アカウント名:
パスワード:
もしも攻撃者がクッキーを盗み出したとするならば、この時点で法の定める不正アクセスです。クッキーはユーザIDとパスワードの代替物でありそのこと
クッキーのやりとりの仕組みはアクセス制御機構の一部。 未知のXSS脆弱性によりやりとりの仕組みの穴をつき クッキーを盗んだら既にアウト。
XSS で cookie を盗むのはサーバからではなく、クライアントであるブラウザからであり、ブラウザに法が言うところのアクセス制御機能があるわけではないので、不正アクセス禁止法にはふれない。
さら
クライアントにアクセス制御機構がないなんて信じがたいですねぇ。
信じがたいも何も、どこにユーザ名とパスワードによるクッキーの保護があるのかと。
この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されて
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」
主張の解読を試みる (スコア:1, 興味深い)
不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
実装上の脆弱性は全て保護対象外という主
解説(Flamebait? -1) (スコア:3, 参考になる)
>不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
>#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
全て保護対象外です。
原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。
>> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
>実装上の脆弱性は全て保護対象外という主張のようですね。
Re:解説(Flamebait? -1) (スコア:2, 興味深い)
アクセス制御をしている「ツモリ」(主観)の
運営者、製造者がいたとします。
しばしば、SQLinjectionやXSSは【非常に単純な】
設計上もしくは実装上の漏れです。素人でも見つけられますね。
このような単純ミスの場合には、ディレクトリ丸裸と同様に
アクセス制御機構が働いていたとは見做しにくいものです。
CGIやWebアプリを作成した時に、未知のXSS脆弱性や
未知のSQLinjectionを作りこんでしまった、、ということは
考えられません。タネはとっくの昔に割れているものです。
設計者や製造者、運営者は、既知の基本的なセキュリティー上
の防止策を実装
| 慈愛こそ慈愛
Re:解説(Flamebait? -1) (スコア:0)
Re:解説(Flamebait? -1) (スコア:1)
違います。
| 慈愛こそ慈愛
Re:解説(Flamebait? -1) (スコア:0)
>
>違います。
違いません。
バカ?
バカだけどIDで。 (スコア:1)
====
三 電気通信回線を介して接続された他の特定電子計算機(ブラウザ)が有するアクセス制御機能(サーバとの間のクッキーのやりとり機構)によりその特定利用(クッキーにより本来ステートレスなHTTPを介して通信者の同一性を保証することで特定利用可。)を制限されている特定電子計算機(サーバ)に電気通信回線を通じてその制限を免れることができる情報又は指令を入力(あらかじめ防衛することが不可能であったブラウザの未知のXSS脆弱性を悪用)して当該特定電子計算機(サーバ)を作動させ、その制限されている特定利用(個人認
| 慈愛こそ慈愛
Re:バカだけどIDで。 (スコア:0)
XSS で cookie を盗むのはサーバからではなく、クライアントであるブラウザからであり、ブラウザに法が言うところのアクセス制御機能があるわけではないので、不正アクセス禁止法にはふれない。
さら
Re:バカだけどIDで。 (スコア:1)
サーバとは異なる実装をしていますが、やはり「誰かが」「その権限で」
使っていると思われてなりません。
| 慈愛こそ慈愛
Re:バカだけどIDで。 (スコア:0)
信じがたいも何も、どこにユーザ名とパスワードによるクッキーの保護があるのかと。
この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されて