パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

価格.com、サービス再開へ」記事へのコメント

  • by Anonymous Coward on 2005年05月24日 22時28分 (#740189)
    あーあ

    ボランティアベースでoffice氏みたいな人がせっせとおせっかいを焼いている以前の状況であれば防げたかもしれないのに。

    >「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから
    (http://bakera.jp/hatomaru.aspx/ebi/topic/2324)

    だからって「法律」として整備するなといいたいわけではなく。
    *善意から*脆弱性を探す人が今までいっぱい居たわけで、その人たちを生かす形にできなかったのはやっぱり失敗だと思う。
    • そのページを読んだ限りでは、「絶対秘密は守るから脆弱性の検証をさせてくれ」と頼んではいなかったように見えるのですが。むしろ「office氏が逮捕されてなきゃ(無断で)検証してたのに」というニュアンスを感じました。
      検証される側からするとそれってどうなんでしょう。「脆弱性を見つけても機密情報を手にしてもそれを悪用しない」という確約を取り付ける前に検証されては、される側からすれば”検証後にその成果を教えてくれた”以外には実際に攻撃されたのと同じじゃないですか?(勿論これも大きな違いではあるが、通報者の善意…というか”悪意が無い事”を証明する物ではない)

      > office氏みたいな人がせっせとおせっかいを焼いている以前の状況であれば防げたかもしれない

      更に言えば、office氏みたいな人がこの事件を引き起こしたかもしれませんね。office氏自身、ACCSの件以前にも数々の脆弱性を発見すると同時に得てきた情報を悪用してないとは限りませんし(今までこの疑いを抱いている人を見た事が無いのですが、office氏って昔はそんなに信用のあった人物なんですか?)。

      # という感じの事を前も書きました [srad.jp]。「いきなり検証済み脆弱性を報告してきた人」に企業側ではどんな対応をするのか、どなたか教えて頂けないでしょうか。少なくとも素性も探らないままなんて事は無いと思いますが…
      親コメント
      • >今までこの疑いを抱いている人を見た事が無いのですが、office氏って昔はそんなに信用のあった人物なんですか?

        そういうことで「スカッ」とするタイプの小悪党ではなかったという周囲の認識。
      • SQLインジェクションなんてものは自由に入力出来るエディットボックスであればどこにでも可能性があるように外からは見えると思えるのですが、
        エディットボックスがあるサイトに対してチェックさせてくれって言ってまわって相手にされるんでしょうか?

        何も試さなくてSQLインジェクションの可能性なんて判断出来ますか?
        • >何も試さなくてSQLインジェクションの可能性なんて判断出来ますか?

          出来ないんならしなきゃ良いんでないかい?
          頼まれた訳でも無し。

      • >今までこの疑いを抱いている人を見た事が無いのですが、office氏って昔はそんなに信用のあった人物なんですか?

        そういうことで「ニタ~ッ」とするタイプの巨体悪党だったという周囲の認識。
    • by Anonymous Coward on 2005年05月25日 4時26分 (#740339)
      ACで失礼、office氏の件は確かに俺にも大分心理的障壁になってる
      あの事件は何より指摘する側は何をやっても許されるわけではないという
      当たり前なルールを忘れてしまった彼にも問題があったと思う

      俺は今現在某サイトに同様の脆弱性を指摘中
      何も公開できんが、近いうちに直ると良いな・・・
      今、この瞬間も思うよ、「脅迫と受け取られて逮捕されるんじゃないか?」
      「不正アクセス禁止法に引っかかって逮捕されるんじゃないか?」ってな
      もちろん個人情報を読み出すことはしないし、万が一事故的に入手しても即刻破棄するつもりだ。

      現状、通常画面からアルゴリズムを予測し、想定された既知の最低限の影響で済むコードを構築し、確認することで裏打ちしたアルゴリズム、
      又は、偶然発見したエラー画面からアルゴリズムを予測し「出来るかもしれないレベルの攻略コード」を自身で確認せずに提供するのが精一杯
      かなり面倒だが、もしも自身の不手際で漏れる事を考え、加害者になる事を考えたら妥当だと思う
      それでも、失敗してサイトが停止したり、事故的に入手し漏洩させた時の責任は最大限取るつもりだ

