アカウント名:
パスワード:
それは無いでしょう。 まともな方法で連絡・実証をしていれば。
少なくとも直接相手側にアクセスしないで実証サーバでも作れば不正サクセス禁止法には抵触しないし、他所で騒がず相手側担当者に通達し、相手側担当者がサービスを停止するなら威力業務妨害にはならない。
単にそれだけの事でしょ? >これからはセキュリティホールの指摘には逮捕されて個人情報が 公開されてしまう覚悟がいるということですよね.
違う違う。 暴走して犯罪に走れば、そりゃ捕まるし個人情報が公開されるってだけの話。
強いて短く纏めれば、
「法律は守りましょう」
だけだと思うんですが。
「名誉毀損」による圧力行為はそれだけで軽く問題行為(ってか自分達の公共の利益性を法的に認定されない限りは有罪)なんで、当然、それにより業務に支障が発生し、損害が出たとなれば「威力業務妨害」そのものとなりますが。
なんたって単純な犯罪被害になってしまうわけで。
で、もしそれが通ったとしても自由に攻撃出来るかって言うとペケ。 有効なのは裁判所命令のみ。
何物もそれ以外に従う必要は無い。
これも簡単に言えば、
>「1200人もの人達の個人情報を守る」ということに「公益性を認める」
ってのが >「ACCSが公益を損ねている」
に直結しないだけ。
現実に被害を出していた訳では無いからね。ACCSは。 だから、「運用上では問題なかった」って判断も有り得るし、「問題はあるが公共の福利に反するという理由で権利剥奪される程でもない」という判断も有り得る訳で。
まあ、それ以前に、office氏が「1200人もの人達の個人情報を守る」為に行動したって前提の証明が抜けているようですが。 状況証拠(イベントで発表)や物的証拠(実際に漏れた個人情報)はその反対の事(情報漏洩の実行犯という現実)を示しているみたいなのですが。
>で、裁判所はどういう判断を下すだろうか、という話をしているつもりですが、QwertyZZZさんは違うのですか?
なんか希望的感想というか都合の良い妄想夢想が多いなって思ってますが。
ま、裁判判定で言えば、金ありそうなんだから民事で賠償を丸ごと飲むと和解して、その条件として告訴を取り下げてもらうとか、自分の過失責任である事を認めて、犯意は無い、不注意による未必の故意によって起きた事だとして落としてしまう、って 辺りが現実的な所ではないかなっと。
完全無罪を狙っても、その時は民事で叩かれそう(ACCSも全部自分の責任とする訳にはいかない訳だから)ですからねぇ。
被害が出ていればそりゃ立派な物証になるでしょう。 でも、それもない状況での証拠なんて全部状況証拠、と言えばちょっとカッコイイが、現実には単なる本人の思い込みに過ぎないんですよ。
大体「何をしてもいけない」なんて書いた覚えは一切無いんですが。 分を超えなければ良いだけですよ。 自分の偏った正義感で暴走なんかせずに、普通に大人の判断をすれば良いだけでしょ? 難しくも何とも無い事ですが。
「何も」が不正アクセスを含めた攻撃をする事であれば、それはどんな名目があろうが「やってはいけない」と言いますが。
#あと、「被害が出るまで何もしてはいけない」はある意味正しい。 #いや、「被害が出ても本人(もしくは法的な代理人)以外は何もしてはいけない」の方が良いか。 #そこは現状では民事の話になるだろうから。
>実際、(数人ですが)個人情報を公開されちゃった人もいたわけですよね。
それは自称セキュリティ専門家の犯行と解っている筈。
>公共の福祉に一切反しない、と言いきりますか?
逆でしょ。 相手が完膚なきまでに公共の利益に反していて、一切の状況酌量の余地が有り得ないと証明しないといけないのは「貴方」でしょ?
それが成されない限りに置いては、極普通の基本的人権が適応される(まあ、この場合は法人ではあるが)訳ですよ。
つまり、貴方は憲法の例外を引き出せるレベルの証拠を用意しないといけない。
>今回のケースでは、発覚していない被害も十分予想されますし
なんてのは持っての他。 勿論、生来の根本的権利ですから、少々の問題では奪われるものではありませんよ。 ましてや、単なる第三者の妄想程度で決定されるものでは無い。
他人の罪を裁くって事を相当に甘く見てませんか?
