アカウント名:
パスワード:
この例では当事者は学生で、閲覧可能となりうるデータってのは、学生への閲覧不可なデータですよね? となれば彼には試験させる事自体が問題です。 彼が目にする事が即ち情報漏えいですから。
そういう事から、これは残念ながら「善意のハッカー」である故に保護されたり行動を容認されたりして良いとは限らないって事例の一つではな
で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。 そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。
そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。 只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。 これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。 #誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。 勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。
となれば、その問題点を取り払った選択肢が必要な訳で。 ま、取り敢えずは試験者の免許制度と保険加入。 後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。
で、上に書いてある理由で判る様に、 「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。 故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。
どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。 故に個人情報保護法等が存在する訳なのですから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
本気か?、北海道新聞よ (スコア:3, すばらしい洞察)
本気か?と思わず聞きたくなる意見ですな、これ。外部からの部外者の侵入じゃあるまいし、内部の人間が管理者に意見することもやるなってか?
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
正規の権限がなく、他人のIDを用いてアクセスしているわけですから。それに成績管理の資料は本来生徒が見ていいような書類ではないです。
基本的に以前不正アクセスで捕まった大学の先生と同じような問題かと・・・。
Re:本気か?、北海道新聞よ (スコア:2, すばらしい洞察)
しかし、杜撰な管理に対する「内部告発者保護」という視点も必要なのではないでしょうか?保護者やマスコミに流したわけでもなく、学校管理の要となる教頭に事態を正しく伝達している、問題の中学生のセンスはGoodだと思ってしまう。
# マスコミに流れたのはなぜだろう?
Copyright (c) 2001-2014 Parsley, All rights reserved.
手続き的にまずいと思う (スコア:1)
脆弱性を示すのであれば、実際にアクセスする前にしかるべき責任者に連絡して、責任者の前で実演してみせるべきです。管理者が機密漏洩は無い/管理者が責任をとれるという状況にしないと、勝手にアクセスした人もグレーです。
正しいことなら何でも許されるというのは危ない考え方です。きちんと手続きをとるべきです。今回は生徒の情報ということで「中の人」と考えている人もいるようですが、生徒は中の人ではないですね
Re:手続き的にまずいと思う (スコア:1)
他にも出ているように、教育委員会と学校というのは一体となって組織防衛に走ることが珍しくありません。
「責任者」と仰いますが、その「責任者」がきちんとその指摘に対応し、指摘した側に不
Re:手続き的にまずいと思う (スコア:1)
別に難しいもんではなく、責任者に連絡するとか、学校なら担任に話をする。そんな程
Re:手続き的にまずいと思う (スコア:1)
今回に関していえば、この少年の行為は非難されるべきではありますが、(私もそうであるように)学校側の言い方に引っかかった人も多いのではないでしょうか。
「少年の行為は違法の可能性があるが、まずは学校側が真摯に反省し、勉強をした
Re:手続き的にまずいと思う (スコア:1)
>ルールと環境作りが必要であることが浮き彫りになったのではないでしょうか。
実はこの例では全然そう思いません。というか一見逆の結論になりましたが。
この例では当事者は学生で、閲覧可能となりうるデータってのは、学生への閲覧不可なデータですよね?
となれば彼には試験させる事自体が問題です。
彼が目にする事が即ち情報漏えいですから。
そういう事から、これは残念ながら「善意のハッカー」である故に保護されたり行動を容認されたりして良いとは限らないって事例の一つではな
Re:手続き的にまずいと思う (スコア:1)
おそらく、セキュリティの向上に重きを置くか、社会秩序に重きを置くかのバランスなのでしょう。技術志向の強い人間は、どうしてもこのようなケースで惨憺たる技術レベルの学校側に批判的になってしまいますが、社会秩序の観点では生徒の行為は容認されるべきではないという視点を忘れ
Re:手続き的にまずいと思う (スコア:2, 興味深い)
これの対策として直接「勝手試験容認」になる理由が判らないんですが。
個人情報の漏洩被害は漏洩先が唯一一人であったとしても漏洩であり被害です。
であるのであれば、試験する者自体を管理者が管理出来なければ、それ自体が大きなセキュリティホールであるという事に成ります。
その点に置いて不正アクセスを浸入を持って規定するってのは間違っては居いないかと思います。
で、別にこれは「通報するな」って意味でもなければ「試験はしない」って意味でも無い筈。
そう見える例が幾らか存在する事を拡大解釈して、大抵は自分都合で一般化しているだけです。
そう、通報するのもアリだし、通常は試験がされても何ら問題はありません。
只、「試験者として不適当な人間」と言うのは必ず存在するってだけです。
これは、自称セキュリティ専門家が情報を漏洩したり、善意の通報者が他人の成績ファイルをプリントしたりしている実情からも明らか。 必ず考える必要が有ることだし、それなしでの試験はそれ自体が情報を預けてくれているユーザーに対する加害に他なりません。
#誰だって正体不明の人間に自分の情報にアクセス出来るかもしれない事は、試させたくも無いはず。
勝手試験を行う人間には安全性の裏付けも、被害発生時に損害賠償を行う担保能力も不明な存在なのですから。
となれば、その問題点を取り払った選択肢が必要な訳で。
ま、取り敢えずは試験者の免許制度と保険加入。
後はユーザーに依る監査制度辺りを真面目にやらない限りは、まともな対処は出来ないでは無いかと思われます。
で、上に書いてある理由で判る様に、
「善意の通報者」は容認出来るとしても「善意の試験者」は容認自体が害だと思われます。
故に「通報する為には試験が必要」という、通報の義務も無ければそれを委託されたわけでも無いのに、勝手な理屈で浸入を試みる輩は、素直に不正アクセスで処理して構わない。いや、処理しなくては成らないと思います。
どんな改善の為の行動であっても、それを顧客やユーザーの危険を担保に行う事、それ自体が許されない。
故に個人情報保護法等が存在する訳なのですから。