パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

office氏不正アクセス事件の公判内容が明らかに」記事へのコメント

  • by Anonymous Coward
    > 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

    不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
    #HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

    > 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

    実装上の脆弱性は全て保護対象外という主
    • 解説(Flamebait? -1) (スコア:3, 参考になる)

      by Anonymous Coward
      >> 「サーバ全体にIDやパスワードがかかっていたかどうかということより、特定の行為ごとに不正アクセスであるか否かを判断すべきである」

      >不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
      >#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。

      全て保護対象外です。
      原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。

      >> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」

      >実装上の脆弱性は全て保護対象外という主張のようですね。
      • >アクセス制御機構を無効化するような

        アクセス制御をしている「ツモリ」(主観)の
        運営者、製造者がいたとします。
        しばしば、SQLinjectionやXSSは【非常に単純な】
        設計上もしくは実装上の漏れです。素人でも見つけられますね。
        このような単純ミスの場合には、ディレクトリ丸裸と同様に
        アクセス制御機構が働いていたとは見做しにくいものです。
        CGIやWebアプリを作成した時に、未知のXSS脆弱性や
        未知のSQLinjectionを作りこんでしまった、、ということは
        考えられません。タネはとっくの昔に割れているものです。
        設計者や製造者、運営者は、既知の基本的なセキュリティー上
        の防止策を実装
        --
        | 慈愛こそ慈愛
        • 論点がずれますので追加として書かせてください。

          おおざっぱにいえば、URL(URI)はプロトコル別にRFCで定義されて
          いますし、実はRFCで未定義であって別途定めるW3Cの規定により
          定められるURLもあります。
          このたび問題になったCGIのだらしない作り方を詳しく調べましたら
          次のようなことがわかりました。すなわち、上で書いた標準的な書法
          で記述されたURLの形式で、晒された個人情報に到達できてしまうの
          です。言い換えますと、代表的なブラウザであれば、あなたがブラウ
          ザを起動後、このURLをアドレスバーにいれてエンターキーを叩けば
          問題の個人情報がブラウザの画面に
          --
          | 慈愛こそ慈愛

ソースを見ろ -- ある4桁UID

処理中...