アカウント名:
パスワード:
氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。
ただその指摘の仕方や相手の都合を考えない要求とかが多くて、反感を買う事がおおいんですよ。 それじゃなくてもナイーブな問題になりがちなのに、鬼の首を取ったような感じのメールが来ますからね。
同感。って私はその辺の担当ではないので、そういうメールをもらったことはありませんが。
ただ周囲の似たような事例では、
彼にだってACCSのサーバに対
勿論、放置する事自体は余り誉められた事では無いでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
office氏の指摘って… (スコア:1, すばらしい洞察)
あるところならばむしろoffice氏の指摘は結構役に立つと
思うのですけど…私の認識は甘いののですかね?
# 近くに本当に役に立った人がいるのでAC
Re:office氏の指摘って… (スコア:3, 興味深い)
からメールで指摘が来たことがあります。
指摘そのものは、役には立ちましたが(苦笑)、かなり失礼というか、「御社
のサイトに脆弱性があったことや、その対応を○月○日に、公表させていた
だきます」と、脅迫紛いの文面に、内心ブチ切れながら、丁寧なお礼の返事を
書いたことがあります(当然、問題点を即座に直してから)。
はっきり言って、office氏の対応次第では、一歩間違えば会社に多大の損害
を与えかねないですし、返答しないのは返答しないのでマズいことが予想され、
返答をするにも、下手なことは書けないので、ともかく慎重にならざるを得ま
せんでしたが、「期限」まで時間もなかったので、そこの部門長と相談のうえ、
あくまで丁寧にお礼を述べ、かつ個人的な見解であることを断ったうえで、
対応を説明しました。
彼のような指摘のメールでは、返事を書くにしても法務部などにチェックを
仰がなければならないと考えて、返答をしないという選択をしても誰も責め
られないでしょう。
こっちは、会社やWebサイトの評判がかかっているのに、彼は office などと
いうふざけた匿名の臆病者で、おまけにすべてにおいて高圧的かつ、見下した
態度(引用したいのですが、それができないのが残念です)でして、まともな
対応をしろというのは、ごく普通の現場担当者には酷というものです。
こう書くと、プロとしていかがなものか? と書く人が絶対いるかもし
れませんが、すべてのエンジニアが、初めからセキュリティを意識した
コードを書けたわけではないですし、かつてのXSSもそうですが、新た
に指摘された脆弱性は、多くのエンジニアが見落していたことだって
あったはずです。
もちろん、今、XSSの問題を抱えたサイトを作るのは、どうかと思いま
すし、今回のACCSのような脆弱性は「有り得ない」と呆れるくらいです
が、よほどの天才でない限り、CGI覚えたての新米エンジニアが、最初
から、それを分かっているとは思えません(それは、教育の仕方や勉強の
仕方や教材に問題があるといえば、そうなんですが、現実とはそんなもの)。
彼のように、受け取った側が『固まってしまう』ような、やりかたでは、
まったく逆効果です。
本当にセキュリティレベルを向上したいのなら、もっとまっとうに、教育
の機会を提供するとか、ほかのアプローチを考えるべきでした。
会社などの中で仕事をしている人なら、コストなどとの兼ね合いで、
さまざまなトレードオフに悩まされているでしょう。既知のセキュリティ
ホールへの対応は当然するとしても、未知(少なくとも自分達にとって)の
ものに対応する余裕があるかというと、常に十分な対応はできないでしょう。
良くも悪くも、そうした現実を見据えたうえで、前向き、かつ地道な
活動をすべきですが、結局のところ、彼や彼を擁護する人々は、そうした
社会性やバランス感覚が欠如しているのでしょう。
ブタ箱に入れるのではなく、そうした社会性を勉強する経験をさせあげ
たいものです。
# ヤバいけど、昔の話だし、スラドのIDなんて所詮ACみたいなものなので、ID
Re:office氏の指摘って… (スコア:2, 興味深い)
で、書いてしまったのですが、ちょっと、その前後のメールを漁ってい
たら、氏の指摘へのお礼+対応状況の説明のために私が送ったメールに
対するOffice氏からの返事が見付かりました。そこで彼は、
> 大きな問題とはならないはずの脆弱性問題でも、すぐに対応
> されたのはすばらしいことだと思います。
とか書いてくれて(笑)いたのですが、まぁ、改めてそのメールを読んで
みると、お互い同じエンジニア(?)的視線で話せば、決して悪い男でないの
だな、という印象は受けました(正直言えば、何様のつもりだとも思わ
なくもないですが)。
せっかく使命感には燃えていたものの、常識が欠如していたのと、コミュ
ケーション能力に問題があったがために、こういうことになってしまっ
たと考えると、ちょっとかわいそうでもあります。自業自得とはいえ。
Re:office氏の指摘って… (スコア:1, すばらしい洞察)
無能で笑われる人生を選ぶよなぁ。
Re:office氏の指摘って… (スコア:1)
> 能無しのくせに。笑わせるな。
確かに、私はミスを犯しましたよ、笑いたければ、笑えばよい
でしょう。私自身もなさけないミスだったと思いますから。
だが、私は能なしでなんかないと、プロとしてのプライドを
賭けてそう言えます。
ミスはミスとして認め、成長していくのが人間でしょう。
それとも、そういうあなたは、ミスをしないとでも。生まれた時から
今まで常に完璧なプログラマだったとでも?