      あと、企業の社風や世間が口先だけでなくセキュリティを全員が考えるという意識を持たない限り事態は改善しないと最近強く思う
      昔の牧歌的な安全神話はとうの昔に崩れているのに気づいていないとしか思えない運営者やプログラマ(含むSE)が多すぎる

      同じサイト運営者に何度も何度も教科書レベルの同じや別の種類の脆弱性を報告するのは正直もう、うんざりしてきた
      だけど放置できない
      運営者は俺をうざいクレーマーやセキュリティゴロと思っているだろうが、識っているのに見て見ぬ振りをするのは俺自身が俺を許せない罪だ
      何より、俺自身が被害者になるのは勘弁してほしい、昔みたいに悪戯電話で日常が狂うのは嫌だ

      他のまだ対策を後回しにしている組織が、今回の価格.comの件を他山の石としてくれたらと妄想したくなる
      サイトで稼いでる組織は、サイトの運営が停止したら、
      個人情報が流出したらどれだけの損失を招くか計算したら対策費用を出せるのではないか?というのは俺の妄想?

      本当なら俺が全てソースコードを確認して俺が知る限りの全ての脆弱性を直したい、けどそれは無理なんだよ
      だからお願いだ、一刻も今の件を早く直してくれ
      そんな虚しい祈りをしながら過ごす毎日は正直辛い
      早く直してくれ御願いだ
      もしも、俺の安い命で済むなら対価として渡しても構わない

      随分本題からずれてしまったが、まだ報告をしている奴は居る
      俺みたいなのがな
      虚栄心?自己満足?拙い正義感?
      ああ、嘲笑ってくれて結構、何とでも言ってくれ
      でも、気づいた限りは、識ってしまった限りは報告する努力はする
      報告しても理解してもらえない事もある
      「それは、問題ではない。」
      「お前は、大袈裟すぎる。」とかな
      でも、それでも訴え続ける。
      俺の行為が誰かの笑顔に繋がるなら、繋がると思えるなら苦労は報われる
      日が当たらなくて良い
      ただ、誰かの笑顔が見たいから
      ただ、誰かの幸せに繋がるなら俺は頑張れる
      まだ、俺は頑張れる

      最後に、これはただの作り話
      そういう事にしておいてくれ
      ただ、疲れてしまった俺の戯言
      親コメント
      • 上のseothのコメントの繰り返しになるが・・・

        >この瞬間も思うよ、「脅迫と受け取られて逮捕されるんじゃないか?」
        >「不正アクセス禁止法に引っかかって逮捕されるんじゃないか?」って

        つまり、相手に無断でテストしてるって事?それが迷惑なんだってば。

        >個人情報を読み出すことはしないし、万が一事故的に入手しても即刻破棄するつもりだ

        身分証明もせず合意もとらず、こそこそテストするような輩に言われても信用できるわけないでしょ。

        >失敗してサイトが停止したり、事故的に入手し漏洩させた時の責任は最大限取るつもりだ

        口だけはご立派で。で、相手に迷惑をかけずに全て
        • 自ら見つけようなんて思ってない
          だが、世の中には信じられないぐらい品質の低いサイトを構築する所がある
          例えば、検索フォームに商品名に使われていた記号を混ぜただけでSQLエラーが出るようなサイトとか、
          • 話が完全に変わってるが。
            誰も不正アクセスがどうとか言ってないし。
            確かにお疲れのようだね。

             
            >検索フォームに商品名に使われていた記号を混ぜただけでSQLエラーが出る
            >秘密の質問に不等号を使った
            • by Anonymous Coward on 2005年05月26日 0時30分 (#740911)
              お疲れは否定しない、むしろ気を使ってくれて嬉しい
              だれかうちの営業を止めてくれ、家に帰りたい
              納期直前なのに、コレで何度目の大規模仕様変更なんだ?
              はいはい言うな、出来ないことは出来ないと言え
              追加料金ちゃんととれ、皺寄せは開発担当にきてるんだぞ!!
              皆も会社は選ぼうな?

