パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ACCS事件でoffice氏に有罪判決」記事へのコメント

  • ヨソのサーバに関して「これってセキュリティホール?」と思ったときに、
    だれだって空騒ぎは起こしたくない。管理者に連絡するなどの行動に
    移る前に、ある程度、本当にまずい設定になっているという確証を得たい、
    と考えるのは自然なことだ。
    その事前調査の過程で、たとえば意図した通りの POST リクエストを発行
    するために HTML フォームを独自作成したり、その結果取得した CGI スクリプト
    を読む、というのは、科学者として当然やるべきことをやる、という範疇から
    逸脱しているようには思えない。

    もし仮に、調査の過程で /etc/shadow みたいな情報を取得して、
    • そもそもヨソのサーバに対して騒ぐ必要なんてない。
      疑いがありますという連絡だけで十分。

      ガーディアンエンジェルでも気取ってるつもりですか?
      • 多分#714281さんは技術者のコミュニティってのをご存じないんでしょうね。もしくはそれ以外の業界の方なんでしょう。若い方なのかな?

        ソフトウェア作成者(特にフリーやシェア)、サーバー管理者などでバグやセキュリティホールが甘いところを指摘しあうのは自分が鯖管してた10年以上前からありました。ソフトに関してはもっと前からで気づいたころには草の根でも存在してました。
        #今でもバグ報告掲示板などがたくさん機能してますよね

        そしてそれが今まで非常に有益なものでした。
        まともに外部に公表している鯖やシェアやフリーでソフトを出している人ならそれは当た
        • >多分#714281さんは技術者のコミュニティってのをご存じないんでしょうね。もしくはそれ以外の業界の方なんでしょう。若い方なのかな?

          鏡に向かって言ってるのか?
          悪いけど、この業界のその道で大方10年選手です。

          で、「疑いがありますという連絡だけで十分。」と書いてあるだ
          • ふーん、セキュリティーホールやバグでチェックもせずにメール出す人なんだ?
            その現象や再現性ぐらいはきちんとレポートしてあげないとね
            疑いで報告されても困ります。
            管理者としてはまぁチェックするだろうけどさ・・・
            報告者もチェックせずにレポートするのはだめでしょう
            • > 疑いレベルなら優先順位は最低に分類される報告書でしょうね。

              こういう声を/.Jでは何度か目にしましたが、自分に管理者としての経験が無い為か、今一つピンときません。
              もし「お宅の会社に爆弾が仕掛けられてるかもしれないよ」と警告されたら、即座に対応しますよね。警告されて放置して、爆破されたら目も当てられないですし。で、その結果警告が外れだと判明したら、次に警告者が悪意を持って嘘を伝えた可能性を有る限りの情報で判断し、その可能性を認めれば制裁(まあ警察に通報でしょうね)を検討、と。
              セキュリティについての重要な指摘も同じ要領で対応(まず即調査)するもんなんじゃないの?というのが私の考えです。
              何故セキュリティに関して「疑いレベルなら優先順位は最低」とまで楽観的なのでしょうか?

               
              > セキュリティーホールやバグでチェックもせずにメール出す

              私なら自分の安全を考えてそうしますね。
              迂闊に企業の機密(かもしれない)情報にアクセスして、もしあらぬ疑いをかけられたらどんな被害を受けるか分からないので。
              また報告先が自分の利害が絡む相手である場合、上述したような「悪意の可能性」が高まりそうなので、報告自体しません。

              以上は報告するかどうかの話、以下は「実験してから報告する」かどうかの話になります。

              >疑いで報告されても困ります。

              そうなんですか?企業側としても、大事な情報にはアクセスされない(つまり「疑いだけ」の段階で報告される)にこしたことは無いのでは?「やってみたら出来た」という報告が来て、実際そのアクセスの形跡がある場合、報告者がその行為の結果を悪用しないか(または既に悪用していないか)を調査する必要がでてきますよね。
              # アクセス記録が取れていない or 当てにならない or 報告者以外にアクセスされた形跡がある(!)、という状況だと、報告者のアクセスの形跡はそれに紛れますが。

               
              # ちなみにこのストーリの先の方で「実験しても良いかどうか、企業側にお伺いを立てる」なんて話もありました。が、それはまた別の話。
              親コメント
              • #今日は暇なんで大幅レスだなぁ俺・・・・・

                たぶん自分とseothさんの「疑い程度」の認識が違うんでしょうね
                たとえ話は本題をぼかしちゃうんでいやなんですが・・・

                「あなたのサーバーはFTPが使われてるんでデフォルトのパス生
                きてませんか?」見たいな話だと思ってます。

                もしかしたらそんな穴はサーバー管理者がふさいでるかもしれな
                いしふさいでないかもしれない。
                実際にどのようにURLたたいたらこうなりました、バグでしょ
                うか?ってなら話は別で重要な情報なんですが。