人数規定に引っかかるのでね。
逆に言えば、そこの人数規定に引っかからない物に付いては、法制度上では、 「公共の利益に反しない」 レベルであるとの判断です。 #道義的にはとか民事はまた別だろうけどね。
あと、公共の福祉どうこうの前に、被害者が1200人いれば公共なのか?ってのがあるんですよね。 で、個人情報保護法から類推すると、人数的には駄目っぽい。 それ以前に大人数の被害者がいれば公共なのか?ってのもある訳で。
被害者がいないとは言わないしACCSが悪くないとも言わない。 でも、その内容は公共の福祉に反しない(民事適当)の話に過ぎないと思っているだけで。
公共の福祉に反するかどうか、ってのはある程度簡単に解りますよ。 それは法律に引っかかるか掛からないか。 刑法なんかで引っかかるのはその為に人権の制限を受けます。 殺人犯が拘束される(自由を制限される)のは、彼の自由が公共の福祉に反すると見られた故。 そのように、規制されるべき例はきちんと用意されています。
それに引っかからないとすると、それは公共の問題でなく個人の問題だって事です。
放って置けばよろしい。 実際にアクセスしていなければ、相手はその犯罪の証明を出来ませんから。
実際にアクセスしたのであれば、それって犯罪ですので捕まって下さい。
>そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
無意味な指摘ですね。 そんなもの無くたって潜るものは潜っているでしょ? と言うより、もしかしたら自称セキュリティ専門家ってのは犯罪者予備軍だって事の指摘ですか? ならば尚のこと、きちんとした契約も無しに、分を超えた自称セキュリティ確認行為ってのは規制されて然るべきでは?
故意か故意でないかで判定は異なります。 同じ車で人を引く行為でも事故と殺人は異なるように。
自分の意思を持ってのセキュリティホールを突く行為を事故と同一視するのははっきり言って有害極まりない。
後、下の項に付いてはもっと単純に、
貴方やoffice氏がそのレベルでどうこうするような物ではない。 というか、テロや私刑ってそのレベルで許される物なの?
>脆弱性を発見するには、多くのテストが必要です。それなりのコストがかかる作業ですが、 >office氏の報告の文面などは別として、それを無償でやっていた点で評価できると思います。
全然評価できません。 手間隙掛けたのは単なる趣味だし、相手の了解も無しにセキュリティホールを突いての確認は、下手すると相手に致命的な損害を与える可能性もあります。 セキュリティ云々以前のモラルが一切抜け落ちている訳です。 そんな連中が自称試験をしたらどうなるか? 勝手に抜き出した情報をクラッカーの発表会で公表しちゃうんですよ~。 って無茶苦茶な悪前例を作ってしまっただけ。
少なくとも、 ・不正アクセス禁止法への配慮不足 ・相手からの許可の未受託での勝手な試験 ・私刑に等しい発表 ・個人情報遵守精神の欠如 など主な問題だけでもこれだけ。 何も難しい問題では無く、セキュリティのプロなら当然守って然るべき基本中の基本。それが守れていない。
これを評価するって事は真面目にセキュリティ業務を行っている人達を冒涜する事に等しいと思いますよ。
当事者の許可無いセキュリティホールを突く行為=「攻撃」なんですから。
Officeって専門家でもセキュリティのプロでもない、悪質なマニアなだけだろ。専門書に執筆といっても実際のところマニア向け雑誌や、素人でも出稿できる所だけだろ。使った技術なんてなんの技術力も 必要としないし。まさに「マニア」程度だろ。 たちの悪いマニアの暴走なんてのは、よくある話。 まだ武器マニアの暴走とかじゃなくて、まだよかったぐらいに思えば いい。
特定のファイルを閲覧するために特定の文字列(URL)が必要なんですから。 で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。
セキュリティホールを通じて発見したプライバシー情報を、これからもどんどん公開する恐れがあるというならともかく。(、、、あったりして)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
犯罪性 (スコア:2, 興味深い)
研究成果として不正アクセスの具体的方法を示すこともいいですし、脆弱性を持っていたサイトの例として ACCS を挙げることもいい
Re:犯罪性 (スコア:5, 興味深い)
>こともいいですし、脆弱性を持っていたサイトの
