Re:もじら組 (#558879) | 今度はRuby・・・ruby-lang.orgクラックされる

「今度はRuby・・・ruby-lang.orgクラックされる」記事へのコメント

記事ページを表示すべてのコメント取得

検索75コメント Log In/Create an Account

もじら組 (スコア:0)

by Anonymous Coward

もじら組 [mozilla.gr.jp]もCVSによる侵入だったようです。
そうなると、やはり、同一犯?
まつもとさんの日記にあるように
犯人が見つかった場合には不正アクセス法違反に加えて、 (netlab.jpに被害を加えたことで)会社として損害賠償も請求することにな
- Re:もじら組 (スコア:1, 興味深い)
  
  by Anonymous Coward on 2004年05月30日 13時20分 (#558879)
  
  犯人が見つかった場合には不正アクセス法違反に加えて、 (netlab.jpに被害を加えたことで)会社として損害賠償も請求することになると思います。
  
  なすべき対策もせずに放置しておいて、クラックされるのを待ってたわけですね。それで損害賠償請求ですか。文字通り「サイバーノーガード戦法」ですね。ACCSとやってることは何ら変わりませんね。
  
  シェア
  
  親コメント
  - Re:もじら組 (スコア:1)
    
    by nisi (6390) on 2004年05月30日 14時46分 (#558905) 日記
    
    office氏の事件の場合、悠然と公開スペースに置かれていた情報を二次公開したのであって、今回とはだいぶ状況が違いませんか？
    
    対処が遅かったことに問題があるとはいえ、狙われたのはCVSの脆弱性であり、しかも何もせずにデフォルト公開されている場所に関するものでもなく、明確に改竄できない（させたくない）場所の情報を、脆弱性を利用して意図的に改竄しわわけですから。
    
    --
    taka4
    
    シェア
    
    親コメント
    - Re:もじら組 (スコア:0)
      
      by Anonymous Coward
      
      > office氏の事件の場合、悠然と公開スペースに置かれていた情報を二次公開した
      
      少なくとも警察は違う見解のようですね。そうでなければそもそも逮捕などなかったでしょうから。
      
      > 今回とはだいぶ状況が違いませんか？
      
      と言う訳で、あなたの見解にしたがえばそうかも知れません。しかし違う見解の人も明らかにいますね。
      - Re:もじら組 (スコア:1)
        
        by nabe_specter (19185) on 2004年05月30日 19時17分 (#558977)
        
        Office氏の事件の場合CGIにファイル名を引数として与えてやるだけで簡単にファイルを開くことができたと聞いています。
        
        一方、今回の件の場合はCVSに明らかな攻撃の意図を持ったコードを突っ込まないとクラック出来ません。
        
        従いまして、Office氏の事件が不正アクセスであるか否か、逮捕に正当性があったかどうかにかかわらず、Office氏の事件と今回の事件はまったく状況が違うと思います。
        
        #突っ込み、フォローがありましたらよろしくお願いします。
        
        シェア
        
        親コメント
        
        Re:もじら組 (スコア:0)
        
        by Anonymous Coward
        
        Office氏の事件の場合CGIにファイル名を引数として与えてやるだけで簡単にファイルを開くことができたと聞いています。
        それはこの辺に書いてあること [geocities.jp]とはだいぶ違いますね。
        
        Re:もじら組 (スコア:1)
        
        by nabe_specter (19185) on 2004年05月30日 19時53分 (#559007)
        
        ・HTMLの内容を書き換えて本来の仕様にはない引数（CGI自体のファイル名）をCGIに渡す
        とか
        ・再びHTMLの内容を書き換えて本来の仕様にはない引数（個人情報が保存されていたログファイル名）をCGIに渡す
        これって違うんですか?
        誤解を招くような書き方をしたことは反省しておりますが、URLの引数ではなくPOSTメソッドの引数をさしていることをお察しください。
        
        シェア
        
        親コメント
        
        Re:もじら組 (スコア:0)
        
        by Anonymous Coward
        
        これって違うんですか?
        どうして「HTMLを書き変えた」って所を意図的に無視してるんですか?
        
