まぁそれは、進入だけですと言いきっているのだから勝てると思いますが、サービス一時停止とかになると免責されてしまうのであ？

アタックによる被害(停止/輻輳による遅延)等の傷害は保証してたらわざと弱いサーバーを用意して損害賠償を(まて(苦笑

>まぁそれは、進入だけですと言いきっているのだから勝てると思いますが、サービス一時停止とかになると免責されてしまうのであ？
民事裁判で争えば良いだけじゃないですか？
通常免責であったとしても、過度の過誤や明らかな故意で問題が発生した場合には、ちゃんと損害賠償は認められているパターンが多いと思いますけど？
というか、それ以前に無条件の免責事項なんて普通契約書には無いでしょ？

で、対する者は裁判で勝ったとしても取る物すら無いと思われる者達ですから、十分にアドバンテージは有る。と言うより比較にならないでしょう。

>アタックによる被害(停止/輻輳による遅延)等の傷害は保証してたらわざと弱いサーバーを用意して損害賠償を(まて(苦笑
別に珍しい考えでは無いと思いますよ。
昔から良くあるパターンの詐欺ですね。

かと言って、試験者側の問題を語っているときに、被試験者のそれも犯罪者の例を出すのはどうかと。
無理矢理相手側の印象を悪くしようとしているように見えますから。

>過度の過誤や明らかな故意で問題が発生した場

問題はこれを判断できる人がいるのかどうかでしょうね
そして、安全な試験だけでは意味が無くなる物もあるでしょう
無論、強度段階を示し、どこまでやりますか？と言う事前相談ありきでしょうが...

ソフトがあまりにも脆弱で落ちたのか、それとも攻撃があまりにも苛烈で落ちたのか、果たしてその苛烈な攻撃は過失により起きた物なのか、または本当に苛烈だったのか？
正確な判断基準はまだ無いのではないのでしょうか？

私は一定以下の試験であれば、試験実施者の過失は無いと言い切れる基準が無いのが現状だと考えます。

>かと言って、試験者側の問題を語っているときに、被試験者のそれも犯罪者の例を出すのはどうかと。
>無理矢理相手側の印象を悪くしようとしているように見えますから

試験というのは、試験側も、試験対象物件もあってこそです。
双方が当事者ですから、それを考慮するのは何ら問題のないように思えますが
逆にそう言う被験者もいるかもしれないと言う可能性を考えないのは間抜けなだけかと、また普通に試験しても落ちるようなサーバーを故意でなくつなげて居る場合もあるでしょう

まぁ最初に国が泥をかぶってくれると言うのであれば、そう言う点でも悪いことでは無いのかもしれません
必要とあれば試験対象基準を出してきてくれるでしょうし
願わくばそれが、サーバーの最低基準となってくれるとありがたい

>問題はこれを判断できる人がいるのかどうかでしょうね
>そして、安全な試験だけでは意味が無くなる物もあるでしょう
>無論、強度段階を示し、どこまでやりますか？と言う事前相談ありきでしょ?うが...

ちょっと違うかな。

そういうのは実際に運用する上で考えなければいけない物ではありますが、今の議論では関係無いです。

何故ならその辺りは「公的裏付けのある試験者」と「裏付けの無い試験者」でどちらでも条件は同じだから。
ですが、実際に金をふんだくるに置いては金を持っているか持っていないかが大きい。
ですから、前者の方が安心できると言っているのです。

>双方が当事者ですから、それを考慮するのは何ら問題のないように思えますが
コレも前記と同じで、「公的裏付けのある試験者」と「裏付けの無い試験者」で差は無い筈ですが？
但し、それは思いっきり善意的に判断して、であって、現実的には公的裏付けを受けて継続的に業務を行っている者の信用度は、裏付けの無い試験者とは比べ物にならないのは判るはず。
で、何故前記のものにのみそう言う話を持って行くのですか？
一般的に条件としては後者の方が悪い筈であるにも関わらず。
その辺りを持って蛇足と判断しました。

