パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashdot Japanのコメント機能にXSS脆弱性 (対処済)」記事へのコメント

  • "謝辞:"の部分 (スコア:0, フレームのもと)

    by n225 (16459) on 2004年02月09日 7時26分 (#491996) ホームページ 日記
    他サイトの管理者に読ませたいですね。

    特に指摘すると、すぐに威力業務妨害で訴えてくるトコとか…
    (まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
    • Re:"謝辞:"の部分 (スコア:2, すばらしい洞察)

      by ZZX (12828) on 2004年02月09日 8時20分 (#492009)
      まあ概ね同意なんだけど、商売でやってるサイトとスラドを一絡げに扱ってはいかんと思うよ。
      --
      ZZX
      親コメント
      • by Anonymous Coward
        金のためなら手を抜いてよいと?
        • by ZZX (12828) on 2004年02月10日 13時59分 (#492884)
          リスクと効果を計りにかけて手を抜くべきところは抜く。

          商売の基本だね。

          --
          ZZX
          親コメント
          • by ZZX (12828) on 2004年02月10日 14時24分 (#492905)
            >リスクと効果を計りにかけて手を抜くべきところは抜く。
            >商売の基本だね。

            俺としたことが脊髄反射で極論に走ってしまった。 上は忘れてくれい。金のためにセキュリティに手を抜いていいといいたいワケじゃないんで。

            金儲けを頭ごなしに否定するような発言にはつい過敏に反応するタチなので本質を見失ってしまった。スマン。

            --
            ZZX
            親コメント
    • by tamago915 (19926) on 2004年02月09日 8時55分 (#492018) 日記
      >他サイトの管理者に読ませたいですね。
      セキュリティ報告のメールが spam 扱いにされていたところとか、不手際がいくつも重なっている部分もあり、完全に適切な対応とは言い難いのですが。
      とはいえ、そういった不手際も含めて公開してくださっているのは、他のサイトでも参考になるとは思います。

      >特に指摘すると、すぐに威力業務妨害で訴えてくるトコ
      って、どこのことを指して言ってますか? ACCS のことであれば、
      >(まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
      という被害があったからこその威力業務妨害だという認識です。

      あと、確認させていただきたいのですが、記事本文で、
      当然ながら、この発見は不正アクセスでもない。
      とあるのは、「/.-J ではこの発見は不正アクセスだという認識はしていない」という意味なのか、「一般論として XSS 脆弱性の発見は不正アクセスではない」なのか、教えてください。
      また後者なら、その法的根拠を示してください。
      親コメント
      • by Anonymous Coward
        「脆弱性報告は不正アクセスである」と言う法的根拠は示せるのか?
        イラクの大量破壊兵器と同じだよ。
        存在するもの・該当するものは「ほれ、この通り」と示せても、
        存在しないもの・該当しないものは示しようがない。
        • by tamago915 (19926) on 2004年02月09日 12時42分 (#492140) 日記
          >「脆弱性報告は不正アクセスである」と言う法的根拠は示せるのか?
          報告じゃなくて発見のほうですが、不正アクセス行為の禁止等に関する法律 [ipa.go.jp] の第三条第2項の二が根拠となりうると考えています。
          # この条文が、セキュリティホールをつくことを想定して書かれているものなので。
          親コメント
          • by tucker (16275) on 2004年02月10日 12時12分 (#492766) ホームページ
            >報告じゃなくて発見のほうですが、不正アクセス行為の禁止等に関する法律 [ipa.go.jp] の第三条第2項の二が根拠となりうると考えています。

            若干「不正アクセス」の範囲を取りすぎているのではないか、と思います。

            不正アクセス行為の禁止等に関する法律第3条第2項第2号は、大雑把に言ってしまえば、「管理者の予定外の手段で、管理者としては何らかの認証を経なければ使えないようにした『つもり』の機能を、『そうであると知りつつ』使える状態にした場合(但し、事前に許可を取った場合は除く)」は不正アクセス行為である、という規定です。

