パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • by Anonymous Coward
    > 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

    不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
    #HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

    > 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    実装上の脆弱性は全て保護対象外という主
    • 解説(Flamebait? -1) (スコア:3, 参考になる)

      by Anonymous Coward
      >> 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

      >不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
      >#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

      全て保護対象外です。
      原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。

      >> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

      >実装上の脆弱性は全て保護対象外という主張のようですね。
      • >アクセス制御機構を無効化するような

        アクセス制御をしている「ツモリ」(主観)の
        運営者、製造者がいたとします。
        しばしば、SQLinjectionやXSSは【非常に単純な】
        設計上もしくは実装上の漏れです。素人でも見つけられますね。
        このような単純ミスの場合には、ディレクトリ丸裸と同様に
        アクセス制御機構が働いていたとは見做しにくいものです。
        CGIやWebアプリを作成した時に、未知のXSS脆弱性や
        未知のSQLinjectionを作りこんでしまった、、ということは
        考えられません。タネはとっくの昔に割れているものです。
        設計者や製造者、運営者は、既知の基本的なセキュリティー上
        の防止策を実装
        --
        | 慈愛こそ慈愛
        • by Anonymous Coward
          いろいろダラダラ書いてるけど、基本的なところが間違っているよ。

          もしも攻撃者がクッキーを盗み出したとするならば、この時点で法の定める不正アクセスです。クッキーはユーザIDとパスワードの代替物でありそのこと

          • >いいえ、日本の不正アクセス禁止法では、入手した時点ではなく、使った時点です。

            違います。
            --
            | 慈愛こそ慈愛
            • by Anonymous Coward
              >>いいえ、日本の不正アクセス禁止法では、入手した時点ではなく、使った時点です。

              >違います。

              違いません。

              バカ?
              • by stwo (9482) on 2004年07月02日 11時20分 (#580935)
                ()内側は私が追加でつっこんだ文言。
                ====
                三 電気通信回線を介して接続された他の特定電子計算機(ブラウザ)が有するアクセス制御機能(サーバとの間のクッキーのやりとり機構)によりその特定利用(クッキーにより本来ステートレスなHTTPを介して通信者の同一性を保証することで特定利用可。)を制限されている特定電子計算機(サーバ)に電気通信回線を通じてその制限を免れることができる情報又は指令を入力(あらかじめ防衛することが不可能であったブラウザの未知のXSS脆弱性を悪用)して当該特定電子計算機(サーバ)を作動させ、その制限されている特定利用(個人認証用の特定のクッキーを得る)をし得る状態にさせる行為
                ====

                クッキーのやりとりの仕組みはアクセス制御機構の一部。
                未知のXSS脆弱性によりやりとりの仕組みの穴をつき
                クッキーを盗んだら既にアウト。
                クッキーを使って、さらに個人情報を盗んだらもっとアウト。
                ダブルプレー。

                【。。。をし得る状態にさせる行為 】
                というところがポイント。ここでワンナウト。
                。。。をし得るだけでなく、したら、ツーアウト。
                篠沢教授に10000点。
                --
                | 慈愛こそ慈愛
                親コメント
              • by Anonymous Coward

                クッキーのやりとりの仕組みはアクセス制御機構の一部。
                未知のXSS脆弱性によりやりとりの仕組みの穴をつき
                クッキーを盗んだら既にアウト。

                XSS で cookie を盗むのはサーバからではなく、クライアントであるブラウザからであり、ブラウザに法が言うところのアクセス制御機能があるわけではないので、不正アクセス禁止法にはふれない。

                さら

              • by stwo (9482) on 2004年07月03日 1時23分 (#581425)
                クライアントにアクセス制御機構がないなんて信じがたいですねぇ。
                サーバとは異なる実装をしていますが、やはり「誰かが」「その権限で」
                使っていると思われてなりません。
                --
                | 慈愛こそ慈愛
                親コメント
              • by Anonymous Coward

                クライアントにアクセス制御機構がないなんて信じがたいですねぇ。

                信じがたいも何も、どこにユーザ名とパスワードによるクッキーの保護があるのかと。

                この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されて

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...