>例として ACCS を挙げることもいいでしょう。
>しかしその双方を結びつけて発表することは犯罪の
>助長にほかならないでしょう。今回の犯罪性はここに
>あるのだと思います。
いいたいことはわかるんだけど、今回の逮捕劇で問題だと
感じるのが、「不正アクセス禁止法」違反容疑ならびに
「ACCSサイトを閉鎖させた威力業務妨害」となっていること…。
つまり、その「犯罪性があるかないか」には関係無く、
同様の指摘は全て逮捕される可能性があるぞとされたこと。
これが、個人情報を流出させたこと(と、それにACCSが対応する
はめになった損害)一点のみについて罪を問われているのであれば、
違和感というか恐怖感は無かった。
Re:犯罪性 (スコア:1)
今回の逮捕はみせしめという感じはしています。しかし適切な法律があれば逮捕されてしかるべき行為をしているとも思っています。
Re:犯罪性 (スコア:1)
Re:犯罪性 (スコア:1)
停止しただけで今回と同様に逮捕される可能性があるわけで,
心当たりのある人は結構いるのでは?仮に起訴されなくても
これだけ個人情報をマスコミにばらまかれる可能性があるわけですよ.
これからはセキュリティホールの指摘には逮捕されて個人情報が
公開されてしまう覚悟がいるということですよね.今回の逮捕要件を
上手くかわす方法があればあれば良いんでしょうが,無いでしょうねえ.
無い (スコア:1)
それは無いでしょう。
まともな方法で連絡・実証をしていれば。
少なくとも直接相手側にアクセスしないで実証サーバでも作れば不正サクセス禁止法には抵触しないし、他所で騒がず相手側担当者に通達し、相手側担当者がサービスを停止するなら威力業務妨害にはならない。
単にそれだけの事でしょ?
>これからはセキュリティホールの指摘には逮捕されて個人情報が 公開されてしまう覚悟がいるということですよね.
違う違う。
暴走して犯罪に走れば、そりゃ捕まるし個人情報が公開されるってだけの話。
強いて短く纏めれば、
「法律は守りましょう」
だけだと思うんですが。
Re:無い (スコア:1)
> 他所で騒がず相手側担当者に通達し、相手側担当者がサービスを
> 停止するなら威力業務妨害にはならない。
今回のケースで、他所で騒いで、相手側担当者がサービスを停止したら、威力業務妨害にあたるの?
Re:無い (スコア:1)
「名誉毀損」による圧力行為はそれだけで軽く問題行為(ってか自分達の公共の利益性を法的に認定されない限りは有罪)なんで、当然、それにより業務に支障が発生し、損害が出たとなれば「威力業務妨害」そのものとなりますが。
なんたって単純な犯罪被害になってしまうわけで。
Re:無い (スコア:1)
名誉毀損?セキュリティホールのあるサイトに対して、セキュリティホールがある、と指摘するのが名誉毀損に当たるのですか?だとすると、誰もセキュリティホールの指摘なんかできなくなります。
> 自分達の公共の利益性を法的に認定されない限りは有罪
1200人もの人達の個人情報を守る、という公益性は見とめられると思います。
Re:無い (スコア:1)
それはあなたの個人的な価値観に過ぎませんよね。
あなたが直接の被害者(例えば、その個人情報の一人だとか)なら別ですが、
基本的に自己の利益の発生しない所に法律の手助けは発生しません。
#個人情報の受け渡しはあくまでもACCSと利用者間との契約によって成り立っています。
#訴えることができるのは利用者であって、第三者は手出しすら出来ません。
セキュリティホールを指摘するのはあくまで「善意」であって「正しい行為」ではないのです。
「善意」には常に「エゴ」がつきまといますからね。
もしあなたが「俺が守るんだ!俺は正義なんだ!」と思っているのであれば、
それは某宗教団体の長となんら変わらない思考であるということをお忘れなく。
Re:無い (スコア:1)
> それはあなたの個人的な価値観に過ぎませんよね。
もちろんそうです。だから「思います」と書いていますね。
TameShiniTottaさんはこれに公益性を認められないという主張をされているのでしょうか?だとしたら、それはどのくらい客観的だといえますか?不勉強なので教えてください。
> あなたが直接の被害者(例えば、その個人情報の一人だとか)なら別ですが、
> 基本的に自己の利益の発生しない所に法律の手助けは発生しません。
はい。「基本的に」はそうですね。その例外が、公益性が認められる場合なのではないですか?