              別ACがIPAに行けと言うが、IPAが脆弱性関連情報に関する届出について [ipa.go.jp]をはじめた直後からIPA経由で行ってる

              >つまり、相手に無断でテストしてるって事?それが迷惑なんだってば。
              確かに行った事があるが、テストと呼べるかさえ疑問
              そのサイトはIPA経由で事前に脆弱性を通知済みのサイトだった
              エラー表示から明らかにある脆弱性が存在すると通知したら、
              サイト管理者が脆弱性報告を理解できないために、取り扱いを終了を宣告された
              手前も馬鹿だとは思うが、偶発的なエラー画面が同じ内容で起き、原因となるトリガを再度確認
              そして、脆弱性から考えられるシナリオを猿でもクラックできるぐらい噛み砕いた解説と、
              エラー画面で判明していた言語での対処方法の解説サイトへのポインタ、
              既に攻撃が起きていたら運がよければ残るであろうログの洗い出し方の解説メールを直接投げて初めて危険性が解ったのか即刻修正された
              このサイトは俺の個人情報がばりばり保存されてるサイトだから俺自身が慌ててたのもあるだろう
              全て結果論だが、こういうケースもある

              逮捕を恐れたのはその攻撃方法の解説を書いたことで、本来の意図である「こういう危険性がある」というメールが、
              「この文章を書けるのは実際にやったクラッカーしかいない」とか、
              「よく解らないけど、なんだか危ないことが書いてある」と攻略手順しか内容を読まずに通報、というすれ違いを恐れていただけ

              IPAは、手前で脆弱性情報の警告を出しているのだからサイト運営者が問題ないと言っても、
              その脆弱性を運営者が本当に理解しているか確認するぐらいの事をやってくれと思う

              >危険なコードを実行できるかどうかを実験する必要なし。
              今まで意図的に攻撃コードをやったのは、ディレクトリトラバースのみ
              エラー画面にフルパスが出ていて、foo/../でエラー画面のフルパスに../が含まれるか確認の1回だけ
              その他は、意図せず問題が起きるのを確認した状態の意図的な再発(再現)を起こすだけ
              大抵はエラー画面や異常画面までの状況だけで原因となる脆弱性やサイトの作りから内部設計は見える
              脆弱性ではなかったとしても、サイトのバグとして報告するならやる当たり前レベルしかしてない
              単純なバグでも普通報告前に再現性は確認するだろ?

              多分もうこのトピックには書き込めないと思うからよろしく
              ああ、そうだよネタだよ、全てはネタなんだ
              この修羅場もネタであってくれ
              親コメント
              • 疲れてるからっつーのは撤回。確かにこれは作り話だ。
                じゃないと

                >>つまり、相手に無断でテストしてるって事?それが迷惑なんだってば。
                >確かに行った事があるが、 ※以下略

                今更こんな言い訳するわけないしな。普通なら(#740380)の時点でこう答えていた筈。それができなかったのは、とっさに言い訳
          • だからIPAへ行けってさっきから言ってるだろ。
      • > ACで失礼、office氏の件は確かに俺にも大分心理的障壁になってる

        枝葉に対するコメントですまないが

        容疑者だった頃ならまだしも、一審で有罪判決が出た犯罪者に対して、たとえIDとはいえ「氏」とか「さん」とかの敬称をつけて呼ぶのはかなり違和感がありますな。まるで犯罪賞賛しているような印象を受ける。
        • じゃあ、officeメンバーということで。
          何のメンバーかは知らんが。
          親コメント
        • 既に敬称ではないんじゃない?
          セバスチャンやハッサン、ダイクンなどが敬称ではないように。
        • 犯罪だと思ってないだけですが何か?
          不正アクセス禁止法は鍵をこじ開ける事を禁じる法であって、
          鍵を掛けない馬鹿を守る法ではありません。
        • 「たん」とか「きゅん」ならOKですか?

          #敬称ではないしな
        • 正直上のコメントはテンパってた頭で書いていたのだが、
          office氏と言ったのは俺的には敬称でもなんでもない
          まったくもって深い意味はない事を明記しておく
          あと、有罪というがまだ確定していないあやふやな状況だ
          まだ一審しか終わってないし、判決がどう転ぶか解らない微妙な状況だと思ってる
          まぁ、裁判で無罪に
          • > 貴殿が犯罪者に敬称を付けるなと主張するならどうぞご自由に
            > 確かに賞賛してるような印象を与える発言は迂闊ではあった、今後留意する
            >
            > だが、呼び捨てにした所で意味はあるのか?