            なお、『そうであると知りつつ』という限定がかかるのは、刑法第38条に「罪を犯す意思がない行為は、罰しない。ただし、法律に特別の規定がある場合は、この限りでない。」とあるためです。
            #同時に、「法律を知らなかったとしても、そのことによって、罪を犯す意思がなかったとすることはできない。」とありますので、「それが法律違反だとは知らなかった」というのは通りません。

            したがって、「たまたま」セキュリティホールを突いてしまった場合には不正アクセス行為には該当しませんので、脆弱性の発見が即不正アクセス行為に該当するとは限りません。
            #今回の脆弱性発見者の場合は「実験コメント」がヤバイかもしれませんが、「誰も使えないはず」の機能を利用できるようにすることは不正アクセス行為じゃなかったりするので、詳細が分からないとなんとも言えませんね。

            で、ついでにいくつかの応用例を考えると、
             ・管理者がその存在を知りつつ放置していたセキュリティホールを突いた場合でも、不正アクセス行為。
             ・ただし「アクセス制御機能」がハナから用意されていない場合は、不正アクセス行為にはならない。
             ・「たまたま」知ってしまったセキュリティホールであったとしても、もう一度突くのは不正アクセス行為(office氏のAD2003での行為)
            という感じでしょうか?

            ついでまでに言っておくと、不正アクセス行為の禁止等に関する法律第3条第2項のうち、
             ・第1号は、なりすまし利用
             ・第3号は、踏み台利用
            です。
            親コメント
            • by tamago915 (19926) on 2004年02月10日 12時47分 (#492798) 日記
              モデレート権がないのが残念ですが、「参考になります」。
              で、1点だけ確認したいのですが、
              #今回の脆弱性発見者の場合は「実験コメント」がヤバイかもしれませんが、「誰も使えないはず」の機能を利用できるようにすることは不正アクセス行為じゃなかったりするので、詳細が分からないとなんとも言えませんね。
              誰も使えないはずの機能を利用できるようにすることが、不正アクセス行為にならないというのがよくわかりません。
              「不正アクセス行為の禁止等に関する法律」の第三条第2項の二にある「特定利用」にあたらない、ということなのでしょうか。

              同法第二条にあるように、「特定利用」はそのマシンを利用するあらゆる行為が含まれ、誰も使えないはずの機能は誰も使えないように制限されているわけですから、これが「特定利用」にあたらない、と主張することは難しいのではないでしょうか。
              親コメント
              • by tucker (16275) on 2004年02月10日 17時38分 (#493084) ホームページ
                「特定利用」は、口語的に言ってしまえば「ネットワーク越しのコンピュータ利用」ですので、あまり気にしないほうがいいでしょう。

                で、「誰も使えないはずの機能の利用」が不正アクセス行為に該当しない、というのは、「アクセス制御機能」の定義(第2条第3項)に起因します。

                「アクセス制御機能」の定義を口語的に言えば、「特定の符牒を知っている/持っている人にはネットワーク越しでの『利用制限の全部または一部を解除するため』に、管理者がコンピュータに導入した機能」になります。
                #今回の説明用に相当端折って書いたので、正確性は相当落ちる表現です。申し訳有りません。

                要するに、アクセス制御機能というのは、
                 ・通常では利用が制限されていること
                も必要条件ですが、
                 ・特定の符牒を知っている/持っている人は利用の制限を解除できること
                も必要条件なんです。

                というわけで、「誰も使えないはず」のことをできるようにしたとしても、不正アクセス行為に該当しない、ということになります。

                なお、「誰も使えないはず」というのは、手段は問わないので、証明しようとすると、多分悪魔の証明に近いものになります。
                #そして「誰も使えない」可能性が否定できない限りは、不正アクセス行為に相当すると判断する事はできません。