> セキュリティホールを指摘するのはあくまで「善意」であって「正しい行為」ではないのです。
> 「善意」には常に「エゴ」がつきまといますからね。
突然関係ない話をされても困ります。
例えば、次のようなことを突然書かれたらどう思いますか?:TameShiniTottaの一連のコメントは「善意」に基づくものであって、「正しい行為」ではないのです。「善意」には常に「エゴ」がつきまといます。
簡単に (スコア:1)
勿論、それは裁判所で無いと無理。
#個人の「思う」は持っての他。
で、もしそれが通ったとしても自由に攻撃出来るかって言うとペケ。
有効なのは裁判所命令のみ。
何物もそれ以外に従う必要は無い。
Re:簡単に (スコア:1)
意味不明。「1200人もの人達の個人情報を守る」ということに「公益性を認める」のなら、ACCSは「1200人もの人達の個人情報を守る」ということができていないのだから、「ACCSが公益を損ねている」と認定したことになるでしょう。
> 勿論、それは裁判所で無いと無理。
> #個人の「思う」は持っての他。
それは解ります。で、裁判所はどういう判断を下すだろうか、という話をしているつもりですが、QwertyZZZさんは違うのですか?
Re:簡単に (スコア:0)
>勿論、それは裁判所で無いと無理。
>#個人の「思う」は持っての他。
事前に裁判所で公益性を認めてもらう必要は無いです。
個人の「思う」で行動した後、名誉毀損で訴えられてもそれを争う裁判中に、裁判所に公益性を認めてもらえば何の違法性も発生しません。訴えられただけでは犯罪ではないんですよ?
>で、もしそれが通ったとしても自由に攻
おちつけ。 (スコア:1)
QwertyZZZな人のコメントは「私的な攻撃による勝手な検査」について述べてるんだから話がずれてます。
>ここで言う「攻撃」が、「相手の名誉を毀損する行為」だった場合、これは明らかに間違い。
> 裁判所の命令が無ければだめなのなら、世の報道機関は他人に不利益をもたらす情報は何も書けなくなる。
こっちはもっとずれてます。
当該コメントだけ読んで脊髄反射しないで流れを読もうよ。
Re:簡単に (スコア:1)
これも簡単に言えば、
>「1200人もの人達の個人情報を守る」ということに「公益性を認める」
ってのが
>「ACCSが公益を損ねている」
に直結しないだけ。
現実に被害を出していた訳では無いからね。ACCSは。
だから、「運用上では問題なかった」って判断も有り得るし、「問題はあるが公共の福利に反するという理由で権利剥奪される程でもない」という判断も有り得る訳で。
まあ、それ以前に、office氏が「1200人もの人達の個人情報を守る」為に行動したって前提の証明が抜けているようですが。
状況証拠(イベントで発表)や物的証拠(実際に漏れた個人情報)はその反対の事(情報漏洩の実行犯という現実)を示しているみたいなのですが。
>で、裁判所はどういう判断を下すだろうか、という話をしているつもりですが、QwertyZZZさんは違うのですか?
なんか希望的感想というか都合の良い妄想夢想が多いなって思ってますが。
ま、裁判判定で言えば、金ありそうなんだから民事で賠償を丸ごと飲むと和解して、その条件として告訴を取り下げてもらうとか、自分の過失責任である事を認めて、犯意は無い、不注意による未必の故意によって起きた事だとして落としてしまう、って 辺りが現実的な所ではないかなっと。
完全無罪を狙っても、その時は民事で叩かれそう(ACCSも全部自分の責任とする訳にはいかない訳だから)ですからねぇ。
Re:簡単に (スコア:1)
> ってのが
> >「ACCSが公益を損ねている」
> に直結しないだけ。
> 現実に被害を出していた訳では無いからね。ACCSは。
被害が出るまで何もしてはいけない、というのがQwertyZZZさんの意見?あるいは、被害が出てる(つまり、現実に被害を出している)けど、それが露見していないだけかもしれない場合にも、何もしてはいけない、というのがQwertyZZZさんの主張なんでしょうか?
