる余地があるんですが、顕示欲による身勝手な犯行なので悪質であるという主張です。
ああ、脆弱性を報告した人に対して
例えば被害者に良かれと思って善意からやったのであれば情状酌量できる余地があるんですが
このような解釈を取ってるのか。(動機の善悪はともかくとして)行為自体が悪という前提なのなら、コラッタの人とは会話がかみ合わんだろう。
#2458734と#2458940のACは同一人物なんだろうけれど、この件で「我々の間で共有している論理」なんて言わないで欲しいな。
ACCS事件は、技術的な顕示欲と言われてもしょうがないでしょう。そういう発表の場でやって見せたんですから。
善意で、被害者や、問題を抱える人にアドバイスを贈ることが逆手に加害者であると判断されることは間違いであるというのとはだいぶ違います。
>自分のことを「善意の報告者」だと思っていても、
偶然見つけたのならともかく、勝手にスキャンして調べた場合には「自己顕示欲の塊」と取られてもしょうがないでしょう。せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
これ、どうなんだろう。
もし、一報入れるなんて面倒なハードルができたら、無償での脆弱性検査はやり辛くなるだろうし、その一方で悪用目的の奴は無断で調べて黙って悪用するだろう。恐らく状況は悪くなる。
>>せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
だったら、ユーザーがそのサイトを見る前にベネッセの許可を取るように書いておくべきだな。
XSSについて調べてこい
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
改竄被害サイトへの通報 (スコア:2, 興味深い)
改竄されたサイトが最近は非常に多いですよね。
VPSやらホスティングやらで、Linuxサーバを使うところが増える一方、その運用の能力が無いんですね。
愉快犯がメッセージを残していく改竄だけなら部外者は知らんふりもできるんですが、マルウェアダウンロード先への誘導が仕掛けられることがほとんどなので放置もできません。
そのため、発見した被害サイトにはいちいち通報しているのですが、これからは要注意ですね。
脆弱性スキャンをしてみつけるのと、実際に不正スクリプトを踏まされて見つけるのとでは別物ですけど、場合によっては善意の報告者への恩を仇で返すことをされるかもしれません。
改竄サイトや脆弱性を抱えたサイトの情報を集約する機関を、警察庁か総務省あたりで整備する必要があるんじゃないでしょうか。
通報しても全然直さないサイトも少なくなく、強制的にサイトを一時閉鎖させる権限もあればなお良いのですが。
Re:改竄被害サイトへの通報 (スコア:1)
ACCS事件から何も学んでいないんですね。
あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
犯罪の動機として自己顕示欲というのはよくあるものなので、一般的的な感覚からするとそのような行動は非常に怪しまれるわけです。
自分のことを「善意の報告者」だと思っていても、報告された側から「自己顕示欲の塊」と見えていませんか。
「~。ベネッセさん。」とブログに書く人物は、そのような人たちからどのように見えるでしょうか。
悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
Re:改竄被害サイトへの通報 (スコア:4, 参考になる)
GoogleやTwitterへの報告については自己顕示的な部分があるかとは思うけれど、それはさておき。
問題を最初にセキュリティカンファレンスで公開したoffice氏の経緯 [geocities.jp]と、
内密にサービス提供者へ情報を提供し、恐らくプロバイダの件がなければ特に表沙汰になることはなかっただろう今回の経緯は、
「技術的な顕示欲」という点で同一視ができるとは到底思えないのだが。
発見した問題を内密に報告するというのは単純に善行だと思うのだけれど、
その行為に対して「インターネット接続環境の停止」という形で返事があったことに対して企業名を出すのは、
懲罰的・報復的ではあるとは思うが、自己顕示的と言えるかどうか。
> 悲しいですが、我々の間で共有している論理が誰にでも通用するわけではないのです。
この一文だけはとても同意するけれど。
Re:改竄被害サイトへの通報 (スコア:3)
> ACCS事件から何も学んでいないんですね。
> あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
> しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
その自己顕示欲とは、欠陥を突いて入手した情報を第三者に見せびらかした行為のこと。もちろん、感情だけで犯罪を構成することはない。
実際に有罪とされた行為は、CGIの欠陥を突くことで、ftpサーバに対するログインを回避して情報を入手した行為。
今回はログインを回避して情報を取得したわけではなく、当事者に報告しただけ。それなのに対応が酷いから「ベネッセさん」と書いて批判した。
当事者(サービス提供者)に欠陥を報告する行為がすべて犯罪になるのでは、多くの善意が期待できなくなり、刑法を根本から変えてしまう。
(お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)
Re: (スコア:0)
(お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?)
これ思い出した。
http://matomade.2chblog.jp/archives/31385831.html [2chblog.jp]
86: 以下、名無しにかわりましてVIPがお送りします 2013/08/08(木) 05:09:41.11 ID:i3JiNI900
>>72
警察官から「なにやってるんです?」と言われて「鍵の施錠確認を・・・」と答えたら
「このマンションの住人から苦情があり巡回してまし
Re: (スコア:0)
マンションの各部屋の玄関のかぎが閉まっているか、全部回ってガチャガチャ開けてみた。
すると開いている部屋を見つけた。
ついでに中に侵入までしてみた。
次に、仲間を集めてきて、その玄関が施錠されていないと説明し、皆の前で開けて侵入して見せた。
その場で見ていた何人かが、実際に開けて中を覗き込んで侵入までした。
これじゃ擁護出来んわ。
Re: (スコア:0)
なんで侵入したことにしたがるんだろ。
セールスマンがマンションの各部屋を訪ねて回った。
その際に呼び鈴を鳴らし、返事がないので聞こえてないのかと思いドアを開けて声をかけた。
それでも返事がなく留守だと分かった。
不用心だなと思い管理人(管理会社)に知らせておいた。
すると出禁を喰らってしまった。
その上なぜか勝手に部屋に入ったことにまでされてしまっている。
Re: (スコア:0)
XSSだと実際には「穴(扉・窓)」ですらないですからねえ
玄関先に置かれていたバット持って「危ないなあ」って言ってたら鍵のかかったドアの中に居た
その家の人を狙ったことにされてる。
Re: (スコア:0)
>お隣さんが玄関の鍵をかけ忘れて出かけようとするとき、指摘したら犯罪になるのだろうか?