ならば、そう言っていなさい。言うのは勝手ですが、すくなくとも
そのようなことを書く人物には誰も仕事は頼まないし、友達にもなり
たくないでしょう。それだけのことです。
Re:office氏の指摘って… (スコア:1)
> と言えるだけの資格があるか疑問を感じる。
それは、言いすぎだった。その点は素直に認めます。
> それともパスポートのコピーでも送ってもらわないと受け付けないのか
だれもそんなことは言っていません。実際指摘は受付けたし、対応もしたわけです。
まぁ、あなたにしてみればツッコミどころ満載なのでしょうが、Office氏のメールも、書き方一つで指摘を受ける側の印象や対応がまったく異なるであろうことには、同意いただけるのではないですか?
ACCSでの個人情報漏洩は、非難されてしかるべきだが、彼は、おそらく彼自身として正義を貫きたくて、ああいうことをしてきたのだろうし、だからこそ、セキュリティホールを放置しているサイトが許せないんだろうな、ということも想像はできます。だったら、もうちょっと指摘を受ける側の気持にたって行動していれば、感謝されこそすれ、今回のように逮捕されるようなことはなかったんじゃないかな、と思うと残念なわけですよ。
XSSの問題で常に気になっているのは、それを問題として騒いでいる多くの人々が、XSSによってどのようなケースで、どの程度のセキュリティ上のインパクトがあるのか、正確に理解しているのかという点です。少なくともOffice氏は、当然理解されておられたようでしたが、私が彼から指摘を受けたサイトでは、Cookieを利用してはおらず、Cookieに含まれる情報の取得やセッションハイジャックなどの危険もなく、XSSが原因で利用者の個人情報に危険が及ぶことなどはないため、残念ながら優先度が低いと判断せざるをえず、彼からの指摘の少し前に判明はしていたのですが、すぐには対応できなかったのが現実でした。彼から対応状況を一般公開する〆切を設定されたことで、一気に最優先案件になったわけなのです。
彼が、単純に、こういう問題がありますよ。と指摘してくれただけで、○月○日に対応状況を公開する、といったことを言わなければ、「ありがとう、こういう事情で、対応が遅れているんだが、なんとか早く対応するよ」と言って、良好な関係が築けたはずなんですけどね。実際、彼はそのサイトでのXSSのインパクトは低く、緊急性は高くないことは理解してくれましたから。
Re:office氏の指摘って… (スコア:1)
その点、多いに反省です。
アドバイス感謝いたします。
Re:office氏の指摘って… (スコア:1)
ただその指摘の仕方や相手の都合を考えない要求とかが多くて、反感を買う事がおおいんですよ。
それじゃなくてもナイーブな問題になりがちなのに、鬼の首を取ったような感じのメールが来ますからね。
個人的にはガキが調子に乗りすぎてタイーホかーとw
May the 4th B w/z U
Re:office氏の指摘って… (スコア:4, 興味深い)
けど、ここで重要なのは不正アクセス禁止法に抵触するとして逮捕されたんだな。
不正アクセス禁止法を簡単に説明すると、
"鍵がないと通れない扉"を開く際に使った鍵が、
不正な手段でもって手に入れたものであった場合に適用される法律
なんだよね。
氏が主張しているように、今回では鍵が無いところを通った形になる。けども、警察は「不正アクセス禁止法に抵触する」といっているんだ。
その際に手に入れた情報を公開したのがマズかったのなら、それを理由に他の刑法に抵触するとして逮捕するのが妥当。それができないからといって、不正アクセスにあたると無理を通すのは不当逮捕だと思うのよ。
彼が、個人情報を公共の場で全く漏らさなかったならば、
単に「○○ではXXに穴があって□□という方法で情報が抜ける」としか言わなかったとしたら、
しかし実際に彼が情報を入手していたとしたら、
その時には不正アクセスとして逮捕されていただろうか。
Re:office氏の指摘って… (スコア:2, 参考になる)
Re:office氏の指摘って… (スコア:3, すばらしい洞察)
要するに、うちは被害者で悪くは無い、責任は無い。理事会を始め誰も責任を取る必要が無い。減法も懲戒も無い。肩書きにも傷がつかない。そういうことです。
情報漏洩でACCS訴える人が出るか、どっかのメディアが今回の個人情報漏洩の不祥事に関する責任を組織としてどう取るつもりか問い質せば明るみにでますが。