                で、「悪魔の証明」と書くと、それをさせられるのか、と反応する人もいるかもしれませんが、法律の運用上は疑わしきは罰せずの原則がありますので、
                 ・検察側に「アクセス制御機能がある」ことの証明が義務付けられ、
                 ・被告側は「検察が主張するアクセス制御機能がアクセス制御になっていない」ことの個別論破を目指す
                ことになり、悪魔の証明が裁判の場で求められることはありません。

                まぁ、法律の世界(特に刑罰規定のある法律)では、定義の厳密性を求められるが故に、通常世界の考え方からは考えられないような定義がなされることがある、という一例と御理解ください。
                親コメント
              • by tamago915 (19926) on 2004年02月10日 18時17分 (#493122) 日記
                かみ合っていない部分があるようなので、もう少し教えてください。
                「誰も使えない」というのは、本当に誰も使えないのか、アクセス管理者以外の誰も使えないのか、どちらの意味で使っているでしょうか。

                前者なら、アクセス制御にあたらないというのは理解できます。
                # もっとも、この意味で「誰も使えない」機能が使えるようになる状況が想定できませんが……。
                ですが、後者なら、アクセス管理者が利用するための識別符号 (root のパスワードなど) があるはずですから、アクセス制御に該当すると思いますが、いかがでしょうか?
                親コメント
              • by tucker (16275) on 2004年02月12日 0時26分 (#493871) ホームページ
                えらく時間が空いてしまい、申し訳ないです。

                おっしゃるように、アクセス制御機能が無い、というのは前者の場合です。

                で、今回の件は「本来はリジェクトされるであろうデータをcgiに作成し、サーバに保存させることに成功した」という話だと思われるので、そのような行為をサーバーの管理者権限や、slashチームの人々だけが持っているような権限で行えるものなのかどうかが、アクセス制御機能の有り無しの判断基準になると思います。
                #これが「任意のデータを保存させることに成功した」だと簡単なんですけど、今回はcgiにデータを喰わせるのを成功したに留まってますので。

                やけに、細かい話になってしまってすいませんでした。
                親コメント
          • by Anonymous Coward
            > 当該アクセス制御機能による特定利用の制限を免れることができる
            > 情報(識別符号であるものを除く。)又は指令

            に該当するか否かが争点?
            アクセス制御機能が無い場合は該当しないよね?
        • Re:をいをい (スコア:1, 興味深い)

          by Anonymous Coward on 2004年02月09日 15時09分 (#492220)
          ケースバイケースだと思う。
          例えば、一般権限で直接には読み出せないファイル内容でも無条件に出力する
          CGIなどのスクリプトが設置されていたとする。

          スクリプトを攻撃者が設置したのなら間違いなく黒だが、運営者自身の手で
          設置され、一般権限でも実行可能に設定されてるような場合。

          一般権限で実行できるのだから、アクセス制御の回避にあたるとするのは
          不適当だと思う。ただし、スクリプトを攻撃に使えると知った上で
          攻撃のために使った場合、この行為は黒と判断されると思う。

          ただ、この「攻撃」の範囲に、脆弱性を確認するための試験的な攻撃と、
          本当の攻撃との間に線を引くかどうか、引くなら基準は?というのが問題で、
          今のところ、明確なガイドラインはないように思う。

          国(総務省)は攻撃試験を違法行為としているから、何らかの正当かつ強力な裏づけを
          提示しない限り、裁判となればこの方向で判決が下される可能性は高いと思う。
          親コメント
      • by Anonymous Coward
        >>特に指摘すると、すぐに威力業務妨害で訴えてくるトコ
        >って、どこのことを指して言ってますか? ACCS のことであれば、
        >>(まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
        >という被害があったからこその威力業務妨害だという認識です。

        でもね、それにいたるまでに、ACCS(とサイト作成会社)、ファーストサーバーに重大な怠慢があったというのはご存知?

        当方ファーストサーバーでサイト運用してますけど、お世辞にも
        対応が良かったとは言えない。(脆弱性を一年以上放
        • by Anonymous Coward
          >おそらく、脆弱性を幾度となく指摘しても無視されたから、
          >今回のような結末になったと個人的には思われる。

          だから、取得した個人情報を発表してよいと。
          ふーん。
        • by Anonymous Coward
          >でもね、それにいたるまでに、ACCS(とサイト作成会社)、ファーストサーバーに重大な怠慢があったというのはご存知?