犯罪にはならないかも知れないが、なんでそんなとこまで見てんの?って疑心暗鬼になりそうだ
Re:改竄被害サイトへの通報 (スコア:2)
技術的な顕示欲、いいことではありませんか。何が悪いんでしょうか?
検察が動機の説明に「顕示欲から」と書くのには問題はないと思いますが、
別にその「顕示欲」自体が罪になったわけではないでしょう。
ACCSの裁判での用法は、行った内容(不正アクセス)に対する量刑を補強するファクターでしかありません。
「独善性」(他人の不利益をかえりみず)という言葉を考えてみてください。
例えば食物を摂取することには他人の介入する余地はありませんから、
「独善」で普通に飯を食っても罪には問われません。
一方「独善」で「強盗」を働くと、情状酌量の余地がある場合と比べて重い量刑になるでしょう。
でも、それだけです。「独善」自体は罪じゃありません。同様に自己顕示欲も罪ではありません。
あえて言うなら、自己顕示欲は、+-には関わらず、善悪の程度を増減するファクターになるという程度です。
一方今回の内容は個人主義への無理解+主観と客観の混同にすぎません。
人がどんな欲を持とうが、それこそ個人の自由です。
今回の事件でもし「自己顕示欲」が今回の対応の原因になったのなら、
「自己顕示欲は悪」という会社側の勝手な価値観が判断をバイアスさせたのでしょう。
プロバイダが裁判官の真似事をしようとしても、法律を勉強していないのだから間違いを犯すのは当然です。
だから、
> 我々の間で共有している論理が誰にでも通用するわけではない
というふうに控えめに対応する必要は全くない。
その論理はスラドのようなコミュニティだけに通用するものではなく、きちんとした社会では通用して当然の論理です。
なにせ、一般に存在している
> 犯罪の動機として自己顕示欲というのはよくあるものなので、一般的な感覚からするとそのような行動は非常に怪しまれる
という感覚は、「犯罪者の100%は水を飲んでいる。だから水を飲んでいると怪しまれる」ぐらいの誤謬なわけです。
コストは掛かりますが、裁判すれば勝てます。(コストに見合うかという点はさておき)
社会はより良い方向に向かっていますが、まだ野蛮人が残っていたというだけです。
# 正義が勝つにはスゴイ時間がかかりますが、いつかは勝つはずという楽観的な思想。
新人。プログラマレベルをポケモンで言うと、コラッタぐらい
Re: (スコア:0)
顕示欲が悪いのではなく、顕示欲による身勝手な犯行ということで正当性が無いってことです。
例えば被害者に良かれと思って善意からやったのであれば情状酌量できる余地があるんですが、顕示欲による身勝手な犯行なので悪質であるという主張です。
Re: (スコア:0)
ああ、脆弱性を報告した人に対して
例えば被害者に良かれと思って善意からやったのであれば情状酌量できる余地があるんですが
このような解釈を取ってるのか。
(動機の善悪はともかくとして)行為自体が悪という前提なのなら、コラッタの人とは会話がかみ合わんだろう。
#2458734と#2458940のACは同一人物なんだろうけれど、
この件で「我々の間で共有している論理」なんて言わないで欲しいな。
Re: (スコア:0)
> ACCS事件から何も学んでいないんですね。
> あれは不正アクセス事件でしたので、不正アクセスにあたるかどうかという点ばかり議論されていました。
> しかし、検察が上げた動機が「技術的な顕示欲から犯行に及んだ」となっていることを見過ごしていませんか。
ACCS事件は、技術的な顕示欲と言われてもしょうがないでしょう。
そういう発表の場でやって見せたんですから。
善意で、被害者や、問題を抱える人にアドバイスを贈ることが逆手に加害者であると判断されることは間違いであるというのとはだいぶ違います。
>自分のことを「善意の報告者」だと思っていても、
Re: (スコア:0)
偶然見つけたのならともかく、勝手にスキャンして調べた場合には「自己顕示欲の塊」と取られてもしょうがないでしょう。
せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
これ、どうなんだろう。
もし、一報入れるなんて面倒なハードルができたら、無償での脆弱性検査はやり辛くなるだろうし、
その一方で悪用目的の奴は無断で調べて黙って悪用するだろう。恐らく状況は悪くなる。
Re: (スコア:0)
>>せめて事前に「ボランティアで脆弱性検査をしています。貴社のサイトを調べてもよろしいか?」と一報入れておくべき。
だったら、ユーザーがそのサイトを見る前にベネッセの許可を取るように書いておくべきだな。
Re: (スコア:0)
Re: (スコア:0)
XSSについて調べてこい
Re: (スコア:0)