アカウント名:
パスワード:
これを思い出しました。生徒を身内と捉えるかは難しいところですけれど。「中学生に指摘される校内ネットのセキュリティ」http://srad.jp/story/05/06/04/0854243/ [srad.jp]
SQLインジェクションは正規の操作の範疇では?なにも不正な経路で侵入したり、他人のパスワードを不正に入手したわけじゃない。
たとえばこれなんかと同じじゃね。- 「ポーカーマシンのバグを利用していたギャンブラー、無罪に」 http://it.srad.jp/story/13/11/28/0924216/ [srad.jp]
「磁石や静電気など、通常のプレイでは使わない方法でバグを発生させたならば「不正行為」となるが、今回のバグは通常のプレイで使用するボタンを特定の順番で押しただけであり、そのためバグを発生させるものだとしても不正行為にはならない、という判断だったそうだ。」
SQLインジェクションは正規の操作の範疇では?
おところおなまえ電話番号ご希望のプレゼントの番号をお書き添えの上お送りくださいと言ったら、勝手に個人情報を送ってきましたっていう感じ。
技術に詳しい人とそうでない人とで、常識の格差があるかもしれませんねえ。
一般に、鍵が掛かっていなくても人の住居に勝手に入ったり、勝手にものを持っていってはいけません。技術に詳しい人は「普通の」手順でアクセス可能な情報は実質公開されているものという意識がありますが、技術に詳しくないえらい人は、彼らの意図に反した情報を持ち出すのは悪い事だと考えているかもしれない。
通報するのは自由ですからね、イタズラでなければ警察も確認はする、是非を最終判断するのは司法ですし、正常に公的サービスが機能すれば何の問題もないのですが。
脆弱性に気づかずに運用してるってのは、鍵がかかっていない住居よりももっと筒抜けなもので例えると技術に詳しくないえらい人にもわかってもらえるだろうか。屋根と柱だけ(壁がない)家のようなものとか・・・ ・・・そういう家でトイレや風呂も道路から丸見えなんだけど、住人は平然と暮らしていた。家の前を通る人々は、見えているけど知らぬ振りなのか気づいていないのか、特に何もいわなかった。あるとき、通りがかりの少年が「丸見えですよ」と指摘した。住人は「おまわりさん、ノゾキ魔です」と通報した・・・ 現実が恐ろしいのは、ここで住人同様「家の中といえども壁がなければ丸見え」ということが認識できないおまわりさんがやってくる、という点。おぉこわ。
自宅で全裸で過ごしてたら覗いていたBBAに公然猥褻で訴えられたおっさんのこと思い出した。
これだと思うなぁ。
「オンラインゲームのクライアントとサーバーの通信にフックかけて数値を書き換えただけでチートできるのは、簡単に変更ソフトなんだから不正アクセスとかじゃない、API叩いてるだけ」とか言い出しちゃう技術馬鹿って実際に居たりするし。それを悪いこととも思わずにやってるような奴は業務用の冷蔵庫に入るような馬鹿と同じ末路を辿ればいいのに。
不正アクセスは、正規ではない方法でアクセス権限を取得しアクセスすること。アクセスした後の内容とは別問題。そういう場合粛々とサービス規約とか契約不履行とか正しい方向で罪を指摘してやれ。実際数値を変えただけでは、不正なデータを取り扱ったに当たっても、不正アクセスではないのだから。
偽計業務妨害
萌えキャラの抱き枕やシーツを窓際に掛けてたら外から丸見えになってて、それを指摘したら「覗かれた!プライバシーの侵害だ!」と通報されたようなもんでしょ。
あるいは、家の中で裸でうろついていたら外の通行人に通報されたとか。
ちゃちゃ入れですが。
まあシーツの方はさておき自宅のベランダで裸で居たのが猥褻物なんとか罪で訴えられた、みたいな事例も聞いたことあるんで、>あるいは、家の中で裸でうろついていたら外の通行人に通報されたとか。これは状況次第で裸の人の方が罪に問われる危険性もあります、ということで。
#関係ないけど、カーセックスやアオカンを覗く行為は、いずれも覗いた側には罪はないと聞いた。
日本だと「本人に教えてもらったIDとパスワードでSNSサイトにログインして正規の操作をして」も不正アクセス禁止法で取り締まり受けますがね。
でも、報道目的なら悪意が無いので大丈夫みたいですよ。
#なので、脆弱性は一般公開して悪意の無い形で指摘すればOK
>でも、報道目的なら悪意が無いので大丈夫みたいですよ。
ただし大手マスコミ関係者に限る。
#ゆうちゃんどうなってんだろ、獄中生活そろそろ1年?