        Re:もじら組 (スコア:0)
        
        by Anonymous Coward
        
        と言うか、話がループしまくるので法的に結論が出るまで待ちませんか？
        グレイである以上は何を語っても説得力がないですし。
        
        Re:もじら組 (スコア:1)
        
        by moci (11748) on 2004年05月31日 0時23分 (#559154) 日記
        
        サーバ上のHTMLを書き換えるのと、ローカルに保存したHTMLを書き換えるのとは、まったく違うでしょう。
        
        さらにいえば、別にローカルのHTMLを書き換えずとも、Telnetでつないで全部手で打つことや、wgetの引数で指定することでだって、実現可能ですね。
        
        シェア
        
        親コメント
        
        Re:もじら組 (スコア:1)
        
        by nabe_specter (19185) on 2004年05月31日 19時27分 (#559864)
        
        ローカル上に存在するファイルを書き換えるのはメモ帳で十分でしょう。メモ帳を操作してHTMLファイルを書き換える程度なら、ちょっとHTMLについて勉強していれば簡単にできるはずです。
        
        しかし、CVSの脆弱性をついて攻撃するのは少なくとも、HTMLの知識がある程度のレベルではできないでしょう。
        
        この難易度の大きな差を根拠にOffice氏の事件と今回の事件が状況がぜんぜん違うといっているのです。
        
        #もしかしてサーバー上に存在するHTMLファイルを書き換えているのだと勘違いしていませんか。
        
        シェア
        
        親コメント
    - Re:もじら組 (スコア:0)
      
      by Anonymous Coward
      
      >office氏の事件の場合、悠然と公開スペースに置かれていた情報を
      >二次公開したのであって、今回とはだいぶ状況が違いませんか？
      
      このように書くと、まるでACCSが意図的に公開していたような
      印象を受けるように見えますけど、両者とも期待しない不正侵入を
      受け
      - Re:もじら組 (スコア:1)
        
        by nisi (6390) on 2004年06月02日 7時43分 (#561027) 日記
        
        玄関の前に置いてあったものを見てしまったら不法侵入ですか？
        
        --
        taka4
        
        シェア
        
        親コメント
  - Re:もじら組 (スコア:0)
    
    by Anonymous Coward
    
    煽るつもりはないけど、おれもいきなり「不正アクセス禁止法」が出てきて、びっくりした。まつもとさんのoffice氏の事件に対する見解は知らないけど……。
    - Re:もじら組 (スコア:0)
      
      by Anonymous Coward
      
      おれもいきなり「不正アクセス禁止法」が出てきて、びっくりした。
      
      まさしく「不正アクセス」されたんだから、出てきても別に不思議じゃないと思いますが。管理がずさんだった(迂闊
      - Re:もじら組 (スコア:3, 参考になる)
        
        by taka2 (14791) on 2004年05月30日 22時53分 (#559104) ホームページ日記
        
        この場合は、不正アクセス行為の禁止等に関する法律 [meti.go.jp]の三条の三ですね。
        ---
        第三条　何人も、不正アクセス行為をしてはならない。
        (略)
        三　電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
        ---
        
        つまり、パスワードによって制限されている機能があるときに、
        なんらかの手段でパスワードを入れたのと同じ効果を得ることは不正アクセス行為になる、と。
        (ちなみに、
        三条の一は他人のパスワードを使うこと
        三条の二はニセのパスワードを使うこと
        です。)
        
        今回の場合、
        CVSのバグに乗じてコードを流し込むことによって、
        通常はパスワードを入れてログインしないと出来ないことを
        出来るようにしたので、まんま不正アクセス行為です。
        
        Office 氏の場合、そもそもパスワードをかけていた
        (アクセス制御機能によりその特定利用を制限されていた)
        ことになるのかどうかが争点になっているので、ちょっと別問題ですね。
        
        シェア
        
        親コメント
  - Re:もじら組 (スコア:0)
    
    by Anonymous Coward
    
    「サイバーノーガード戦法」って言葉が
    ただ感情的というか、センセーショナルに使われすぎだと思うんですよね。
    
    ガードしてようがノーガードだろうが、
    不正アクセスしていいわけではありませんから。
    
    サーバ設置者は、サーバをできる限り安全にしておく責

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

今度はRuby・・・ruby-lang.orgクラックされる More ログイン

「今度はRuby・・・ruby-lang.orgクラックされる」記事へのコメント

もじら組 (スコア:0)

Re:もじら組 (スコア:1, 興味深い)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:1)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:0)

Re:もじら組 (スコア:3, 参考になる)

Re:もじら組 (スコア:0)

スラド