パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏逮捕」記事へのコメント

  • これって不正アクセス禁止法 [npa.go.jp]にはどう考えても該当しないと思うんですが、どうなんでしょうね。
    法文って難しくてよく読みこなせないんですが、パスワードなどのアクセス制御機構が存在してない場合、適用は無理としか思えません。
    • 実際に行為に及んだ以外にも
      欠陥のあるスクリプト経由で任意のファイルが読み出せることを
      サーバ管理者に連絡する以前に公の場で紹介して晒し者にしていたことは
      不正アクセス行為を助長する行為にあたるのではないでしょうか。
      • いや、それで助長される行為は不正アクセス行為にはならないでしょ。
        少なくとも不正アクセス禁止法に定めるところの

        一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)  

        二 アクセス制御機能を有する特定電子計算機に電気通
        • 長々とコピペご苦労様。

          httpで個人情報ファイルの格納されている直接のアドレスを指定しただけでは権限がないのでアクセスできません。
          従ってユーザ権限で動作するCGI経由で、想定していなかった任意のファイルにもアクセス可能になってしま
          •  今回の状況は、
            ftp://example.com/home/user/naisyo.dat
             にアクセスするのは権限がなくてできないけれども、
            http://example.com/~user/naisyo.dat
             ならアクセスできる、

             というのと、何が違うんですか?
             なりすましかどうかは問題じゃないんです。
             法律上問題になるのは「パスワードによっ
            • だから何度も説明しているようにそのケースでいうなら
              http://example.com/~user/naisyo.dat
              でも外部からは権限がないので直接アクセスできず403が返ってくるファイル。
              だから河合は



              のようにわざわざ書き換えて保存したページからCGIを呼び出していたのよ。
              • by nekonyan (3158) on 2004年02月04日 17時50分 (#488475) 日記
                あちゃー、タグの部分が解釈されてしまっています。
                利用できないタグのはずなのに。

                エラーの時に
                http://example.com/~user/error.html
                が表示されるようになっていたが
                http://example.com/~user/naisyo.dat
                はそのままWWWブラウザに入力しても表示できない。
                この時、
                <input type=”hidden” name=”open” value=”error.html”>を
                <input type=”hidden” name=”open” value=”naisyo.dat”>
                のようにわざわざ書き換えてローカル保存したページからCGIを呼び出して実行させたのでnaisyo.datを読めたわけです。
                親コメント
              • その程度ならわざわざ偽ペイジつくる必要なんかなくて
                .cgi? の後にオプションの値変えてアドレスバーにぶち込むのと同じことですね。

                Google で Search ボタン押した後に、
                アドレスバーの q= の値かえてもう一回検索しようとするのはダメなのかな。
              •  繰り返しになりますが、
                ftp://example.com/home/user/naisyo.dat
                 はエラーを吐かれて見れない。だからわざわざ
                http://example.com/~user/naisyo.dat
                 に書き換えたんだ、という状況と何が違うんですか? と聞いてるんです。
                 あるいはこれが逆でもいいです。
                 護りたいファイルをdocumentrootの外に置いて安全だとしていたら、実は何の設定ミスかanonymous ftpでルートから入れた。
                ftp://example.com/data/naisyo.dat でアクセスできてしまった。
                 これは不正アクセスですか?
                親コメント
              • by chanbaba (13080) on 2004年02月04日 20時42分 (#488676) ホームページ
                >ftp://example.com/data/naisyo.dat でアクセスできてしまった。
                > これは不正アクセスですか?

                あの法律が出来た時って、そう言った奴は取り締まらないような話が有った気がします。

                ちなみに、不正アクセスであっても「故意性」がない「過失」ならば刑事罰を科すのは無理なはず。

                俺はやはり公開した行為が「何で公開したの?」という話から、公開する目的で不正アクセスを行ったと言う展開なんだと思う。

                俺の曖昧な記憶では、
                相談したいが、自分の情報が漏れないか心配なのでhtmlのソースを見たら穴がありそうだったので確認のために試しすとか、そう言った行為まで禁止するのではないと言う捉え方をしていました。

                >ACCSは研究員の逮捕について、「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません」とコメントしている。
                http://www.itmedia.co.jp/news/articles/0402/04/news020.html

                と言っている点からも、個人情報の公開などの行為がある以上、それが目的だとしか思えず。
                目的がそこにある以上、不正アクセス禁止法の趣旨に一致すると言う判断なんじゃ?
                親コメント
              • ここでいう”naisyo.dat”のパーミッションはどうなってたの?
              • by bero (5057) on 2004年02月05日 3時30分 (#489036) 日記
                google(でなくてもいいけど)にアクセスするのに
                googleのページからでなく、ローカルにタグを書き換えたページからアクセス、あるいはそれに相当するのを生成するプログラム経由でアクセスしたらだめですか。。
                親コメント

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...