アカウント名:
パスワード:
http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]下手に直接連絡すると不正アクセスしたと訴えられかねん
個人がやったら不正アクセスになることでもIPAがやったらならないなんてことは一切ないのに不思議な話だ。大事なことだからもう一度言うがIPAには不正アクセスの調査に関して別に警察のような特別な権限は一切与えられていない。
権限の問題じゃなくて、身分の問題です。セキュリティ問題に無知な民間企業の担当者が
1.どこの馬の骨とも知れない個人に脆弱性を指摘された2.公的機関に脆弱性を指摘された
指摘した相手が個人の場合、聞く耳持たずに犯罪者扱いする危険性が高いってこと。逆に、役人の言うことなら聞き入れるって人はそれなりにいますからね。
身分の問題ですらない。管理者の許可を得たアクセスならば合法なだけ。
身分の問題ですよ。法律に基づいた業務行為による指摘と、単なる一市民では法的身分が異なります。
言い換えると、無視すると行政処分が飛んでくる相手と、無力な一市民の差ですね。一市民が暴れても、名誉毀損扱いされたり犯人扱いされるだけですからねぇ…。公務員は、そこらへん法律で守られますので。正当教務行為ですから。
管理者への許可も、IPAが確認するためなら不要だったりしないのかな?
(「不正アクセスせずに脆弱性を見つけた」というケースは置いといて)”本人”が直接通報したら「不正アクセスしたことを自ら暴露した」となって”本人”が疑われるけど、”本人”がIPAに匿名通報し、IPAからご連絡が入るなら、IPAは当然不正アクセスしていないのだから摘発対象にはならない、という話をすべきだったんじゃないかなぁ。
話の流れ的には「通報しただけなのに一般人は摘発されてIPAなら摘発されない、なぜならIPAは偉いからだ」みたいな話になっちゃってるけど。
おっと、IPAへの通報は匿名ではありませんでしたね、そこは誤りです。
本当にたまたま通常の操作をしていて脆弱性を発見してしまったのなら、堂々と企業とIPAに通報すれば良い。不正アクセスの故意が無いから問題にならない。管理者の欠陥を暴いてやろうという意図で故意に嗅ぎ回って発見した場合は不正アクセスの故意があるから犯罪になる。つまり、普通に過ごしていてたまたま欠陥を見つけた無実の人が罪に問われる可能性はないから安心。こっそり鼻を明かしてやろうという犯罪性向の持ち主だけが処罰されるから何の問題もないのさ。
そううまく行きませんよ。故意のない操作で脆弱性に気がつく場合は結構ありますが、それが脆弱性として通報すべきかどうかまでその時点で判明することは稀です。
この記事の場合で考えてみましょう。「URLのみで文書にアクセスできて、文章IDらしきものを変えればだれでも読めるようにみえた」「URLの文章IDらしきものを変更したら実際に閲覧可能なことが判明した」これら2ステップで脆弱性だと確認していますが、あなたの理論では2ステップ目は不正アクセスになる可能性が高いので行うことが出来ません。しかし1ステップ目の段階ではIPAなどの組織に報告するには
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
IPAに連絡 (スコア:5, 参考になる)
http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]
下手に直接連絡すると不正アクセスしたと訴えられかねん
Re: (スコア:0)
個人がやったら不正アクセスになることでもIPAがやったらならないなんてことは一切ないのに不思議な話だ。
大事なことだからもう一度言うがIPAには不正アクセスの調査に関して別に警察のような特別な権限は一切与えられていない。
Re: (スコア:0)
権限の問題じゃなくて、身分の問題です。
セキュリティ問題に無知な民間企業の担当者が
1.どこの馬の骨とも知れない個人に脆弱性を指摘された
2.公的機関に脆弱性を指摘された
指摘した相手が個人の場合、聞く耳持たずに犯罪者扱いする危険性が高いってこと。
逆に、役人の言うことなら聞き入れるって人はそれなりにいますからね。
Re: (スコア:-1)
身分の問題ですらない。
管理者の許可を得たアクセスならば合法なだけ。
Re:IPAに連絡 (スコア:0)
身分の問題ですよ。
法律に基づいた業務行為による指摘と、単なる一市民では法的身分が異なります。
言い換えると、無視すると行政処分が飛んでくる相手と、無力な一市民の差ですね。
一市民が暴れても、名誉毀損扱いされたり犯人扱いされるだけですからねぇ…。
公務員は、そこらへん法律で守られますので。正当教務行為ですから。
管理者への許可も、IPAが確認するためなら不要だったりしないのかな?
Re: (スコア:0)
(「不正アクセスせずに脆弱性を見つけた」というケースは置いといて)
”本人”が直接通報したら「不正アクセスしたことを自ら暴露した」となって”本人”が疑われるけど、
”本人”がIPAに匿名通報し、IPAからご連絡が入るなら、IPAは当然不正アクセスしていないのだから摘発対象にはならない、
という話をすべきだったんじゃないかなぁ。
話の流れ的には「通報しただけなのに一般人は摘発されてIPAなら摘発されない、なぜならIPAは偉いからだ」みたいな話になっちゃってるけど。
Re: (スコア:0)
おっと、IPAへの通報は匿名ではありませんでしたね、そこは誤りです。
Re: (スコア:0)
本当にたまたま通常の操作をしていて脆弱性を発見してしまったのなら、堂々と企業とIPAに通報すれば良い。
不正アクセスの故意が無いから問題にならない。
管理者の欠陥を暴いてやろうという意図で故意に嗅ぎ回って発見した場合は不正アクセスの故意があるから犯罪になる。
つまり、普通に過ごしていてたまたま欠陥を見つけた無実の人が罪に問われる可能性はないから安心。
こっそり鼻を明かしてやろうという犯罪性向の持ち主だけが処罰されるから何の問題もないのさ。
Re: (スコア:0)
そううまく行きませんよ。
故意のない操作で脆弱性に気がつく場合は結構ありますが、
それが脆弱性として通報すべきかどうかまでその時点で判明することは稀です。
この記事の場合で考えてみましょう。
「URLのみで文書にアクセスできて、文章IDらしきものを変えればだれでも読めるようにみえた」
「URLの文章IDらしきものを変更したら実際に閲覧可能なことが判明した」
これら2ステップで脆弱性だと確認していますが、
あなたの理論では2ステップ目は不正アクセスになる可能性が高いので行うことが出来ません。
しかし1ステップ目の段階ではIPAなどの組織に報告するには