気になるのは起訴の理屈が通ると元々公道であっても、都合が悪ければセキュリティホールを突いた不正アクセスに仕立て上げられるってことですね。
極端な事を言うと日々利用してたanonftp鯖が「anonで入れたのうちの設定ミス。ホントはanonはダメなつもりだった。不正アクセスに該当するから警察に突き出すね」と言える訳で・・・・
普通の人はそんなみっともない事は出来ませんが(笑
Re:office氏の指摘って… (スコア:2)
>要するに、うちは被害者で悪くは無い、責任は無い。理事会を始め誰も責任を取る必要が無い。減法も懲戒も無い。肩書きにも傷がつかない。そういうことです。
>情報漏洩でACCS訴える人が出るか、どっかのメディアが今回の個人情報漏洩の不祥事に関する責任を組織としてどう取るつもりか問い質せば明るみにでますが。
俺はACCSは好きではないし、はっきり言えば嫌いです。中古ゲームと歩む会ユーザーの会の活動に参加していたことすらあるくらいですから。
ただ、ACCSがそう言った考えに基づいてと言う考えは憶測でしかないと思いますね。
>ACCSは研究員の逮捕について、「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません」とコメントしている。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
といった記事も出ていることから、ACCSはCGIの脆弱性を認めていますよね。
その上で彼の晒し行為などを理由に訴えていると思われます。
Re:office氏の指摘って… (スコア:1)
httpサーバたてるのは別にどこにも宣言しないけど、私道ですか?
referer手繰ってどっかにアクセスしたら文句いわれますか?
Re:office氏の指摘って… (スコア:1)
Re:office氏の指摘って… (スコア:2)
>研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。ACCSは研究員の指摘で脆弱性に気付き、対策を施した。ACCSによると、研究員は「CGIの脆弱性を指摘するために行った」と説明していた。資料は当初ネット上で流通した形跡はないとされていたが、最近になって「2ちゃんねる」の掲示板に何者かがアップロードしていたことが分かっている。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
の「4人分の個人情報を含んだプレゼンテーション資料を公開」が目的や動機で、「それを公開し悦に入るためにアクセスし情報を取得した」みたいな展開ならば不正アクセスの適用も有りの気がする。
というか、「脆弱性の指摘」と「4人分の個人情報を含んだプレゼン」は噛み合わない。
「脆弱性の指摘」が目的ならば、個人情報をネットで流すことはしないだろう。
俺は何度か脆弱性を指摘したことはあるが、「4人分の個人情報を含んだプレゼンテーション資料を公開」は理解出来ない。
ACCSに向かって見せるために公開したのならば彼の行動はある程度理解出来るが、セキュリティ関連イベントでの公開って理解の範囲を超えている。
そう考えるとやはりこちらが目的や動機と定義しなければつじつまが合わない気がする。
Re:office氏の指摘って… (スコア:3, 参考になる)
例えば、傷害罪。AさんがBさんを殴った。
>(傷害)第204条 人の身体を傷害した者は、10年以下の懲役又は30万円以下の罰金若しくは科料に処する。
http://www.houko.com/00/01/M40/045.HTM#s2.27
何故殴ったのか、どうして殴ったのかの目的や動機があるからこそ、故意性を立証出来て、傷害罪を適用出来るはず。
Bさんが殴りかかってきたので、ガードしようとしたら肘がBさんの顔に当たった。
この場合正当防衛に該当しそうだし、故意性は疑問。
他人のパスワードを使ってアクセスする行為は駄目。しかし、一字違いだったので打ち間違った場合は、故意では無いので刑事罰を与えるのは無理だろう。
と言うわけで、刑事事件なので目的や動機は重要だろう。
Re:office氏の指摘って… (スコア:2)
経緯は、