          ファーストサーバはさておき、ACCSに「重大な怠慢」ってあったんですか?
          存在を知らないバグがあった事が「重大な怠慢」?
          あなたの使っているPCには、あなたが知らないバグは一切存在せず、もちろん既知のバグは全てFixされていると明言できるのですか?

          >ACCSと関連会社もファーストサーバーからの告知を無視した責任がある。

          セキュリティFixであると告知されたものを放置したのであれば責任はあるでしょうが、セキュリティFixである事を

    • Re:"謝辞:"の部分 (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2004年02月09日 9時21分 (#492026)
      >本人の希望により名は伏せるが、最近のセキュリティ上の問題を指摘することを避けるとても危険な風潮にもかかわらず、恐れずに脆弱性を指摘してくれた発見者に心から感謝したい。

      どこに、そんな風潮があるのでしょうか?
      単に犯罪者が捕まっただけで、そんな風潮がひろまった(発生した?)とするのはおかしいと思います。
      犯罪者を犯罪者として指摘しない自称セキュリティ専門家たちの方がたちが悪いのじゃないでしょうか。

      それとも、/.J も誰かを訴える準備をしているとか...
      親コメント
      • by eukare (2230) on 2004年02月09日 10時03分 (#492051) 日記
        /.Jに限って言えば、国民投票の結果 [srad.jp]がそんな風潮をあらわしているのではないかと。
        親コメント
        • by Anonymous Coward
          そんなスラドみたいに辺鄙な所の意見を「風潮」呼ばわりされても困るだけですが。

          だいたい本当の焦点は、件の事件の前後で「見なかったことにする」の選択肢が増加したかどうかなんだから、逮捕報道直後の一回だけの国民投票じゃあんまり情報量がないし。

          • Re:"謝辞:"の部分 (スコア:2, すばらしい洞察)

            by Li Luxing (7797) on 2004年02月09日 13時57分 (#492188)
            >そんなスラドみたいに辺鄙な所の意見を「風潮」呼ばわりされても困るだけですが。

             スラドの辺鄙な所で、スラド内の辺鄙な所に向けた意見として、
            スラドの辺鄙な場所での風潮を語ると何を混乱するのでしょう?
            --
            李 露星
            親コメント
            • by Anonymous Coward
              混乱しているな。
              「何を」は重要じゃないよ「誰が」だな。

              つまり「君が」

              そして「釣れた」

              ということなんじゃないの?
              ムキになって突っ込むべき所ではない。

              でもスコアは2か…
          • by Anonymous Coward on 2004年02月09日 11時25分 (#492094)
            >そんなスラドみたいに辺鄙な所の意見を「風潮」呼ばわりされても困るだけですが

            まぁ、XSS脆弱性を指摘できる人間は、大抵は「辺鄙な所」のどこかにアンテナのばしてるものだと思うが。世間一般の「風潮」とは異なるんだろうが、その指摘が出来るやつの意見がそうなりつつあるってのは事実かもしれん。

            でもまぁ、それ以前に、スラド国民投票の結果を鵜呑みにするな、という点では合意。断り書きをよく読もうぜ、ってことで。
            親コメント
          • by eukare (2230) on 2004年02月09日 15時22分 (#492227) 日記
            >そんなスラドみたいに辺鄙な所の意見を「風潮」呼ばわりされても困るだけですが。

            「/.Jに限って言えば」と言っているのに、スラド内の意見を困られてもこっちが困るのですが。
            それと、別に国民投票の結果を鵜呑みにしているわけではないのですが、1位と2位の差が2倍以上開いているので、
            それなりに意味のあるデータなのではないかと思ったのです。>#492094のAC

