アカウント名:
パスワード:
相手からの「やって良いよ」という言質さえ手にすれば試験自体が問題ないだろう。 きちんと損害発生時の事まで含めた契約書を作成してか
そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ? 全く根拠無い事言われてもねぇ・・・。
#まあ、この手のコメント自体が自分が気に食わないと過剰反応する
普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、
・断りのメールを書く。 ・内部で試験する。 ・問題対処後、必要ならコメントを出す。
ってのが普通ではないですか?
通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。 面倒くさがりの管理者なら、返答は端折るかもしれません。
またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。 その手のSPAMやフィッシング詐欺メールもありますから。
でも、過剰反応ってのは、普通はまず無い。 しても通常は何も得をしないし、訴えるとなると管理者の権限だけでは出来ないですし。 普通は法務部なり中小ではそれこそ社長の裁可を仰がないと出来ないでしょうから、よっぽど嫌われないと訴えられる事自体が難しいのではないかと。 大体、実際に被害も発生していない状況で個人を訴えても、絶対に元なんか取れないですからね。
というか、それが「犯罪」ってのが司法の判断だと思って良いかと。
んでもって、私はそれはそれで良いと思いますよ。
明確な許諾も無く自分の思い込みだけで実害を発生しかねない行動を取る者なんかは、はっきり言って信用出来ませんから。 自称でセキュリティ研究家と言われても、その内容は一切わからないし、何よりも人間として信頼に値するかどうか?って業務上一番大切なところで既に信用を無くすような行動(許諾無しのアタック)を起こす位ですから。 どのみちその様な人間を信頼する事なんて無理。 特に責任の一端でも自分で担っているのであれば尚更でしょう。
ですから、一般論として 「外部の人間に試験を容認することは無い」 と考えて良いと思う。 そして無視された時は、それは容認ではなく拒絶と考えるべきでしょう。普通は。
で、拒絶されていたのに勝手にアタックして訴えられたってなれば、それはほとんど自業自得ってものではないかと。
挙句、内部のデータを持ち出して外部で公開したりなんかした日には・・・。 って考えるとACCSがOffice氏を訴えたって事に対しては特に疑問は沸かないですね。
#別にACCSはスバラシーとか言っている訳ではないんで。
「普通」は放置でしょう。
放置はヤバイ。 そういうメールを送って来るヤツにこそアレな奴が多い。 ただ今回の話は放置されたされたと騒ぐ割にはタイムテーブルで見ると下手すると1週間も
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
これって (スコア:4, すばらしい洞察)
司法から与えられたっ、て事なんでしょうかね。
Re:これって (スコア:2, 参考になる)
脆弱性の発表の仕方その他については、まあマズかったとは思うのですが、テストアタック方法としては普通の方法だと思いますし。
文面(タレこみの文がそのままだとして)からすると、お墨付にしか読めないですね。
M-FalconSky (暑いか寒い)
Re:これって (スコア:1, 興味深い)
無関係の第三者が予告もなしにハッキングして情報を盗んでいく事が「普通」ですか……
いい加減、こういう手合いは自浄作用として撲滅しないといけないでのはないだろうか。
Re:これって (スコア:3, すばらしい洞察)
私は今回の攻撃(?)方法は正常の範囲内だと思うのです。
なので、正常の範囲内の脆弱性確認は、なんとか許容されるところかなと
あと、予告できる仕組みってありましたっけ?
M-FalconSky (暑いか寒い)
Re:これって (スコア:2, すばらしい洞察)
「他人にサーバに脆弱な部分がありそうだ」「試してみたい」この段階で
「脆弱そうなんで確認のためにアタックするけどいい?」と確認を取っていれば問題はなかったはず。
予告できる仕組みというか普通に対象者に連絡を取ればいいのでは?