                たとえ話でいえばサーバーなんてどっかに爆弾抱えてることが多
                いんです。そして常時何らかの爆弾が発見されてるんですよ。
                いうなれば地雷がたくさん埋まってる地域に「あそこらへん地雷
                あるかも」と指摘されてもまずは目の前や新しく発見される地雷
                を排除することに専念します。まあ余力があれば「もしかしたら」
                ってレベルもチェックするでしょうが。
                アプリのバグやセキュリティーホール、ウィルス、そのた鯖の利用
                者がらみのトラブル対処、そんな地雷たくさんの中仕事してると
                かも知れないレベルの指摘は後回しです
                #自分とこが人手が余ってなかったせいもあるんでしょうが

                >>私なら自分の安全を考えてそうしますね。
                自分も今回の判決の内容読んだらそう思えました

                #バグがある、セキュアじゃないって段階でだめだめだよ
                #って人はセキュアでバグがない実用できるOS教えてください
                #というかマジで教えて!!方法でもいいや、仕事が楽になる
                #んで本当にお願いします
                #30数歳なのに10数年のキャリアが短いといわれて悩んでるmatyでした
                #というか俺このスレに自分の発言についたレスとはいえども
                #粘着状態ですね・・・反省、寝よ
                親コメント
              • by seoth (17664) on 2005年03月28日 12時57分 (#715051)
                >アプリのバグやセキュリティーホール、ウィルス、そのた鯖の利用
                >者がらみのトラブル対処、そんな地雷たくさんの中仕事してると
                >かも知れないレベルの指摘は後回しです

                なるほど…セキュリティの欠陥を抱えるリスクと、管理体制を充実させるコストとを天秤にかけて、「余力がない状態が常、という程度に管理者を置こう」と判断をする会社も有るのですね。
                他所に「片っ端から対応できるだけの充分な管理体制を布くようにしている」と匂わせるコメントも有るので、それぞれ一例として参考にさせて頂きます。

                >>>私なら自分の安全を考えてそうしますね。
                >自分も今回の判決の内容読んだらそう思えました

                ちなみに私は不正アクセス禁止法施行前からそういう考えです。
                ・法律の知識には自信が無いので、他のどんな法に触れてるかも判断できないし
                ・「こいつは変な事をする奴」と相手にマークされても嫌だし
                ・「実はもうウチに不利益な事をやらかしてるんじゃないか?」と身辺を探られるのも嫌だし
                ・他いろいろ
                ・そもそも上記のような心配を抱えてまで他人に親切する事も無いや。
                というわけです。 # ヘタレ?ええ、そうです :-)

                ところで

                >>>実際そのアクセスの形跡がある場合、報告者がその行為の結果を悪用しないか(または既に悪用していないか)を調査する必要がでてきますよね。

                これの実体験をされた方(企業側でも報告者側でも)はみえませんかね?
                誰かが実験済みの状態で報告してきた場合、企業側がどう対応するのか、興味があります。

                # 確か昔の office-ACCS 関連のストーリで、”実際にofficeから指摘を受けた事がある”と言ってたACさんが居たような…
                親コメント
              • 一例ついでに・・・

                鯖関連が本業でない企業での鯖管やら何やらなんですが、やはり
                予算が厳しいです、こうゆう可能性があるから予算くれってのを
                素人に説明して、効果として目先の売り上げや機能向上に関係な
                いものに結構な予算を取る。例えば回線や鯖の二重化になるとしゃれに
                ならない金額になりますんで上のほうも二の足を踏むんですよね。
                「そんな最悪にならなければここまでいらんだろ、最低限にして
                くれ」と・・・
                機能向上とかになるとすんなり予算がつくんですが、やればよ
                けい対処しないといけない幅が広がります
                #自分の上司が嘆いてたの思い出します
                #鯖開発系になると自由ですが引渡し後や開発終了後は厳しく
                #なります、次の仕事が来てますからそれはほっとけんし

                あと、これはいえるんですが、外部の人がチェックもせずにトラ
                ブルと思われますって内容は
                ・どっかで知識をつけただけの素人かもしれない、指摘も対処済み
                ・表面的なものでしかなく重要度、危険度が低いため放置のもの
                ・潜在的アプリのバグ等ならば販売元やその他情報源から入手済み
                がほとんどと思うんですよね。普通に触ってわかる範囲ですから。
                勘と表面的動作で穴やバグがわかるなら・・・実地調査のほうが
                手間と時間かかりますしね。そんな簡単なもんじゃないとおもい
                ます、テスト工程を資料なしで実地なしでの結果データなんて普
                通のアプリ開発でも提出したら殴られるようなものですからね

                seothさんと違って自分の場合インターネットではじめの「みん
                な仲良し」時代を鯖管で経験して、そんな重要なデータが置かれて
                ないときの平和な学校時代の経験が大きいんで時代に即してない
                んでしょうね

                #やっぱ俺おやじだわ、社内システム系に移って正解だなっと
                #個人情報結構出したんでちと・・・まぁ特定できる情報は出し
                #てないが、これも気をつけないと(w
                親コメント

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

処理中...