Re:簡単に (スコア:1)
って事ですよ。
被害が出ていればそりゃ立派な物証になるでしょう。
でも、それもない状況での証拠なんて全部状況証拠、と言えばちょっとカッコイイが、現実には単なる本人の思い込みに過ぎないんですよ。
大体「何をしてもいけない」なんて書いた覚えは一切無いんですが。
分を超えなければ良いだけですよ。
自分の偏った正義感で暴走なんかせずに、普通に大人の判断をすれば良いだけでしょ?
難しくも何とも無い事ですが。
「何も」が不正アクセスを含めた攻撃をする事であれば、それはどんな名目があろうが「やってはいけない」と言いますが。
#あと、「被害が出るまで何もしてはいけない」はある意味正しい。
#いや、「被害が出ても本人(もしくは法的な代理人)以外は何もしてはいけない」の方が良いか。
#そこは現状では民事の話になるだろうから。
Re:簡単に (スコア:1)
> って事ですよ。
今回のケースでは、発覚していない被害も十分予想されますし、実際、(数人ですが)個人情報を公開されちゃった人もいたわけですよね。それでも、公共の福祉に一切反しない、と言いきりますか?
Re:簡単に (スコア:1)
発覚していない以上は証拠として不適。
>実際、(数人ですが)個人情報を公開されちゃった人もいたわけですよね。
それは自称セキュリティ専門家の犯行と解っている筈。
>公共の福祉に一切反しない、と言いきりますか?
逆でしょ。
相手が完膚なきまでに公共の利益に反していて、一切の状況酌量の余地が有り得ないと証明しないといけないのは「貴方」でしょ?
それが成されない限りに置いては、極普通の基本的人権が適応される(まあ、この場合は法人ではあるが)訳ですよ。
つまり、貴方は憲法の例外を引き出せるレベルの証拠を用意しないといけない。
>今回のケースでは、発覚していない被害も十分予想されますし
なんてのは持っての他。
勿論、生来の根本的権利ですから、少々の問題では奪われるものではありませんよ。
ましてや、単なる第三者の妄想程度で決定されるものでは無い。
他人の罪を裁くって事を相当に甘く見てませんか?
Re:簡単に (スコア:0)
公共の福祉とかを誤解しているに一票。
あと、公共の福祉(今回特定でない)を守る義務が法的にあるかどうかも検証していないのじゃないかな?
実のところ被害は出ているでしょうけど、それって公共の福祉に対する被害? って感じですね。
追記 (スコア:1)
で、それで有罪が出せるかって言えば、結論としては難しい。
人数規定に引っかかるのでね。
逆に言えば、そこの人数規定に引っかからない物に付いては、法制度上では、
「公共の利益に反しない」
レベルであるとの判断です。
#道義的にはとか民事はまた別だろうけどね。
Re:簡単に (スコア:1)
あと、公共の福祉どうこうの前に、被害者が1200人いれば公共なのか?ってのがあるんですよね。
で、個人情報保護法から類推すると、人数的には駄目っぽい。
それ以前に大人数の被害者がいれば公共なのか?ってのもある訳で。
被害者がいないとは言わないしACCSが悪くないとも言わない。
でも、その内容は公共の福祉に反しない(民事適当)の話に過ぎないと思っているだけで。
追記2 (スコア:1)
公共の福祉に反するかどうか、ってのはある程度簡単に解りますよ。
それは法律に引っかかるか掛からないか。
刑法なんかで引っかかるのはその為に人権の制限を受けます。
殺人犯が拘束される(自由を制限される)のは、彼の自由が公共の福祉に反すると見られた故。
そのように、規制されるべき例はきちんと用意されています。
それに引っかからないとすると、それは公共の問題でなく個人の問題だって事です。
Re:簡単に (スコア:1)
> 発覚していない以上は証拠として不適。
つまり、発覚するまで何もしないのが正しいと言うことでしょ、それって。
> >公共の福祉に一切反しない、と言いきりますか?
> 逆でしょ。
> 相手が完膚なきまでに公共の利益に反していて、一切の状況酌量の余地が有り得ないと証明しないといけないのは「貴方」でしょ?