「セキュリティ技術者が脆弱性を探す行為」は行為だけ見ればアタック
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:これって (スコア:2, すばらしい洞察)
Re:これって (スコア:0, 余計なもの)
「許可を取る」ってのは相手の許諾を持って初めて実行する。
「予告」は実行する事は既に(自分で勝手に)決定済みで、それの通知を行う。
相手からの「やって良いよ」という言質さえ手にすれば試験自体が問題ないだろう。
きちんと損害発生時の事まで含めた契約書を作成してか
Re:これって (スコア:1)
こんな冗談みたいなことがホントに起こる世の中になりつつあることを危惧してるんじゃないかな。
Re:これって (スコア:1)
>しかも何故か裁判なんかもそのまま負かされてしまって、多大な損害を被りかねない。
そういうのは真面目に許可を取ってから言えば良いだけで、何もせずに言うのは単なる過剰反応でしょ?
全く根拠無い事言われてもねぇ・・・。
#まあ、この手のコメント自体が自分が気に食わないと過剰反応する
Re:これって (スコア:3, 参考になる)
「脆弱性がある疑いがあるのでテストする」
→「脆弱性のある物を使っているという風評被害を起こすのか、会社の名誉を傷つけるのか!」となる経営者や管理職は少なくないでしょうね。
# 特に経営陣がセキュリティに疎い会社ほどそういう過剰反応をすると思う
Re:これって (スコア:1)
普通の管理であれば、「脆弱性がある疑いがあるのでテストする」って言われたら、
・断りのメールを書く。
・内部で試験する。
・問題対処後、必要ならコメントを出す。
ってのが普通ではないですか?
通常の企業なら、試験の為とはいえ知らない外部の人間に自由にアクセスさせるってオプションは無いでしょう。
面倒くさがりの管理者なら、返答は端折るかもしれません。
またメール自体の信憑性が無ければ「無視する」ってのも普通のパターンでしょう。
その手のSPAMやフィッシング詐欺メールもありますから。
でも、過剰反応ってのは、普通はまず無い。
しても通常は何も得をしないし、訴えるとなると管理者の権限だけでは出来ないですし。
普通は法務部なり中小ではそれこそ社長の裁可を仰がないと出来ないでしょうから、よっぽど嫌われないと訴えられる事自体が難しいのではないかと。
大体、実際に被害も発生していない状況で個人を訴えても、絶対に元なんか取れないですからね。
Re:これって (スコア:0)
>・内部で試験する。
>・問題対処後、必要ならコメントを出す。
>
>ってのが普通ではないですか?
「普通」は放置でしょう。
例に挙がった対応は上等な方ですね。
劣悪な対応として逆ギレもありうると思いますよ。
Re:これって (スコア:0)
良くも悪くも世間のネタにされてしまいますから、丁寧なテンプレ返して検証開始。
並行的にサーバ閉める等の対外対応も検討開始+常時監視作業開始。
余計なコストかもしれないけど、外向けのものを持ってる以上必要なコストだと思う。
#アンチがうじゃうじゃいる会社なのでAC
Re:これって (スコア:1)
>「管理者の想定していない」アクセスで有罪。
>なんてことになりかねないわけですから
というか、それが「犯罪」ってのが司法の判断だと思って良いかと。
んでもって、私はそれはそれで良いと思いますよ。
明確な許諾も無く自分の思い込みだけで実害を発生しかねない行動を取る者なんかは、はっきり言って信用出来ませんから。
自称でセキュリティ研究家と言われても、その内容は一切わからないし、何よりも人間として信頼に値するかどうか?って業務上一番大切なところで既に信用を無くすような行動(許諾無しのアタック)を起こす位ですから。
どのみちその様な人間を信頼する事なんて無理。
特に責任の一端でも自分で担っているのであれば尚更でしょう。
ですから、一般論として
「外部の人間に試験を容認することは無い」
と考えて良いと思う。
そして無視された時は、それは容認ではなく拒絶と考えるべきでしょう。普通は。
で、拒絶されていたのに勝手にアタックして訴えられたってなれば、それはほとんど自業自得ってものではないかと。
挙句、内部のデータを持ち出して外部で公開したりなんかした日には・・・。
って考えるとACCSがOffice氏を訴えたって事に対しては特に疑問は沸かないですね。
#別にACCSはスバラシーとか言っている訳ではないんで。
Re:これって (スコア:0)
放置はヤバイ。
そういうメールを送って来るヤツにこそアレな奴が多い。
ただ今回の話は放置されたされたと騒ぐ割にはタイムテーブルで見ると下手すると1週間も