            河合被告と同様、一審で有罪判決が出たオウム真理教の麻原こと松本智津夫被告に対し、ある人達は「松本智津夫」と呼び捨てにし、一方、別のある種の人達はいまだ「麻原尊師」と呼び続ける。

            世間一般において呼び捨てにされることが一般的と見なされる被告に対し、相変わらず「氏」とか「さん」などをつけて呼ぶということは、それ自体、世間一般に対
            • 「思います」→「なり得るわけです」→「説得力は十分にある」って、
              三段跳びのごとく論理が飛躍してますねぇ。

              あなたがそう思うのは自由です。
              あなた以外にもそう思う人がいるかもしれません。
              でも、それは推測
            • 違法行為といってもいろいろあるわけですよ。殺人犯に敬称を付けるなは理解できるけども、刑期を終えたとか執行猶予の人に敬称を付けるなという考えは異常人格だと思うよ。
      • >もちろん個人情報を読み出すことはしないし、万が一事故的に入手しても即刻破棄するつもりだ。
        どこを信用しろと?
        実際に情報を盗み出す奴もそう言うだろうし、盗み出した奴もそんな気は無かったと言うだろう。

        >それでも、失敗してサイトが停止したり、事故的に入手し漏洩させた時の責任は最大限取るつもりだ
        それを言うには担保能力が判らないと。
        プータローでは何も責任を取らないのと一緒。

        >だけど放置できない
        相手が言外に放置してくれって言っているのなら放置するのがマナーだろ?
        他人事な

        • >相手が言外に放置してくれって言っているのなら放置するのがマナーだろ?
          >他人事なんだから当事者が良いって言うならそれで良いじゃん。
          それで、影響を受けるのが相手だけならな。

          # 実際に被害を受けるのは大抵そのサイトを利用しているエンドユーザ。
    • officeにやらせたらメアド漏らされるじゃん。

      逮捕される前からあるシステムだってのに後付けも良いトコだな。
      • システムは随時更新されるわけで、office氏が逮捕される前から
        脆弱性があったかどうかは現時点では不明。
        • 以前にはなかったSQLインジェクションに対する脆弱性が後になって追加されるなんて、デグレードもいいところじゃないか。
          もしかして「インターネット関連企業として最高のセキュリティ対策」でも検証できなかった?
          • いやいや、追加の追加や更新の際にエンバグする可能性は十分ありますよ。

            もちろん、「最高のセキュリティ」を謳うような企業なら、
            その際にも十分検証するはずですがね。
    • >>「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから

      後付で書くとは恥を知れってのはまあ置いておくとして、

      >>ウェブアプリケーションの脆弱性を突かれた事例としては過去最
    • > office氏みたいな人がせっせとおせっかいを焼いている以前の状況であれば

      単に個人情報の流出先が河合になっただけでは。
      いや、もっとやばいな。河合は無警告で攻撃方法を白日の下に晒すから、もっと発覚しにくい直接的な方法で攻撃できる人がイベント参加人数分出来てしまう。
      おお
      • 報告するのにも最低限の検証が必要だとかそういう話になるんじゃないでしょうか。

        だって、ねぇ。怪しい程度で報告してたら今頃はIPAの窓口がパンクしてるはずだし、そうでなかったら報告制度が大して機能してないってことになりそうなもんでしょ。
        これだけいい加減に作られたWebアプリケーションが氾濫してるのに。
        • 可能性レベルで受け付けてくれます。
          実際に「パラメータ見えてるけど?」レベルでタレ込んでみたらちゃんと検証して対応してくれましたよ。
          通知制度の使い方をちゃんと理解してない人が多すぎるだけです。
    • 善意からやったことが正しい行為になるとは限らない。
    • officeなんて違法行為で損害を与えるような似非ボランティアは要らない。
      きちんとサイト運用者と調査員が契約を結んで実際に攻撃などを試みる
      ペネトレーションテストを行えばいいだけの話。

      発見した問題点や持ち出しに成功した情報は契約によって保護されるが、
      officeのような自称ボランティアは、勝手に盗み出して損害を与えても
      構わないとまで考
    • 「あーあ、

      ボランティアベースで福岡一家殺人事件の犯人みたいな人がせっせとおせっかいを焼いている以前の状況であれば防げたかもしれないのに。 」

      と言ってるのと同じだね。破綻してるよ、君。
    • office氏のように、ですか。

      河合被告のように「脆弱性を報告する前に、侵入方法を多数の 前で公表」したり、某イベント主催者のように、不正に得た個 人情報を含んだプレゼンテーション資料を参加者が自由に持っ ていける状態にしておいたりすれば、今よりももって被害が広 がっていたでしょうね。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...