アカウント名:
パスワード:
かと言って「試してないから推測だけど、穴あるんじゃないの?」と尋ねた所で相手にしないとこの方が多いだろうし、
こういう態度が「参考になる」ですか。プラスモデ付けた奴、親が見たら泣くよ。
「参考になる」というモデは、べつに「同意」という意味ではありません。 「自分にとって参考になる」ではなく
・CGIで『管理されている』事を知っていた。 ・そのCGIに『バグ』がある事を知っていた。 ・バグにより『アクセス制限を回避』した。
って辺りが重視されたのでは? つまり目的として『不正アクセス』があって、その方法が『URLの書き換え』という安易な方法だったと。 その上で実際にデータを抜き出して他人の個人データを公表なんかしているのですから、そりゃある程度厳しい目で見られても仕方ないかと。
本来『遮蔽されている筈』の『個人情報』と『知っていて』『意図して』『抜き取った』訳ですから。 元々『公開している情報としてあると思っていた』ものを探すのとは明らかに異なる動機だと判断されても仕方ないと思いますよ。
それも、当人からしてそういう事自体がユーザーへの被害だと主張しているのだから、直接危害を加える意図があったかは兎も角、『危害を加える行為だと理解して行っていた』とも取れる訳だし。
例えば『包丁を買う』事自体は違法ではありません。 が、『人を傷つける目的で包丁を買う』のは違法です。
今回の場合は、意図的にそれを行っているのが明白ですから。
>危害を加える意志があったかどうかも裁判では問われておらず 問う必然性が無い位に明白だからでしょう。 危険性を啓蒙する活動がの一環としての行動と言うのであれば、その危険性を理解していない筈は無く、顧客への危害だと言っていた情報を漏らすことを危害だと思わなかったと言える訳も無く。 飽くまで『セキュリティ問題研究の為』と言い張る上では問題に出来ないでしょ?『興味本位でやった』と言うのであれば兎も角。
それは勘違いでしょう。
Office氏はcgiのソースを落とし、それを改変してアクセスしてますよね? それ自体が、隠蔽されているものを得ようと意識して行ったと言う証拠になります。 当然、その時点でそれが管理し隠蔽されているデータであると言うことを理解していないなんて言い訳は通りません。
彼は件のcgiにはバグ(というよりはセキュリティホール)が有ることを予め知っており、それを利用したアタックだったのですから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
URL? (スコア:1)
URLじゃなくてHTMLじゃない? URL書き換えがダメなら、連番エロ画像やエロストリーミングファイルのぶっこぬきが出来なくなるじゃあないか!
# 自分はやったことありませんよ
どっちにせよM-FalconSkyさん [srad.jp]がコメントしてるように試験方法としては妥当なやり方だと思うな
Re:URL? (スコア:1, 興味深い)
穴があるかも、と気づいて 試しに実際に穴の向こうを覗く ってのはやっぱり悪い事なんじゃないの、と。
かと言って「試してないから推測だけど、穴あるんじゃないの?」と尋ねた所で相手にしないとこの方が多いだろうし、
相手にしてもらうために「穴がある可能性を当人に伝えました」とWebで宣伝したりしたらそれこそ訴えられそう。
Re:URL? (スコア:2, 参考になる)
Re:URL? (スコア:1)
> 脆弱性を発見した場合に届け出てください。
であるのですが、今回の判決のとおりとなれば
「もしかして脆弱かも?」と思って実験するのは
駄目なんじゃないでしょうか?
#偶然発見した場合も、再現手順を探すのは違反と
#なりかねませんよね。
届け出、できますか?
Re:URL? (スコア:0)
第一通報者 (スコア:2, 参考になる)
実際犯人であることが多いらしい。
犯罪を見つけても、脆弱性見つけても、放置プレイが一番の正解かな。
自分を守るために。
Re:第一通報者 (スコア:1)
今回は、個人情報保護法が施法される以前の話なので、うっかり漏洩していても、まだ犯罪じゃ有りませんでした。
来月以降は、刑事罰付きのれっきとした犯罪になるので、対処方法が大きく変わってきます。通報手段さえ適切であれば、過程の違法性は見逃してもらえる可能性が高いのではないでしょうか?
-- Buy It When You Found It --
Re:第一通報者 (スコア:0)
違います。個人情報を集め管理していた側の問題になりますので、それを盗み出した犯罪者は、従前の例に従います。
# 個人情報保護法は個人情報を保護しません
Re:第一通報者 (スコア:0)
こういう態度が「参考になる」ですか。プラスモデ付けた奴、親が見たら泣くよ。
Re:第一通報者 (スコア:1)
私も同感ですな
Re:第一通報者 (スコア:0)
「参考になる」というモデは、べつに「同意」という意味ではありません。
「自分にとって参考になる」ではなく
Re:第一通報者 (スコア:0)
河合がまずもって、ACCSに通報したあげく訴えられたとしたら、あなたの危惧も理解できるわけですが。
Re:第一通報者 (スコア:0)
という態度をとるでしょうから、それを危惧しているのでは?
Re:URL? (スコア:0)
その程度の筋も通さない相手なんて綺麗事言っているだけの単なる犯罪者予備軍と考えるほうがセキュリティ上は安全ですな。
逮捕されない保障のある手順を用意すると、まず間違いなく一番に使用するのは犯罪者だろうしな。
Re:URL? (スコア:0)
たまたま見つけた問題を報告するかしないかの選択において わざわざ逮捕される可能性がある手段を取る気はないという だけです。この届出を使わないとすれば当然もう1つの選択肢は
Re:URL? (スコア:0)
Re:URL? (スコア:1, 参考になる)
・CGIで『管理されている』事を知っていた。
・そのCGIに『バグ』がある事を知っていた。
・バグにより『アクセス制限を回避』した。
って辺りが重視されたのでは?