            件の事件の前から「見なかったことにする」が同じくらいだったのであれば特に最近の風潮ではない、というのは確かにそうですが、
            今現在の風潮がそうだという事は否定されませんよね。
            親コメント
      • Re:"謝辞:"の部分 (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2004年02月09日 10時38分 (#492067)
        現行法に於いては明らかに違法性が無い行為を、
        無理に現行法で取り締まるから議論になる。
        「お上が嫌疑を掛けた=犯罪」とお考えならば、
        そのような思考停止は我が国の主権者には相応しくないので、
        それが奨励される国、例えば北朝鮮にでも移住して頂きたい。

        彼らを犯罪者として扱いたいならば法整備が先だろう。
        くれぐれも法治国家である事を忘れないで欲しい。
        「不心得者」と「犯罪者」の区別ぐらいはつけようね。
        親コメント
        • by Anonymous Coward
          それなら、発言を修正して、「犯罪者」を「容疑者」とします。
          その上で、

          >現行法に於いては明らかに違法性が無い行為を、
          >無理に現行法で取り締まるから議論になる。

          の妥当性はあるの?
          北朝鮮に行けとか言う前に、法治国家であるから、判断は裁判を待つべきでは?
      • >どこに、そんな風潮があるのでしょうか?

        よくあるじゃないですか。
        喫煙してる中高生に注意したら逆ギレして刺された、とか。
        それと一緒ですよ、たぶん。

        #えっ、違う?
        --
        #( ・ω・)ノ――――@ くるくる。
        親コメント
        • by Anonymous Coward
          >喫煙してる中高生に注意したら・・・

          喫煙している中高生に体罰で制裁を加えたら逆ギレして刺された。
          の方が合ってるかも。
    • by Anonymous Coward
      >特に指摘すると、すぐに威力業務妨害で訴えてくるトコとか…

      いいかげんにしませんか?

      フレームを招き、無意味に騒ぎを大きくし、捻じ曲げを引き起こすような嘘の書き込みをなぜするのですか?
    • by Anonymous Coward
      /.が威力業務妨害で訴えて、速攻で「ゴメン、そっちが正しい」と言ってしまえば確定判決に……

      #冗談8割なのでAC。
    • by Anonymous Coward
      ここで仮に、発見されたのが/.Jのユーザ情報が丸見えになるようなバグで、その報告者が全ユーザの情報を読み出した上で/.Jが預かり知らぬ所で公開した後に報告を行い、漏れたユーザ情報が2ちゃんねるで晒されて回収が不可能となってしまった場合でも、同じような謝辞を述べられるのですかね?

      もしそうでないとすれば、この謝辞は条件の全く違う事象をさも同様であるように見せ

      • Re:"謝辞:"の部分 (スコア:2, すばらしい洞察)

        by tamago915 (19926) on 2004年02月09日 20時53分 (#492390) 日記
        ここで仮に、発見されたのが/.Jのユーザ情報が丸見えになるようなバグで、その報告者が全ユーザの情報を読み出した上で/.Jが預かり知らぬ所で公開した後に報告を行い、漏れたユーザ情報が2ちゃんねるで晒されて回収が不可能となってしまった場合でも、同じような謝辞を述べられるのですかね?
        何もなかったことが確認できたから、あの程度の謝辞ですんだと思っています。
        現実に上のようなことが起こっていたら、/.-J の管理者・編集者の責任問題に発展していることは間違いないと思われます。
        もしそうでないとすれば、この謝辞は条件の全く違う事象をさも同様であるように見せかけて世論(という程おおげさなもんじゃないが)をミスリーディングし「威力業務妨害で訴えてる」所を叩かせようと煽ってるだけにしか見えない。
        それは /.-J の misleading じゃなくて、あなたの misreading
        全く違う事象を、勝手に結びつけているにすぎず、あなた自身がいうとおり、条件が全く違うので比較にもなりませんよ。

        # ACCS をたたきたいのなら、新しくタレコミ記事を書けばいいのにと思う ID
        親コメント

Stableって古いって意味だっけ? -- Debian初級

処理中...