>逆にそう言う被験者もいるかもしれないと言う可能性を考えないのは間抜けなだけかと、
私の持論では
「勝手試験をやる試験者なんぞ百害あって一利なし。故に全て不正アクセスで捕まえるべし」
なのですが。何度も書いてますし。

そう、最初の「善意の試験者」という自己申告から一切信用しませんので。

試験なんてのはきちんとした業務で行い、外部委託を行うのであればそれなりの契約なしでは行うべきではありません。でなければ試験名目のユーザーへの加害が発生するでしょう。
それを避けるためには、

(1)管理者に依る試験の管理
(2)試験者自体の身分確認
(3)問題発生時の責任分担
(4)損害に対する保障の為の担保

程度は必要だと思われます。

で、ここで良く擁護されるボランティア試験者に置いては、ほとんどの者がこの条件をクリア出来ないでしょう。

そうでなくとも勝手試験者容認の方は往々にして、一番最初の状況で「相手の自己申告をそのまま信用する」という「間抜けな」選択肢を要求しているんですよ。

あぁ未承認試験者限定で話されてる時点で食い違ってますね
私が対象としているのは、すべての試験者が負わなければならない対象の傷害時の責任がどこまで及ぶかです。
この場合、国であろうと業者であろうと未承認試験者であろうと関係ありません。

確かに、賠償可能であると言う事は安心感にはつながりますが
「そこまで責任負わないよ」って言うことが通るのであれば
いくら損害が補償できても安心できないでしょう

ちなみに「未承認試験者」ですが、現在は混沌とした状態でしょうねぇ
本来は、勝手に試験する方も、試験せずに放置しているサーバー管理側も同様に問題視されるのが好ましいのですが
現行だとサーバー管理者に試験の実施を要求してもそれは義務ではなく、一定の試験を実施している保証もありません

そして、自分の個人情報を所持している会社にセキュリティホールがあったら..それにはどうやって対応するのでしょう？
まともに取り合ってもらえなかったらどうしましょう？

未承認試験を完全に排除したいのであれば、一定水準の試験を常に実施し、ユーザーからの試験要求があったら即座に対応or実施済みであることを通知する事がサーバー管理側に義務づけられる必要があるでしょう
または、試験を実施したいと言うユーザーの要望を受け付ける事が義務となるかですね

ユーザーに、管理側が、サーバーが問題ないと言う保証ができずにインターネットにつなげられたサーバーに対する試験を否定する事は問題でもあるでしょうね

まぁ、ただし、事前に試験承認を受けようとしないで勝手に試験することは問題ありとされても良いかもしれません。

無論認証のかかったサーバーに対しパスワードアタックをかけて良いって訳ではないですので念のため(苦笑)

>あぁ未承認試験者限定で話されてる時点で食い違ってますね

表題読んでくださいな。根本的前提です。

>「そこまで責任負わないよ」って言うことが通るのであれば
>いくら損害が補償できても安心できないでしょう
そんなのは通らないのは既に裁判でも色々判例は有りますし、不当契約についてはスラドではそれなりに話題が出ていると思いますが。
というか、素直に、んなのはお役所であれ通りませんから。

>そして、自分の個人情報を所持している会社にセキュリティホールがあったら..それにはどうやって対応するのでしょう？
>まともに取り合ってもらえなかったらどうしましょう？
まず当事者に連絡をする。
それでダメなら公的機関を通す。
でもダメなら、
「それらを行ったという証拠を保全する。」
です。

