パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • by Anonymous Coward
    > 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

    不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
    #HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

    > 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    実装上の脆弱性は全て保護対象外という主
    • 解説(Flamebait? -1) (スコア:3, 参考になる)

      by Anonymous Coward
      >> 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

      >不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
      >#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

      全て保護対象外です。
      原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。

      >> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

      >実装上の脆弱性は全て保護対象外という主張のようですね。
      • >アクセス制御機構を無効化するような

        アクセス制御をしている「ツモリ」(主観)の
        運営者、製造者がいたとします。
        しばしば、SQLinjectionやXSSは【非常に単純な】
        設計上もしくは実装上の漏れです。素人でも見つけられますね。
        このような単純ミスの場合には、ディレクトリ丸裸と同様に
        アクセス制御機構が働いていたとは見做しにくいものです。
        CGIやWebアプリを作成した時に、未知のXSS脆弱性や
        未知のSQLinjectionを作りこんでしまった、、ということは
        考えられません。タネはとっくの昔に割れているものです。
        設計者や製造者、運営者は、既知の基本的なセキュリティー上
        の防止策を実装
        --
        | 慈愛こそ慈愛
        • 論点がずれますので追加として書かせてください。

          おおざっぱにいえば、URL(URI)はプロトコル別にRFCで定義されて
          いますし、実はRFCで未定義であって別途定めるW3Cの規定により
          定められるURLもあります。
          このたび問題になったCGIのだらしない作り方を詳しく調べましたら
          次のようなことがわかりました。すなわち、上で書いた標準的な書法
          で記述されたURLの形式で、晒された個人情報に到達できてしまうの
          です。言い換えますと、代表的なブラウザであれば、あなたがブラウ
          ザを起動後、このURLをアドレスバーにいれてエンターキーを叩けば
          問題の個人情報がブラウザの画面に
          --
          | 慈愛こそ慈愛
          • by Anonymous Coward
            >あなたがブラウ ザを起動後、このURLをアドレスバーにいれてエンターキーを叩けば
            >問題の個人情報がブラウザの画面に表示されるのです。

            そういう嘘を平然と書けるってのはどういう神経してるんだろうなぁ。
            • by stwo (9482) on 2004年07月03日 1時12分 (#581421)

              >>あなたがブラウ ザを起動後、このURLを
              >>アドレスバーにいれてエンターキーを叩けば
              >>問題の個人情報がブラウザの画面に表示されるのです。

              >そういう嘘を平然と書けるってのはどういう神経してるんだろうなぁ。

              あ、これは複数の人に確認をとってあってもらっているんで
              大丈夫ですよ。私のバカな法律の解釈論とは異なりましてPoCですので。(^^)
              Proof of ContentなURLが実在するんです。

              >そういう嘘
              という名前の予想をくつがえす反例を作ることは
              しばしば予想を証明することよりも簡単です。
              かたや全面戦争ですし、かたや、運が良ければ一点突破でOKですので。
              --
              | 慈愛こそ慈愛
              親コメント
              • by Anonymous Coward
                >あ、これは複数の人に確認をとってあってもらっているんで
                >大丈夫ですよ。私のバカな法律の解釈論とは異なりましてPoCですので。(^^)
                >Proof of ContentなURLが実在するんです。

                へ~、ほ~、ふ~ん。で
              • by Anonymous Coward
                > Proof of ContentなURLが実在するんです。

                Proof of Content

                なんですか?それ?

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...