>ハイテク犯罪対策総合センターの調べでは、河合容疑者は昨年11月6~8日、社団法人コンピュータソフトウェア著作権協会(東京都文京区)のサイトのサーバーに不正に接続し、ネット上で同協会に相談を寄せた約1200人分の氏名や住所、相談内容などを引き出した疑い。
>
> さらに同月8日、都内で開かれたネットの安全対策担当者やハッカーの集会で、参加者約200人に接続方法を公開し、協会にも接続したことをメールで通知した。そのうえで、サイトの一部の閉鎖を余儀なくさせ、協会の業務を妨げたとされる。
http://www.asahi.com/national/update/0204/020.html
を鵜呑みにすると11/6~8に侵入。11/8に集会で公表。
>研究員は同月に開かれたセキュリティ関連イベントで、使用されていたCGIの欠陥を指摘するとともに、4人分の個人情報を含んだプレゼンテーション資料を公開していた。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
を鵜呑みにすると、「4人分の個人情報を含んだプレゼンテーション資料を公開」も行っている。
俺の勝手な推測に過ぎないが、「同月に開かれたセキュリティ関連イベント」が「11/8に行われた集会」と同一なんだと思っている。
プレゼン用の資料の作成時間なども考えると、集会で公表し悦に入るために侵入したとしか思えない。
経緯が、ACCSに再三連絡しているにも関わらず2ヶ月間放置される。公表をすることも連絡しその上で集会で公表した。と言う経緯ならば話は違ってくると思う。
貴方が疑問視しているのは、パスワードで守られた所にデータが置かれていない点と、刑事罰は広義で解釈するではなく狭義に該当するか辺りだと思うが、セキュリティーホールを突いてアクセスする行為も禁止されていますよね。
実際はどうだったのかは知らないけど、英数(36文字)8文字のディレクトリと英数8文字のファイル名が完全に一致する確立は、1/36乗16=1/7958661109946400884391936。
これを持って通常ではアクセス出来ないことは証明されるのではないか?
彼自身が、「同月に開かれたセキュリティ関連イベント」でプレゼンしているところをみると、やはりセキュリティーホールは存在するとしか判断出来ない気がする。
で、11/8に侵入したのは、資料作りの確認作業と判断出来るのではないだろうか?
仮にそう判断出来る物と定義すると、そもそも法に盛り込まれている「セキュリティーホールを突くアクセス禁止(3条2項2号)」って何を禁止しているの?
ここからデータファイルにリンクが貼られていたとしよう。何となくクリックしただけでは当然それだけでは禁止対象にはならないだろう。
POSTメゾットが使用してあったので(CGIでGETメゾットアクセスでは読めない)、fromとジャバスプリクトでクリックしただけでデータの取得が可能であっても、クリックしただけでは当然それだけでは禁止対象にはならないだろう。
問題は上のビビたる確立でしか通常分かりえない物に対しのアクセスで、それが通常隠すべきデータであることを知りっていて、それをセキュリティーホールだと認識していたわけだよね。
セキュリティーホールだと認識を持ったのならば、通常は連絡と秘密の厳守をするわけだよな。連絡しなくても秘密の厳守はする。
彼は資料作りのためにその後もアクセスしてデータを取得し、その一部である4人分の個人情報を集会で晒したわけだよな。
で、上のURLが2条2項1号の
>当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号
に該当するかどうかが裁判争点でしょうか(裁判になったらね)。
データファイルのURLはこれに該当するのではないか?
URLが符号であることは同意出来るよね。
条文では、「当該アクセス管理者によって」と書かれているから定義者は管理者側。少なくても彼ではない。客観的にみても晒して良い物とは判断されない。
彼自身も、集会でセキュリティーホールの指摘をしているので、管理者が第三者に見せるためにみれるようにしていると言う認識は無いはず。
管理者に連絡されると、管理者は第三者に知らせてはならないものだからこそ、見れない様にするのですよね。実際しているし。
「連絡しているにも関わらず見れるようにしているからこれには当たらない」と言う主張も彼は出来ない。
刑事罰は狭義に対してのみ科されるべきだが、彼の行動は狭義に該当するのではないか?