相手が応じてくれないと言って、それだけで他人に危害を加える権利が発生する訳ではありませんから。
ですので、被害発生時の為の行動を取るのが正解でしょう。

どうしても事前に行動が起こしたいのならば、次は「裁判」が適当でしょう。
裁判所命令に逆らえる根性の有る会社は少ないですから。

>未承認試験を完全に排除したいのであれば、一定水準の試験を常に実施し、
>ユーザーからの試験要求があったら即座に対応or実施済みであることを通知する事がサーバー管理側に義務づけられる必要があるでしょう
この辺りは難しいんですけどね。
即座ってのは何かとか、そもそも何が問題なのか？とか。
実はシステムの不備自体は問題では無い。
それに付随してクリティカルな情報が漏れるのが問題なんです。
って事で、これらの話は個人情報保護法とかの関連でやるべきでしょうし、本当ならプライバシーマークなんかがきちんと機能すれば良いだけの話ではあるとは思います。

>または、試験を実施したいと言うユーザーの要望を受け付ける事が義務となるかですね
これは無理でしょうね。

試験者になるにはそれなりの立場である事が必須となると思います。
何故なら、試験の結果としてそのユーザー自体が他のユーザーの情報を閲覧したならば、当然それを被害と取る他のユーザーが居るはずですから。

もしその申し入れをした者が最初から攻撃を意図していたとすれば、試験名目でありさえすればノーリスクで幾らでも穴を探せる訳です。
で実際に攻撃をするのが、そいつから銃砲を得た他の人間だったら？
全てのサイトでの危険度は明らかに上がるでしょう。

他にも色々考えられますが、要は
「管理者側で把握している人間以外にセキュリティ試験をさせる事自体が危険」
という事であり、
「自己申告者に試験をさせる事自体が、他ユーザーに対する安全性保全の軽視。」
だという事です。
＃免許制とかで有る程度はカバーできるとは思いますが。

「ストーカーは対象者と同じプロバイダに入って試験を申請さえすれば、好きなだけ情報を得る為の挑戦が出来る。」
なんて状況はマズイでしょうから。

>不当契約についてはスラドではそれなりに話題が出ていると思いますが。
>、素直に、んなのはお役所であれ通りませんから

でどのレベルで不当であり、どのレベルで正当なのでしょう
前の発言ではそれが決まってないのが問題だと言っているのですが..そして現在それを判断できる人がいるのでしょうか？

試験レベルを超えて、故意に破壊行為を行う事は明確に賠償責任を問われるでしょう。
ただしこれがセキュリティホールの試験の性質上、試験によってはサーバーで動作しているサービス自体が危うくなる可能性もあります。
逆に安全な試験のみであれば、試験自体が名目のみの骨抜きになると言う本末転倒な状況にもなりえます

責任が明確になっていることも賠償できることも良いことですが
ある程度免除されないと誰も強度の高い試験はできないでしょう。
賠償が怖くて骨抜きになっている試験を合格しても、無意味としか言えないですしねぇ
まぁ国としては対応してますと言えるし、企業としては宣伝になるから骨抜き試験だけでも良いのかな？(苦笑)

>被害発生時の為の行動を取るのが正解でしょう

漏洩事件で問題になってるのは漏洩時に現状回復が不可能だからじゃないでしょうか？
漏洩したデーターが即座にすべて削除できれば、問題ないのですが、結局は賠償金以上の保証はできないのが現状でしょう

裁判も同様、問題発生を防ぐことはできないのでは？
無論その会社から賠償金をとれる可能性はありますが、裁判では問題を発生させないと言う点では、時間がかかりすぎるように思えます。

>管理者側で把握している人間以外にセキュリティ試験をさせる事自体が危険

というのであれば、やはりサーバー管理側に定期的な試験を実施し、判明したセキュリティホールは最低でも2-3ヶ月以内程度に対応/対応状況をユーザーに公開すると言うことを義務づけないと駄目だと言うことでしょうね

個人情報をインターネットを使って収集/管理するという利点を得る対価としての当然のコストでしょう

無論個人情報を扱わないのであれば、ここまで厳密な管理は不要だと思いますよ
漏れても他人に迷惑かけるわけじゃないでしょうから
アタックの踏み台にされるという問題は別途存在しますが...