「SQLインジェクション」と呼ばれるのは正規の操作の範疇外の行為を言います。SQLを送って操作するのが正規の操作なら「SQLインジェクション」ではないのですが、SQLを送って操作するのが非正規の操作であるとき「SQLインジェクション」と呼びます。これにより通常パスワードなどで認証すべき手順を管理者の許可なくすっ飛ばすと違法行為になります。
FREE TEXT FIELDに入力禁止されていない文字列を書き込んでSUBMITするだけですが。入力禁止されていない文字列を書き込んでSUBMITするのは正規の操作の範疇外なんでしょうか。
アクセス制限をまぬがれる情報・指令を入力してるんだから、普通に正規の操作の範疇外でAUTO入力禁止は自己防衛のためにやってるだけで、入力禁止措置がとれれてないからといってインジェクションをするための操作が正規という理由にはならない
AUTO(オート)って何かと思った……
ついでに言うとダメって意味のアウトって英語では無いのでは?
なんかどっかで使われてるスラングらしいですよ>AUTO知らない人から見るとただのバカにしか見えないからお外で使わない方がいいのにね。
アクセス制限なんてかかってない。せいぜい、アクセスしないよねって期待だな。
そんなこと気にしない悪人だけが最初に標的型攻撃を試すことになるわけですね。めでたしめでたし
んなこと業界問わずどこでもあることじゃん。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
危険性があるか把握して良いのは身内の任された人だけ (スコア:0)
自分の手元における誰でも手に入るシステムだったら指摘できるが、少数の人がクローズにして独自に使っているシステムのセキュリティーは少しづつしか良くならないし、対策をしなくても大丈夫なくらい攻撃は少ない。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2)
これを思い出しました。
生徒を身内と捉えるかは難しいところですけれど。
「中学生に指摘される校内ネットのセキュリティ」
http://srad.jp/story/05/06/04/0854243/ [srad.jp]
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
SQLインジェクションは正規の操作の範疇では?
なにも不正な経路で侵入したり、他人のパスワードを不正に入手したわけじゃない。
たとえばこれなんかと同じじゃね。
- 「ポーカーマシンのバグを利用していたギャンブラー、無罪に」 http://it.srad.jp/story/13/11/28/0924216/ [srad.jp]
「磁石や静電気など、通常のプレイでは使わない方法でバグを発生させたならば「不正行為」となるが、
今回のバグは通常のプレイで使用するボタンを特定の順番で押しただけであり、
そのためバグを発生させるものだとしても不正行為にはならない、という判断だったそうだ。」
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2)
おところおなまえ電話番号ご希望のプレゼントの番号をお書き添えの上お送りくださいと言ったら、勝手に個人情報を送ってきましたっていう感じ。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
技術に詳しい人とそうでない人とで、常識の格差があるかもしれませんねえ。
一般に、鍵が掛かっていなくても人の住居に勝手に入ったり、勝手にものを持っていってはいけません。
技術に詳しい人は「普通の」手順でアクセス可能な情報は実質公開されているものという意識がありますが、
技術に詳しくないえらい人は、彼らの意図に反した情報を持ち出すのは悪い事だと考えているかもしれない。
通報するのは自由ですからね、イタズラでなければ警察も確認はする、是非を最終判断するのは司法ですし、
正常に公的サービスが機能すれば何の問題もないのですが。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2)
脆弱性に気づかずに運用してるってのは、鍵がかかっていない住居よりももっと筒抜けなもので例えると技術に詳しくないえらい人にもわかってもらえるだろうか。屋根と柱だけ(壁がない)家のようなものとか・・・