きわどいとは思うが、彼の行動を考えれば考えるほど狭義に該当する気がしてならない。
集会が迫っていたので彼は手順を踏まなかった
Re:とりあえず指摘 (スコア:1)
過失ならば過失傷害罪なんじゃ?
Re:とりあえず指摘 (スコア:1)
>(故意)第38条 罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。
なんで傷害罪に故意性が必要無いと思っているのか良く分からん。
Re:office氏の指摘って… (スコア:1, 参考になる)
「 >鍵は壊れてはいた(十分に機能していなかった)が、かかっていたことはかかっていた。
>その門を開けて入ったのだ」というような主張との対決になるのでは?
そうすると、例えばJAVA Scriptで組めるようなソースを見ればパスが解ってしまうような鍵の場合であっても、
「鍵はつけていたし、(いくらすぐ破れるものであっても)はたからみて鍵がかかっていると解る状態であった。 それを破って侵入したのだから不正アクセスだ!」
と、なってはしまいませんか?
……自分で書いておいて何なんですが、上の例だと、そんなアホな、と思いつつも不正アクセス禁止法に条文の上では触れてしまうような。。
JAVA Scriptでのパス方式が、不正アクセス禁止法にいう ”アクセス制御機能”にあたるのかどうかは微妙ですが。。
Re:office氏の指摘って… (スコア:1, 興味深い)
アクセスしてもらいたくないページをデッドリンク状態でサーバ上に置いてあったときに,
記憶や,ブックマーク,さらにはカンで適当にアドレスを打ち込んで表示させたらその段階で違法な不正アクセスということになるのでしょうか?
Re:office氏の指摘って… (スコア:2)
刑事罰は故意に行わなければ基本的には対象外。過失でも適用出来る奴はその旨が書かれている。
自ら預ける個人情報が漏れないか心配で確認する作業はきわどい。だが許容される場合も多いだろう。
しかし、不正アクセス禁止法では助長行為とかも禁止しているので、連絡し対処が終わった後にこう言った事例があったという報告ではなく、2ヶ月程度の猶予を与えたわけでもない。
11/6~11/8にアクセスし、11/8の集会で晒したのだから、晒す行為が目的で不正にアクセスしたととられても仕方がないと思う。
Re:office氏の指摘って… (スコア:1, 参考になる)
無用心さをいくら訴えても効いてくれないので、公開実験でサンプル用に持ち帰った。
が正しい。
Re:office氏の指摘って… (スコア:2, おもしろおかしい)
「オレだよオレ、ちょっと住所録が必要になったんだけど玄関まで持ってきてくれない?」
と中の人を騙して持ってこさせ、まんまと盗み出したというオレオレ詐欺でしょう。
Re:office氏の指摘って… (スコア:2)
>が正しい。
11/6~8にアクセスし、11/8に集会で公表が経緯ではないのか?
「いくら訴えても効いてくれない」ってのは、他にそう言ったサイトがあったと言う話だった気がします。
彼は集会での公表を優先させ、手順を踏まなかった。
Re:office氏の指摘って… (スコア:1, 参考になる)
玄関を見るとドアは閉まっていた。
目視では鍵がかかっているかはわからなかった。
ドアを開けてみたら鍵がかかっていないことがわかった。
家人に「鍵がかかってないですよ」と忠告した。
家人は「そのうちかけますから」と言って鍵をかけなかった。
屋内には家人の物ではない預ったお金が置いてあった。
鍵をかける様子がなかったので、ドアを開けて侵入し、そのお金を
盗みだした。
盗み出したお金は、渋谷のハチ公の像の前に置いた。(当然ネコババされた)
が正しいでしょう。
法的には無用心だからといって、他人の敷地に不法侵入し、物を盗んだら
当然タイーホされます。
第三者が無用心な家人に対してできるのは、鍵をかけないと危ないですよ
と忠告するところまでです。
公道ではなくて (スコア:1)
Re:office氏の指摘って… (スコア:0)
「逮捕」という出来事がここでのサブジェクトなんだから、
大事なのは感情論とか道義論じゃないはずですよね。
そこのところのわかってない議論がここでは百出しそうだから
ちゃんと押えておかなきゃと思います。法の適用として
やっぱ、ちょっと柔軟すぎるんじゃないか、というのは
Re:office氏の指摘って… (スコア:1)
>バカボンのおまわりさんと同じですわねぇ。
彼の名誉のために確認すべきことだと思うのですが
実際逮捕に至った事例は過去にありましたでしょうか?(笑)
Re:office氏の指摘って… (スコア:1)
>モデルガンってことになってましたな。
おまわりさんがモデルガン振り回して、撃ちまくってるのも
それはそれで、コワイ…
----------------------------------------
You can't always get what you want...
