アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds
不正アクセス禁止法? (スコア:1)
法文って難しくてよく読みこなせないんですが、パスワードなどのアクセス制御機構が存在してない場合、適用は無理としか思えません。
Re:不正アクセス禁止法? (スコア:2, 興味深い)
今回はそのアクセス制御機構に大穴があり,そこをついたのが
問題にされた様です.
ていうか,記事によっては余罪追及のあるらしい書き方を
しているのですが,出来れば今回はお灸を据えるぐらいに
とどめてほしいですね.
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:1)
通常アクセス可能なCGIが計算機内のどんなファイルも読み取って表示できるオプションを持っていた、という話しか聞いてないのですが。
Re:不正アクセス禁止法? (スコア:1)
やっていたのではないかと…
今回の穴は表の入り口は鍵がちゃんとかかっていたが
裏口もしくは勝手口が開けっ放しだったという感じでしょうか…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:1)
例えばapacheでアクセス制御を行うとしたら、BASIC認証などのパスワード認証をかけるか、.htaccessなどでsource addressをDeny/Allowするかくらいですよね。
こうした処置が取られていたページだったようには思えないんです。
Re:不正アクセス禁止法? (スコア:1)
- 個人情報や認証に使うパースワードなどのデータは
htdocsツリー内に置かない.
- 無用のindexes設定はやめる
ぐらいでしょうか…
少なくても今回は、大穴とは言えURLを書き換えれば済む様な
レベルではなかったと思いますが…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA
Re:不正アクセス禁止法? (スコア:2, 参考になる)
日経BPの記事 [nikkeibp.co.jp]を読む限りはそう見えます。URLじゃなくてPATHかな。
直接読まれては困るものはDccumentRoot下におかないというのは常識レベルであって、「アクセス制御機構」ではないですよね。少なくとも機構と言えるものではないと思います。
せいぜい手法? そもそも「アクセス制御」と言えるのか……。
Re:不正アクセス禁止法? (スコア:1)
office氏がくだんのファイルを抜き取るためにどうしたのかが気になります。
仮に、すぐに類推できるものであれば、あれまあ見えちゃった、で済むのでしょうが、
穴の性質を良く知っていて、「ファイル名さえヒットすれば!」と何度も何度も攻撃を仕掛けたなら、
明らかに「悪意」と言われても仕方ないですよね。
(結果も重要ですが、動機が最も大事ですから)
窓にペタっと貼り付けておいて「見るな!」はおかしいですけど、
扉入ってすぐのところに置いてあるのを扉を開けて見ちゃうのは問題かと。
Re:不正アクセス禁止法? (スコア:1)
噂かもしれませんが、妥当で確実なやり方でしょうね。
Re:不正アクセス禁止法? (スコア:1)
_/[]O
あと,DocumentRoot配下に重要情報を置かないなどの
Webコンテンツセキュリティの基本はちょっと勉強すれば
『常識中の常識』して覚えてくれる(と思う)けど,
いきなり押しつけられた様なWebコンテンツ管理者レベルだと
正直微妙なところは出てきますね…
まぁ,今回の穴に関してはACCSのセキュリティ担当者が
以下略だったいうことで…
『今日の屈辱に耐え明日の為に生きるのが男だ』
宇宙戦艦 ヤマト 艦長 沖田十三氏談
2006/06/23 JPN 1 - 4 BRA