パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Slashdot Japanのコメント機能にXSS脆弱性 (対処済)」記事へのコメント

  • "謝辞:"の部分 (スコア:0, フレームのもと)

    他サイトの管理者に読ませたいですね。

    特に指摘すると、すぐに威力業務妨害で訴えてくるトコとか…
    (まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
    • >他サイトの管理者に読ませたいですね。
      セキュリティ報告のメールが spam 扱いにされていたところとか、不手際がいくつも重なっている部分もあり、完全に適切な対応とは言い難いのですが。
      とはいえ、そういった不手際も含めて公開してくださっているのは、他のサイトでも参考になるとは思います。

      >特に指摘すると、すぐに威力業務妨害で訴えてくるトコ
      って、どこのことを指して言ってますか? ACCS のことであれば、
      >(まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
      という被害があった
      • by Anonymous Coward
        「脆弱性報告は不正アクセスである」と言う法的根拠は示せるのか?
        イラクの大量破壊兵器と同じだよ。
        存在するもの・該当するものは「ほれ、この通り」と示せても、
        存在しないもの・該当しないものは示しようがない。
        • >「脆弱性報告は不正アクセスである」と言う法的根拠は示せるのか?
          報告じゃなくて発見のほうですが、不正アクセス行為の禁止等に関する法律 [ipa.go.jp] の第三条第2項の二が根拠となりうると考えています。
          # この条文が、セキュリティホールをつくことを想定して書かれているものなので。
          • >報告じゃなくて発見のほうですが、不正アクセス行為の禁止等に関する法律 [ipa.go.jp] の第三条第2項の二が根拠となりうると考えています。

            若干「不正アクセス」の範囲を取りすぎているのではないか、と思います。

            不正アクセス行為の禁止等に関する法律第3条第2項第2号は、大雑把に言ってしまえば、「管理者の予定外の手段で、管理者としては何らかの認証を経なければ使えないようにした『つもり』の機能を、『そうであると知りつつ』使える状態にした場合(但し、事前に許可を取った場合は除く)」は不正アクセス行為である、という規定です。

            なお、
            • モデレート権がないのが残念ですが、「参考になります」。
              で、1点だけ確認したいのですが、

              #今回の脆弱性発見者の場合は「実験コメント」がヤバイかもしれませんが、「誰も使えないはず」の機能を利用できるようにすることは不正アクセス行為じゃなかったりするので、詳細が分からないとなんとも言えませんね。

              誰も使えないはずの機能を利用できるようにすることが、不正アクセス行為にならないというのがよくわかり

              • 「特定利用」は、口語的に言ってしまえば「ネットワーク越しのコンピュータ利用」ですので、あまり気にしないほうがいいでしょう。

                で、「誰も使えないはずの機能の利用」が不正アクセス行為に該当しない、というのは、「アクセス制御機能」の定義(第2条第3項)に起因します。

                「アクセス制御機能」の定義を口語的に言えば、「特定の符牒を知っている/持っている人にはネットワーク越しでの『利用制限の全部または一部を解除するため』に、管理者がコンピュータに導入した機能」になります。
                #今回の説明用に相当端折って書いたので、正確性は相当落ちる表現です。申し訳有りません。
              • by tamago915 (19926) on 2004年02月10日 18時17分 (#493122) 日記
                かみ合っていない部分があるようなので、もう少し教えてください。
                「誰も使えない」というのは、本当に誰も使えないのか、アクセス管理者以外の誰も使えないのか、どちらの意味で使っているでしょうか。

                前者なら、アクセス制御にあたらないというのは理解できます。
                # もっとも、この意味で「誰も使えない」機能が使えるようになる状況が想定できませんが……。
                ですが、後者なら、アクセス管理者が利用するための識別符号 (root のパスワードなど) があるはずですから、アクセス制御に該当すると思いますが、いかがでしょうか?
                親コメント
              • by tucker (16275) on 2004年02月12日 0時26分 (#493871) ホームページ
                えらく時間が空いてしまい、申し訳ないです。

                おっしゃるように、アクセス制御機能が無い、というのは前者の場合です。

                で、今回の件は「本来はリジェクトされるであろうデータをcgiに作成し、サーバに保存させることに成功した」という話だと思われるので、そのような行為をサーバーの管理者権限や、slashチームの人々だけが持っているような権限で行えるものなのかどうかが、アクセス制御機能の有り無しの判断基準になると思います。
                #これが「任意のデータを保存させることに成功した」だと簡単なんですけど、今回はcgiにデータを喰わせるのを成功したに留まってますので。

                やけに、細かい話になってしまってすいませんでした。
                親コメント

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

処理中...