パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • by Anonymous Coward
    > 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

    不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
    #HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

    > 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    実装上の脆弱性は全て保護対象外という主
    • 解説(Flamebait? -1) (スコア:3, 参考になる)

      by Anonymous Coward
      >> 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

      >不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
      >#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

      全て保護対象外です。
      原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。

      >> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

      >実装上の脆弱性は全て保護対象外という主張のようですね。
      • by Anonymous Coward on 2004年07月01日 18時29分 (#580468)
        それに対してXSSやSQL injectionはアクセス制御機構を無効化するような情報を入力する行為なので処罰の対象になります。
        無茶苦茶言うなあ。 XSS がどういうものか知らないで書いてるでしょ。 最近、ウェブの脆弱性というと何でも「ああ、クロスサイトですよねえ?」としたり顔で言う知ったか厨が多くてウンザリ。

        XSS はクライアント側で任意の JavaScript を動かせる場合があるというものですよ。その結果として、クッキーを盗めることがあって、さらにその盗んだクッキーを使うとセッションハイジャックができるって話。
        「アクセス制御機構を無効化するような情報を入力する行為」というのは、盗んだクッキーを使う行為の部分。
        XSS があるかどうかは、そういう攻撃が起き得るかの可能性を示しすだけなわけで、それ自体がアクセス制御機構を無効化するわけじゃない。

        SQL injection も、もろにアクセス制御機構を回避する攻撃に使う場合(パスワード欄にシングルクオート+云々を入れるとか)もあるけど、それ以外の攻撃もあるね。

        親コメント
        • by Anonymous Coward
          XSS はクライアント側で任意の JavaScript を動かせる場合があるというものですよ。その結果として、クッキーを盗めることがあって、さらにその盗んだクッキーを使うとセッションハイジャックができるって話。
          XSSで送り込んだスクリプトでブラウザの脆弱性を突いてローカルファイルを攻撃者に転送するような場合は?
          • by Anonymous Coward
            それは、不正アクセス禁止法ではなく、刑法改正で新設が検討されている「不正指令電磁的記録等作成等の罪」でしょう。

            それに、ローカルファイルを転送するのに使える XSS穴なんて過去にあったっけ? それは、cross domain なんとかって言うんじゃなかったかと。

ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家

処理中...