つまり目的として『不正アクセス』があって、その方法が『URLの書き換え』という安易な方法だったと。
その上で実際にデータを抜き出して他人の個人データを公表なんかしているのですから、そりゃある程度厳しい目で見られても仕方ないかと。
Re:URL? (スコア:0)
・リンクされたURLに『誤りがある』事を知っていた。
・そのURLは『別のURLから推測』できる事を知っていた。
・URLを書き換えて『どこからもリンクされていないリソースを取得』した。
でも、不正アクセスになっちゃうんじゃない?
定義的には非常に似てると思うんだけど。
Re:URL? (スコア:1)
本来『遮蔽されている筈』の『個人情報』と『知っていて』『意図して』『抜き取った』訳ですから。
元々『公開している情報としてあると思っていた』ものを探すのとは明らかに異なる動機だと判断されても仕方ないと思いますよ。
それも、当人からしてそういう事自体がユーザーへの被害だと主張しているのだから、直接危害を加える意図があったかは兎も角、『危害を加える行為だと理解して行っていた』とも取れる訳だし。
Re:URL? (スコア:1)
Re:URL? (スコア:1)
例えば『包丁を買う』事自体は違法ではありません。
が、『人を傷つける目的で包丁を買う』のは違法です。
今回の場合は、意図的にそれを行っているのが明白ですから。
Re:URL? (スコア:0)
WWWのデータ共有モデルは、自宅にお客を招いて見てもらうのと違って
自分から閲覧可能な場(WWW)へデータを持って見せにいく形です。
CGIを通してGETできたと言っても、勝手にそうなるはずはなくて
手抜きをしたか失念したかはともかく、管理者がそう設定したのは
まちがいのない事実です。しかも、BASIC認証すらなかった。
これはプロトコル的には「自由に見てちょうだい」と同義です。
データの中身が公開に適しているかどうかは、あくまで
Re:URL? (スコア:1)
であればプロトコル云々なんか関係なく、どんな方法であれ管理していた事実が重要と判断したのは、それほど変ではなく、寧ろ妥当だと思いますが。
>危害を加える意志があったかどうかも裁判では問われておらず
問う必然性が無い位に明白だからでしょう。
危険性を啓蒙する活動がの一環としての行動と言うのであれば、その危険性を理解していない筈は無く、顧客への危害だと言っていた情報を漏らすことを危害だと思わなかったと言える訳も無く。
飽くまで『セキュリティ問題研究の為』と言い張る上では問題に出来ないでしょ?『興味本位でやった』と言うのであれば兎も角。
Re:URL? (スコア:0)
管理の有無と、管理の意図を同一視することはできません。
管理する意図はあったが、必要十分な管理がされていなかったのです。
それは第三者にとっては、管理されていないのと同義です。
office氏はデータの内容を見て「管理されるべき」と思ったでしょうが
それはデータの内容を見なければわかり得ないことです。
そして、データの中身を知ったという点ですでに不正アクセ
Re:URL? (スコア:1)
>それはデータの内容を見なければわかり得ないことです。
それは勘違いでしょう。
Office氏はcgiのソースを落とし、それを改変してアクセスしてますよね?
それ自体が、隠蔽されているものを得ようと意識して行ったと言う証拠になります。
当然、その時点でそれが管理し隠蔽されているデータであると言うことを理解していないなんて言い訳は通りません。
彼は件のcgiにはバグ(というよりはセキュリティホール)が有ることを予め知っており、それを利用したアタックだったのですから。
Re:URL? (スコア:0)
事実誤認です。CGIは改変していませんよ。
そこまでやっていたら本当に不正アクセス違反でしょうが、
実際にはそんなことはやっていません。
1.HTMLを読んで、CGIパラメータにCGIのファイル名を入れた。
2.CGIを読んで、CGIパラメータにありそうなファイル名を入れた。
HTMLを改変していますが、HTMLはローカルにコピーされるファイルですから
改変されないという保証はなく、RFCでも改変される旨注意書きがあります。
で、
Re:URL? (スコア:0)
> 意志はあっても、実行されていなければ意味はないのです。
今回はどちらでも良いのです。
管理者側については来月からはかなり変わりますけど。今回の事例
に対しては侵入したほうの話で本質的変わりません。
今回のようなセキュリティホールが有ってもそれを使ってはだめだ
と条文に書いてあるのだから。
> この判決は、実行する能力はないが、意志はある自称管理者を
> のさばらせるだけです。
この判決が全てならそうでしょうけど、実際は違います。
そして別問題です。
たぶん、「本気」
Re:URL? (スコア:0)
そうですね。
でも、世の中はプロトコルだけではできてないんですよ、残念でした。
Re:URL? (スコア:0)
法律はいつでも後出しじゃんけんができるんだい!
ですか?
あんた小学生か
Re:URL? (スコア:0)
世の中は法律だけでもできてませんが。
#プロトコル的にどうなんて法律は存在しません
Re:URL? (スコア:0)
世の中はSuperStringでできてるんですとでも言い出すつもりか?
空気嫁
Re:URL? (スコア:0)
いまさら「プロトコル的に許されている」ことを言う意味などどこにもないさ。
それこそプロトコルだけでつくられた世界でもない限りな。