アカウント名:
パスワード:
犯人が見つかった場合には不正アクセス法違反に加えて、 (netlab.jpに被害を加えたことで)会社として損害賠償も請求することにな
犯人が見つかった場合には不正アクセス法違反に加えて、 (netlab.jpに被害を加えたことで)会社として損害賠償も請求することになると思います。
なすべき対策もせずに放置しておい
Office氏の事件の場合CGIにファイル名を引数として与えてやるだけで簡単にファイルを開くことができたと聞いています。
・HTMLの内容を書き換えて本来の仕様にはない引数(CGI自体のファイル名)をCGIに渡す
・再びHTMLの内容を書き換えて本来の仕様にはない引数(個人情報が保存されていたログファイル名)をCGIに渡す
これって違うんですか?
サーバ上のHTMLを書き換えるのと、ローカルに保存したHTMLを書き換えるのとは、まったく違うでしょう。
さらにいえば、別にローカルのHTMLを書き換えずとも、Telnetでつないで全部手で打つことや、wgetの引数で指定することでだって、実現可能ですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
もじら組 (スコア:0)
そうなると、やはり、同一犯?
まつもとさんの日記にあるように
Re:もじら組 (スコア:1, 興味深い)
なすべき対策もせずに放置しておい
Re:もじら組 (スコア:1)
対処が遅かったことに問題があるとはいえ、狙われたのはCVSの脆弱性であり、しかも何もせずにデフォルト公開されている場所に関するものでもなく、明確に改竄できない(させたくない)場所の情報を、脆弱性を利用して意図的に改竄しわわけですから。
taka4
Re:もじら組 (スコア:0)
少なくとも警察は違う見解のようですね。そうでなければそもそも逮捕などなかったでしょうから。
> 今回とはだいぶ状況が違いませんか?
と言う訳で、あなたの見解にしたがえばそうかも知れません。しかし違う見解の人も明らかにいますね。
Re:もじら組 (スコア:1)
一方、今回の件の場合はCVSに明らかな攻撃の意図を持ったコードを突っ込まないとクラック出来ません。
従いまして、Office氏の事件が不正アクセスであるか否か、逮捕に正当性があったかどうかにかかわらず、Office氏の事件と今回の事件はまったく状況が違うと思います。
#突っ込み、フォローがありましたらよろしくお願いします。
Re:もじら組 (スコア:0)
Re:もじら組 (スコア:1)
誤解を招くような書き方をしたことは反省しておりますが、URLの引数ではなくPOSTメソッドの引数をさしていることをお察しください。
Re:もじら組 (スコア:0)
Re:もじら組 (スコア:0)
グレイである以上は何を語っても説得力がないですし。
Re:もじら組 (スコア:1)
サーバ上のHTMLを書き換えるのと、ローカルに保存したHTMLを書き換えるのとは、まったく違うでしょう。
さらにいえば、別にローカルのHTMLを書き換えずとも、Telnetでつないで全部手で打つことや、wgetの引数で指定することでだって、実現可能ですね。
Re:もじら組 (スコア:1)
しかし、CVSの脆弱性をついて攻撃するのは少なくとも、HTMLの知識がある程度のレベルではできないでしょう。
この難易度の大きな差を根拠にOffice氏の事件と今回の事件が状況がぜんぜん違うといっているのです。
#もしかしてサーバー上に存在するHTMLファイルを書き換えているのだと勘違いしていませんか。
Re:もじら組 (スコア:0)
>二次公開したのであって、今回とはだいぶ状況が違いませんか?
このように書くと、まるでACCSが意図的に公開していたような
印象を受けるように見えますけど、両者とも期待しない不正侵入を
受け
Re:もじら組 (スコア:1)
taka4