アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
不正アクセス禁止法? (スコア:1)
法文って難しくてよく読みこなせないんですが、パスワードなどのアクセス制御機構が存在してない場合、適用は無理としか思えません。
Re:不正アクセス禁止法? (スコア:2, 興味深い)
今回はそのアクセス制御機構に大穴があり,そこをついたのが
問題にされた様です.
ていうか,記事によっては余罪追及のあるらしい書き方を
しているのですが,出来れば今回はお灸を据えるぐらいに
とどめてほしいですね.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:1)
通常アクセス可能なCGIが計算機内のどんなファイルも読み取って表示できるオプションを持っていた、という話しか聞いてないのですが。
Re:不正アクセス禁止法? (スコア:1)
やっていたのではないかと…
今回の穴は表の入り口は鍵がちゃんとかかっていたが
裏口もしくは勝手口が開けっ放しだったという感じでしょうか…
この状態で泥棒が入ったら,泥棒はやっぱり不法侵入だし
開けっ放しにしていた人はその認識の甘さで
批判されまくる…と.
#このたとえ余りよくないがID
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:1)
例えばapacheでアクセス制御を行うとしたら、BASIC認証などのパスワード認証をかけるか、.htaccessなどでsource addressをDeny/Allowするかくらいですよね。
こうした処置が取られていたページだったようには思えないんです。
Re:不正アクセス禁止法? (スコア:1)
- 個人情報や認証に使うパースワードなどのデータは
htdocsツリー内に置かない.
- 無用のindexes設定はやめる
ぐらいでしょうか…
少なくても今回は、大穴とは言えURLを書き換えれば済む様な
レベルではなかったと思いますが…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:2, 参考になる)
日経BPの記事 [nikkeibp.co.jp]を読む限りはそう見えます。URLじゃなくてPATHかな。
直接読まれては困るものはDccumentRoot下におかないというのは常識レベルであって、「アクセス制御機構」ではないですよね。少なくとも機構と言えるものではないと思います。
せいぜい手法? そもそも「アクセス制御」と言えるのか……。
Re:不正アクセス禁止法? (スコア:1)
office氏がくだんのファイルを抜き取るためにどうしたのかが気になります。
仮に、すぐに類推できるものであれば、あれまあ見えちゃった、で済むのでしょうが、
穴の性質を良く知っていて、「ファイル名さえヒットすれば!」と何度も何度も攻撃を仕掛けたなら、
明らかに「悪意」と言われても仕方ないですよね。
(結果も重要ですが、動機が最も大事ですから)
窓にペタっと貼り付けておいて「見るな!」はおかしいですけど、
扉入ってすぐのところに置いてあるのを扉を開けて見ちゃうのは問題かと。
Re:不正アクセス禁止法? (スコア:1)
噂かもしれませんが、妥当で確実なやり方でしょうね。
Re:不正アクセス禁止法? (スコア:1)
_/[]O
あと,DocumentRoot配下に重要情報を置かないなどの
Webコンテンツセキュリティの基本はちょっと勉強すれば
『常識中の常識』して覚えてくれる(と思う)けど,
いきなり押しつけられた様なWebコンテンツ管理者レベルだと
正直微妙なところは出てきますね…
まぁ,今回の穴に関してはACCSのセキュリティ担当者が
以下略だったいうことで…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:0)
| やっていたのではないかと…
通常のWebセキュリティーレベル(?)なら、そもそも個人情報をWebから見える領域に置いたりしないのではないでしょうか。
| #このた
Re:不正アクセス禁止法? (スコア:1)
今回の話題の中心はセキュリティなんでしょうか?
どちらかというと(このスレッドでは)逮捕の根拠のようにも読めるのですが、法律の解釈の問題ってたとえ話に似ていると思いませんか?もしそうだとしたら、技術に詳しい者がどこまで拡大解釈を許せるかを議論することはある面で有益かとも思います。
その場合でも議論の方向の修正は随時必要だと思いますが。
根拠なく「たとえ話は有害」とするのはどうかと思うのでID。
ただ、/.のユーザーインターフェース的な観点から、このような議論を見たくない人のためにDHTML的にスレッドを「閉じ」られるような機能があればいいとも思いました。
Re:不正アクセス禁止法? (スコア:0)
GET /filename
で取れたわけじゃない(?)から
単純に 「見える領域」 とは言えないでしょう。
Re:不正アクセス禁止法? (スコア:1)
見せしめ的にタイーホしたのであれば、ここらへんまできっちり罰せられる可能性もありますよね。
ただ、これを世間がどう見るか、メディアがどのように伝えるか、皆さんがどのように考えているのかは非常に興味があります。
もしかすると法改正も近いかもしれませんね。