パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • by Anonymous Coward
    > 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

    不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
    #HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

    > 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    実装上の脆弱性は全て保護対象外という主
    • 解説(Flamebait? -1) (スコア:3, 参考になる)

      by Anonymous Coward
      >> 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

      >不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
      >#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

      全て保護対象外です。
      原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。

      >> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

      >実装上の脆弱性は全て保護対象外という主張のようですね。
      • >アクセス制御機構を無効化するような

        アクセス制御をしている「ツモリ」(主観)の
        運営者、製造者がいたとします。
        しばしば、SQLinjectionやXSSは【非常に単純な】
        設計上もしくは実装上の漏れです。素人でも見つけられますね。
        このような単純ミスの場合には、ディレクトリ丸裸と同様に
        アクセス制御機構が働いていたとは見做しにくいものです。
        CGIやWebアプリを作成した時に、未知のXSS脆弱性や
        未知のSQLinjectionを作りこんでしまった、、ということは
        考えられません。タネはとっくの昔に割れているものです。
        設計者や製造者、運営者は、既知の基本的なセキュリティー上
        の防止策を実装
        --
        | 慈愛こそ慈愛
        • by stwo (9482) on 2004年07月01日 22時11分 (#580580)
          論点がずれますので追加として書かせてください。

          おおざっぱにいえば、URL(URI)はプロトコル別にRFCで定義されて
          いますし、実はRFCで未定義であって別途定めるW3Cの規定により
          定められるURLもあります。
          このたび問題になったCGIのだらしない作り方を詳しく調べましたら
          次のようなことがわかりました。すなわち、上で書いた標準的な書法
          で記述されたURLの形式で、晒された個人情報に到達できてしまうの
          です。言い換えますと、代表的なブラウザであれば、あなたがブラウ
          ザを起動後、このURLをアドレスバーにいれてエンターキーを叩けば
          問題の個人情報がブラウザの画面に表示されるのです。
          このようなシステムが果して個人情報へのアクセス制御をしていたと
          言えるでしょうか?まさしくディレクトリ丸見えの延長上にあるので
          す。どこか不特定多数が訪問する掲示板やフォーラムなどで、この
          URLを晒したり、あるいはリンクを作っておいたりしたら、不特定
          多数がアクセス制御を侵犯したことに、、ならないですよねぇ。。。
          そのぐらい今回の森川氏謹製のCGIはだらしないものなのです。
          ちなみにこのCGIはmethod=POSTであることは上の論議に折込済みで
          す。

          あ、余談ながら、この際ですので言っておきましょう。Web画面から
          メールを飛ばすFORMのCGIを良く見かけます。HTMLソース表示をして
          みたら宛先がform内に書いてあることが極めて多いですよね。もう、
          その瞬間スパム送り放題なのですがいいのですかねぇ。これなども
          異常に古典的なものなのですが。もし皆さんがたまたま使おうとした
          そのようなCGIが変な作りになっていたら、作成者に是非メールで
          注意してあげてください。
          office氏の場合には、メールの宛先ではなく、ファイル表示パスが
          FORM内に書いてあっただけですが、ヨワヨワですねぇ。
          --
          | 慈愛こそ慈愛
          親コメント
          • by NOBAX (21937) on 2004年07月03日 11時00分 (#581572)
            >その瞬間スパム送り放題なのですがいいのですかねぇ。
            ぜんぜん話が違うような。
            親コメント
          • by Anonymous Coward
            >あなたがブラウ ザを起動後、このURLをアドレスバーにいれてエンターキーを叩けば
            >問題の個人情報がブラウザの画面に表示されるのです。

            そういう嘘を平然と書けるってのはどういう神経してるんだろうなぁ。
            • by stwo (9482) on 2004年07月03日 1時12分 (#581421)

              >>あなたがブラウ ザを起動後、このURLを
              >>アドレスバーにいれてエンターキーを叩けば
              >>問題の個人情報がブラウザの画面に表示されるのです。

              >そういう嘘を平然と書けるってのはどういう神経してるんだろうなぁ。

              あ、これは複数の人に確認をとってあってもらっているんで
              大丈夫ですよ。私のバカな法律の解釈論とは異なりましてPoCですので。(^^)
              Proof of ContentなURLが実在するんです。

              >そういう嘘
              という名前の予想をくつがえす反例を作ることは
              しばしば予想を証明することよりも簡単です。
              かたや全面戦争ですし、かたや、運が良ければ一点突破でOKですので。
              --
              | 慈愛こそ慈愛
              親コメント
              • by Anonymous Coward
                >あ、これは複数の人に確認をとってあってもらっているんで
                >大丈夫ですよ。私のバカな法律の解釈論とは異なりましてPoCですので。(^^)
                >Proof of ContentなURLが実在するんです。

                へ~、ほ~、ふ~ん。で
              • by Anonymous Coward
                > Proof of ContentなURLが実在するんです。

                Proof of Content

                なんですか?それ?

人生unstable -- あるハッカー

処理中...