Re:office氏の指摘って… (スコア:0)
同感。って私はその辺の担当ではないので、そういうメールをもらったことはありませんが。
ただ周囲の似たような事例では、
Re:office氏の指摘って… (スコア:1)
担当のアドレスがWebには記載されていなかったのではないでしょうか?
# だからといってアンケート宛等に送るのはあれですけど。
> ・同じく闇雲に電話
連絡先と書かれてあった。または、その他の連絡手段が分からないからそこに掛けたんだと思いますが。
# whoisで調べたのかな。
> ・話の中身は勿論鬼首
読む人の立場によって取り方が違いますから、なんとも。
> ・挙句のはてに、「返事がない」とか「いい加減」とか掲示板等に書き散らす(当たり前だろ!)
返事しないんですか。脆弱性を確認して、安全だとわかってるのでない限り返事するんじゃないですかね。普通は。
# 相手が言ってきた脆弱性がないのが分かってるなら一々相手しないかも
掲示板に書き散らすのはあれですが、他はそれほどでもないよーな。
Re:office氏の指摘って… (スコア:1)
># だからといってアンケート宛等に送るのはあれですけど。
適当なメーカーのサイトを見てみましたが、
連絡先として指定されてるアドレスは
お客様センターのアドレスが多いようです。
他に、人事とか営業とか。
#お客様センターにサイトのセキュリティを問い合わせて
#返事が返ってくるとは思えませんが。
>連絡先と書かれてあった。または、その他の連絡手段が分からないからそこに掛けたんだと思いますが。
># whoisで調べたのかな。
こちらもお客様センターの電話番号が多いです。
#電話帳調べて社長だの会長だのに電話してたりして。
サイトの管理者に文句を言うルートがない人間が
無関係なところに文句をつけても、
「ヘンな人からのメール(電話)」で終わるんじゃないかと。
#office氏はそういう、文句つけルートを持っていたんだろうか。
そういうときには security@... (スコア:1)
> 連絡先として指定されてるアドレスは
> お客様センターのアドレスが多いようです。
MAILBOX NAMES FOR COMMON SERVICES, ROLES AND FUNCTIONS (RFC2142) [ietf.org]とか。
まぁ、問題を抱えているサイトの管理者が、そうしたメールアドレスを有効にしているか、
また、ちゃんと目を通しているかわからないが、投げてみる価値はあるかと。
ただ、office氏が、そういう努力をしていたのかは、わかりません。
Re:office氏の指摘って… (スコア:0)
40歳にもなる大きなお子様がタイーホされたわけですね。
#M田S平さんも35歳にしてはなかなか大きなお子様だと思うんですがオフトピなのでやめときます。
Re:office氏の指摘って… (スコア:1, 興味深い)
> あるところならばむしろoffice氏の指摘は結構役に立つと
> 思うのですけど…私の認識は甘いののですかね?
