パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏に有罪判決」記事へのコメント

  • by Anonymous Coward on 2005年03月26日 0時59分 (#714134)
    今回の事件は

    ・被告人が取得した情報、侵入手段を公開した点は問題
    ・サーバのセキュリティが最低水準だったのは大問題

    という2つの問題をはらんでいるわけですが、技術者以外には後者の問題の深刻さが伝わっておらず、今回の判決でも後者の問題は全く考慮されず、多くの技術者がサーバのセキュリティやサーバの動作の仕方についてさかんに発言する事態になっているのだと思っています。
    ただ、技術者の発言が http と ftp が違うなどの技術的な発言が先行してしまい、畑違いの人間には分かりにくく、結果として今に至るまで技術者以外には問題の深刻さが理解されていないという悲劇的状況になっているのではないでしょうか?
    という反省をしたので技術者以外に向かって説明する努力をしてみようと思います。



    最大の問題は今回の事件においてサーバ(CGI)は本来持っているべきセキュリティに関する機能を全く持っていなかった事です。「こんな状態なのに今回の事件を不正アクセスと認定するのは止めてくれ」というのが主張の主旨になります。
    サーバ(CGI)のセキュリティが何故重要なのか?というと、それは HTML ページがホームページ訪問者が見ているものとして動作するのに対して、サーバ(CGI)は「通常は」ホームページ訪問者ではなく、ホームページ制作者が操作しているものとして動作するからです。
    「通常は」と言ったのは、セキュリティを高めるためにホームページ訪問者が操作しているものとして動作させる事ができるにも関わらず、それだとホームページ制作者やプログラム作成者にとって不便だから「通常はそうしない」という事情があるからです。 当然自分たちの都合でセキュリティを下げているわけですから、その代わりにプログラム作成者が CGI の中でセキュリティがきちんとしているようにプログラムを作るわけです。いや、作らなければならないのです。

    ここまででだいぶ見えてきたのではないかと思いますが、上記プログラムによる処理がされていない=全くセキュリティに関する処置が施されていない状態は、プログラム作成者こそが大問題であり、そのプログラム作成者を結果として擁護してしまう「今回の事件も不正アクセスね」という判決は大変困った判決になるわけです。



    #少しは技術者以外にも伝わるとといいなぁと思いつつ噛み砕いて説明してみました
    #./ で発言する意味は全くないかもしれませんが、活発なのがここくらいなので(苦笑

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...