なんでそう極端になるかなぁ。一切の状況酌量の余地が有り得ないとまでは言いませんよ。今のIT技術ってのは、解りにくく、未熟なものなので、セキュリティについてどのくらい十分名のかを評価することが一般の人には難しい。その点において、ACCSにも酌量の余地は十分あります。
しかしだからと言って、個人情報を危険に曝して良いと言うことはないわけです。個人情報の保護と言う観点から、個人情報を扱う組織に重い責任を課すのは公共の福祉に敵うと思います。
また、法律に反しないことは公共の福祉に反しないことだ、ということですが、それはその通りです。ただし、それは条文に細かく規定されていないことは公共の福祉と無関係と言うことではありません。
ところで、実際にたった四人とは言え個人情報が流出したし、それ以外にも個人情報が流出してたかもしれないサービスを、危険だ、と指摘することが、名誉毀損に当たるのですか?そもそもそれは、公共の福祉と関係があると言えるんですか?
Re:無い (スコア:1)
>>サービス 停止しただけで今回と同様に逮捕される可能性があるわけで,
>
>それは無いでしょう。
>まともな方法で連絡・実証をしていれば。
ちょっと楽観的すぎませんか?
まともな方法(って何?て問題もあるが)で連絡しても、連絡を入れた先が「不正アクセスで訴える」と言う可能性があるのですから。
自分が犯罪者になっても構わないから脆弱性情報を連絡する、くらいの覚悟がないと脆弱性情報の連絡ができなくなったと思います。
そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
Re:無い (スコア:1)
>まともな方法(って何?て問題もあるが)で連絡しても、連絡を入れた先が「不正アクセスで訴える」と言う可能性があるのですから。
放って置けばよろしい。
実際にアクセスしていなければ、相手はその犯罪の証明を出来ませんから。
実際にアクセスしたのであれば、それって犯罪ですので捕まって下さい。
>そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
無意味な指摘ですね。
そんなもの無くたって潜るものは潜っているでしょ?
と言うより、もしかしたら自称セキュリティ専門家ってのは犯罪者予備軍だって事の指摘ですか?
ならば尚のこと、きちんとした契約も無しに、分を超えた自称セキュリティ確認行為ってのは規制されて然るべきでは?
Re:無い (スコア:1)
脆弱性を見つけるケースとして、タイプミスや URI の中途半端な入力で見つかる可能性がありますが、それも実際アクセスした事になるので犯罪で捕まるべきなのですね。
> >そして今回の件、結末次第では脆弱性情報が地下に潜って個人情報流出事件が増加する可能性があると思います。
> 無意味な指摘ですね。
> そんなもの無くたって潜るものは潜っているでしょ?
そりゃ潜るものは潜りますよ。犯罪者はアングラに集うものですから。
問題なのは、見つかった脆弱性がアングラでのみ流通して表にでないケースです。実際に発見したりあるいはアングラの情報を察知したりしても、逮捕される危険性があるのなら、それこそ「放って置けばよろしい。」となります。もちろん、脆弱性が修正されないまま密かに脆弱性情報が流通するので被害は拡大する一方です。
今回の office氏の件は、氏が ACCS に脆弱性の報告をしたからこそ、4名分の流出で済んでいます。
#もちろん、氏がミスを犯さなければ流出はなかったと思われるのでその責任はとった方がよいと思います。
しかし、氏が脆弱性を見なかった事にすればどうでしょうか。問題のサイトの脆弱性はまだ残っていて、個人情報を売るような輩に脆弱性を発見されて 1200名分の個人情報流出事件に発展した可能性もあります。
もちろん可能性の話であって、問題が発生する前に ACCS が脆弱性に気がついたかも知れませんし、気付く前に業務見直しなどでサービスが終了したり変更になったかもしれません。
しかし、どっちにもなり得た事です。
脆弱性を発見するには、多くのテストが必要です。それなりのコストがかかる作業ですが、office氏の報告の文面などは別として、それを無償でやっていた点で評価できると思います。
Re:無い (スコア:1)
>それも実際アクセスした事になるので犯罪で捕まるべきなのですね。
故意か故意でないかで判定は異なります。
同じ車で人を引く行為でも事故と殺人は異なるように。
自分の意思を持ってのセキュリティホールを突く行為を事故と同一視するのははっきり言って有害極まりない。
後、下の項に付いてはもっと単純に、
貴方やoffice氏がそのレベルでどうこうするような物ではない。
というか、テロや私刑ってそのレベルで許される物なの?