> # 近くに本当に役に立った人がいるのでAC
散々既出だが、
・自称「専門家」だからと言って免責されるわけではない。
・指摘そのものは正しいのかも知れないが、今回は指摘の仕方が致命的にお粗末だった。
自称「専門家」連中の緩んだモラルのタガをしめるには丁度良いだろ、とでも思わないとやってられんわ。
どう足掻いても「これだからハッカーは…」的論調を形成するのに格好の材料だからな。
# その意味において、officeを絞め殺しても飽き足らないのでac
Re:office氏の指摘って… (スコア:0)
Re:office氏の指摘って… (スコア:0)
威力業務妨害の方は、公表の仕方がまずかった(いきなりクリティカルな状況に持っていった)からということかもしれないけどさ。
Re:office氏の指摘って… (スコア:0)
管理者が技術があろうがなかろうが、暇だろうがいそがしかろうが、別に従う義理は一切無いのですよ。
で、それを無視されたといってテロ行為に走るってのは、どう考えても問題行為意外の何物でも無いと思うのですが。
彼にだってACCSのサーバに対
Re:office氏の指摘って… (スコア:2, すばらしい洞察)
欠陥を知り得た入手経路が指摘であろうが
指摘の元がoffice氏であろうが
そんなことは関係ない。
個人情報が容易に漏洩してしまう欠陥を
自分のサイトが持っていると知ったとき、
すぐに修正するかしないかだ。
ACCSに個人情報を送信した1200人は
「おそらく個人情報漏洩の欠陥はないだろう。
もしあったとしてもすぐに修正するだろう」
と期待した上で送信するわけだから、
(欠陥があることを知り得た経緯はどうであれ)
「すぐに修正しない」と判断するのは1200人を裏切ることになる。
office氏は会合の参加者に1200人の名簿を見せたかもしれないが
ACCSはその名簿を世界中の人が閲覧可能な状態にしていた。
1200人に対する裏切りの度合は雲泥の差。
そもそも「サイト内の任意のファイルを出力し世界中から閲覧可能とするCGIの設置」自体が
個人情報保護を怠る悪質な犯罪なのだから、
そちらを厳密に処罰しないと1200人は浮かばれない。
Re:office氏の指摘って… (スコア:1)
> 「おそらく個人情報漏洩の欠陥はないだろう。
> もしあったとしてもすぐに修正するだろう」
> と期待した上で送信するわけだから、
> (欠陥があることを知り得た経緯はどうであれ)
> 「すぐに修正しない」と判断するのは1200人を裏切ることになる。
それに関して言うと、ACCSのプライバシポリシってどうなってるんだろう?
Re:office氏の指摘って… (スコア:1)
Re:office氏の指摘って… (スコア:1, すばらしい洞察)
公開しているサイトの管理者にとってはかなり優先度の高い
事項だと思いますけど…
特に個人情報が漏れかねない状況ならば最優先での対応が必須に
なりますね. もれてしまったらどうしようもないのだから…
でも…office氏って管理者への告知は掲示板に載せたあとで
したっけ?
# 本当に悪意があったら管理者に告知なんてしないと思うよ.
# こっそり情報を引き出してそのまま横流しってね…
Re:office氏の指摘って… (スコア:0)
>公開しているサイトの管理者にとってはかなり優先度の高い
>事項だと思いますけど…
おっしゃる事は解ります。
確かに優先度は高いでしょう。
でも、最優先とは限らないし、それを放置する事が違法という訳でもない。
つまり担当者の胸先三寸で決めても、非難など受ける可能性もあるが単にそれだけのお話であって、それにより義務が発生する訳でもありません。
勿論、放置する事自体は余り誉められた事では無いでしょう。
Re:office氏の指摘って… (スコア:1, すばらしい洞察)
ことがわかっててなお、それを放置する「自由がある」って
いっているのね?
それなら「危険性の手法への考察」を広く公表するのだって
「自由」だと思わない?
実際には、お互いが歩み寄っていくからこそうまくいくのよ。
もちろん、今回のOffice氏の歩み寄りが足りなかったっていう
のはあるんだけど。
自由を履き違えるガキってやだわぁ。
自由ってのは「何をやってもいい」って意味じゃないのよ?
毒婦
自由 (スコア:1)
>ことがわかっててなお、それを放置する「自由がある」って
>いっているのね?
誰も放置する自由があるなんて言っていないのでは?
彼の言いなりになる以外の対処方法は存在すると思いますけど。
Re:office氏の指摘って… (スコア:1, おもしろおかしい)
女じゃなくて男だったりして…
ごめんなさい、ごめんなさい、うわぁ~ん、ぶたないでぇ~
----------------------------------------
You can't always get what you want...
Re:office氏の指摘って… (スコア:1, すばらしい洞察)
それを根拠として他者の行動を強制/制裁する事は「自由」でも「権利」でも「義務」でもない。「私刑」だ。
Re:office氏の指摘って… (スコア:1, すばらしい洞察)
Re:office氏の指摘って… (スコア:1)
> いけないとされる法的な拘束力を持った根拠って何でしょうか?
直接的な回答ではないですが、office氏の指摘が個人情報流出の脆弱性だったと仮定した場合の可能性です。
情報が洩れた場合に裁判を起こされると損害賠償金の支払義務が生じます。
判例が必要なら京都府宇治市の件があります。法的根拠といかなくとも、判例であればそれに準ずる根拠だと思いますが。