パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • by Anonymous Coward
    > 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

    不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
    #HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

    > 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    実装上の脆弱性は全て保護対象外という主
    • 解説(Flamebait? -1) (スコア:3, 参考になる)

      by Anonymous Coward
      >> 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

      >不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
      >#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

      全て保護対象外です。
      原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。

      >> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

      >実装上の脆弱性は全て保護対象外という主張のようですね。
      • >アクセス制御機構を無効化するような

        アクセス制御をしている「ツモリ」(主観)の
        運営者、製造者がいたとします。
        しばしば、SQLinjectionやXSSは【非常に単純な】
        設計上もしくは実装上の漏れです。素人でも見つけられますね。
        このような単純ミスの場合には、ディレクトリ丸裸と同様に
        アクセス制御機構が働いていたとは見做しにくいものです。
        CGIやWebアプリを作成した時に、未知のXSS脆弱性や
        未知のSQLinjectionを作りこんでしまった、、ということは
        考えられません。タネはとっくの昔に割れているものです。
        設計者や製造者、運営者は、既知の基本的なセキュリティー上
        の防止策を実装
        --
        | 慈愛こそ慈愛
        • 不正アクセス禁止法による不正アクセス行為というのは、
          法文からすると、アクセス制限をしているところに、
          人のパスワードを使って入ったり、セッションハイジャック等のなりすまし行為をすることを言うのでしょう。

          単純ミスによる脆弱性をもつソフトを使ったことによって、
          パスワードがばれたり、クッキーを
          • by raijin (7091) on 2004年07月02日 0時12分 (#580667)
            ねたでつか?

            >>単純ミスによる脆弱性をもつソフトを使ったことによって、
            >>パスワードがばれたり、クッキーを取られたりしても、
            >>不正アクセス行為をされたら、不正アクセス禁止法で処罰される
            >>べきです。

            そりゃそうでしょ。 だから?

            論点は、公知の脆弱性をついて情報を閲覧する行為が不正アクセス
            禁止法にひっかかるかどうかでしょ?

            問題は、旧来のパソコン通信や専用線による通信等で想定されていた
            不正アクセス行為という定義で、現在の状態をカバーできなくなった
            ことにあるんだけど。

            ただ、不正アクセス法を強化するんなら、管理者などへ対する
            管理責任を明確に定義して、管理放棄や管理不行き届きを処罰対象
            にしてほしいね。
            親コメント

アレゲは一日にしてならず -- アレゲ見習い

処理中...