>脆弱性を発見するには、多くのテストが必要です。それなりのコストがかかる作業ですが、
>office氏の報告の文面などは別として、それを無償でやっていた点で評価できると思います。
全然評価できません。
手間隙掛けたのは単なる趣味だし、相手の了解も無しにセキュリティホールを突いての確認は、下手すると相手に致命的な損害を与える可能性もあります。
セキュリティ云々以前のモラルが一切抜け落ちている訳です。
そんな連中が自称試験をしたらどうなるか?
勝手に抜き出した情報をクラッカーの発表会で公表しちゃうんですよ~。
って無茶苦茶な悪前例を作ってしまっただけ。
少なくとも、
・不正アクセス禁止法への配慮不足
・相手からの許可の未受託での勝手な試験
・私刑に等しい発表
・個人情報遵守精神の欠如
など主な問題だけでもこれだけ。
何も難しい問題では無く、セキュリティのプロなら当然守って然るべき基本中の基本。それが守れていない。
これを評価するって事は真面目にセキュリティ業務を行っている人達を冒涜する事に等しいと思いますよ。
当事者の許可無いセキュリティホールを突く行為=「攻撃」なんですから。
officeは悪質なマニアなだけだろうに (スコア:0)
Officeって専門家でもセキュリティのプロでもない、悪質なマニアなだけだろ。専門書に執筆といっても実際のところマニア向け雑誌や、素人でも出稿できる所だけだろ。使った技術なんてなんの技術力も 必要としないし。まさに「マニア」程度だろ。 たちの悪いマニアの暴走なんてのは、よくある話。 まだ武器マニアの暴走とかじゃなくて、まだよかったぐらいに思えば いい。
Re:犯罪性 (スコア:0)
直接通達するとつかまるので
匿名掲示板でさらし者にして、大騒ぎーを起こして...
なんて事のがよいなんて事にならないことを祈ってますよほんとに...
Re:犯罪性 (スコア:0)
それが犯罪かどうかは、取調べ、裏付け捜査経て起訴。その後の
裁判で決まることです。
で、不正アクセス禁止法に抵触するかですが、「cgiは特定の文字
列を与える」事で動く
Re:犯罪性 (スコア:2, 興味深い)
> 列を与える」事で動くので、この文字列を一種の「アクセス制御
> 機構」とみなす事も出来るじゃないかなぁ。
それはCGIに限った話じゃなくて、WWWのURL全般に言えてしまう話ですよね。
特定のファイルを閲覧するために特定の文字列(URL)が必要なんですから。
で、その文字列をアドレスバーに入れてファイルを見たら不正アクセス? そんなバカな。
Re:犯罪性 (スコア:1, 興味深い)
恐ろしいことに、どこにも公開されていない秘密のURL=パスワードという考え方があるんですよ。信じがたい。
Re:犯罪性 (スコア:0)
知らなければアクセスできないのはパスワードと同じなわけで。
じゃあ単純なパスワードなら突破して良いのね、と言う話にならないのと同じかな。
制御はあくまで「制御」に過ぎないし。
#と言うか、運用と技術をごっちゃにしてる人が多いことの方がビックリだったけど。
Re:犯罪性 (スコア:0)
Re:犯罪性 (スコア:1)
Re:犯罪性 (スコア:0)
「そのURLを知っている人だけがアクセス可能」な訳で、これは
最低ランクの「アクセス制御機構」。
Re:犯罪性 (スコア:0)
Re:犯罪性 (スコア:0)
不正アクセス禁止法に抵触の判例が出るということが
どういう影響を及ぼすか、考えてみようよ。
Re:犯罪性 (スコア:0)
逃げも隠れもしない人を、とりあえず逮捕しといて、、、
ってのはあかんだろう。
セキュリティホールを通じて発見したプライバシー情報を、これからもどんどん公開する恐れがあるというならともかく。(、、、あったりして)