アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
"謝辞:"の部分 (スコア:0, フレームのもと)
特に指摘すると、すぐに威力業務妨害で訴えてくるトコとか…
(まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
Re:"謝辞:"の部分 (スコア:1)
セキュリティ報告のメールが spam 扱いにされていたところとか、不手際がいくつも重なっている部分もあり、完全に適切な対応とは言い難いのですが。
とはいえ、そういった不手際も含めて公開してくださっているのは、他のサイトでも参考になるとは思います。
>特に指摘すると、すぐに威力業務妨害で訴えてくるトコ
って、どこのことを指して言ってますか? ACCS のことであれば、
>(まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
という被害があった
をいをい (スコア:0)
イラクの大量破壊兵器と同じだよ。
存在するもの・該当するものは「ほれ、この通り」と示せても、
存在しないもの・該当しないものは示しようがない。
Re:をいをい (スコア:1, 興味深い)
例えば、一般権限で直接には読み出せないファイル内容でも無条件に出力する
CGIなどのスクリプトが設置されていたとする。
スクリプトを攻撃者が設置したのなら間違いなく黒だが、運営者自身の手で
設置され、一般権限でも実行可能に設定されてるような場合。
一般権限で実行できるのだから、アクセス制御の回避にあたるとするのは
不適当だと思う。ただし、スクリプトを攻撃に使えると知った上で
攻撃のために使った場合、この行為は黒と判断されると思う。
ただ、この「攻撃」の範囲に、脆弱性を確認するための試験的な攻撃と、
本当の攻撃との間に線を引くかどうか、引くなら基準は?というのが問題で、
今のところ、明確なガイドラインはないように思う。
国(総務省)は攻撃試験を違法行為としているから、何らかの正当かつ強力な裏づけを
提示しない限り、裁判となればこの方向で判決が下される可能性は高いと思う。