・・・そういう家でトイレや風呂も道路から丸見えなんだけど、住人は平然と暮らしていた。家の前を通る人々は、見えているけど知らぬ振りなのか気づいていないのか、特に何もいわなかった。あるとき、通りがかりの少年が「丸見えですよ」と指摘した。住人は「おまわりさん、ノゾキ魔です」と通報した・・・
現実が恐ろしいのは、ここで住人同様「家の中といえども壁がなければ丸見え」ということが認識できないおまわりさんがやってくる、という点。おぉこわ。
Re: (スコア:0)
自宅で全裸で過ごしてたら覗いていたBBAに公然猥褻で訴えられたおっさんのこと思い出した。
Re: (スコア:0)
これだと思うなぁ。
「オンラインゲームのクライアントとサーバーの通信にフックかけて数値を書き換えただけでチートできるのは、簡単に変更ソフトなんだから不正アクセスとかじゃない、API叩いてるだけ」とか言い出しちゃう技術馬鹿って実際に居たりするし。
それを悪いこととも思わずにやってるような奴は業務用の冷蔵庫に入るような馬鹿と同じ末路を辿ればいいのに。
Re: (スコア:0)
不正アクセスは、正規ではない方法でアクセス権限を取得しアクセスすること。アクセスした後の内容とは別問題。
そういう場合粛々とサービス規約とか契約不履行とか正しい方向で罪を指摘してやれ。
実際数値を変えただけでは、不正なデータを取り扱ったに当たっても、不正アクセスではないのだから。
Re: (スコア:0)
偽計業務妨害
Re: (スコア:0)
萌えキャラの抱き枕やシーツを窓際に掛けてたら外から丸見えになってて、
それを指摘したら「覗かれた!プライバシーの侵害だ!」と通報されたようなもんでしょ。
あるいは、家の中で裸でうろついていたら外の通行人に通報されたとか。
Re: (スコア:0)
ちゃちゃ入れですが。
まあシーツの方はさておき
自宅のベランダで裸で居たのが猥褻物なんとか罪で訴えられた、みたいな事例も聞いたことあるんで、
>あるいは、家の中で裸でうろついていたら外の通行人に通報されたとか。
これは状況次第で裸の人の方が罪に問われる危険性もあります、ということで。
#関係ないけど、カーセックスやアオカンを覗く行為は、いずれも覗いた側には罪はないと聞いた。
Re: (スコア:0)
日本だと「本人に教えてもらったIDとパスワードでSNSサイトにログインして正規の操作をして」も不正アクセス禁止法で取り締まり受けますがね。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:2, 参考になる)
でも、報道目的なら悪意が無いので大丈夫みたいですよ。
#なので、脆弱性は一般公開して悪意の無い形で指摘すればOK
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
>でも、報道目的なら悪意が無いので大丈夫みたいですよ。
ただし大手マスコミ関係者に限る。
#ゆうちゃんどうなってんだろ、獄中生活そろそろ1年?
Re: (スコア:0)
「SQLインジェクション」と呼ばれるのは正規の操作の範疇外の行為を言います。
SQLを送って操作するのが正規の操作なら「SQLインジェクション」ではないのですが、
SQLを送って操作するのが非正規の操作であるとき「SQLインジェクション」と呼びます。
これにより通常パスワードなどで認証すべき手順を管理者の許可なくすっ飛ばすと違法行為になります。
Re: (スコア:0)
FREE TEXT FIELDに入力禁止されていない文字列を書き込んでSUBMITするだけですが。
入力禁止されていない文字列を書き込んでSUBMITするのは正規の操作の範疇外なんでしょうか。
Re:危険性があるか把握して良いのは身内の任された人だけ (スコア:1)
アクセス制限をまぬがれる情報・指令を入力してるんだから、普通に正規の操作の範疇外でAUTO
入力禁止は自己防衛のためにやってるだけで、入力禁止措置がとれれてないからといってインジェクションをするための操作が正規という理由にはならない
Re: (スコア:0)
AUTO(オート)って何かと思った……
ついでに言うとダメって意味のアウトって英語では無いのでは?
Re: (スコア:0)
なんかどっかで使われてるスラングらしいですよ>AUTO
知らない人から見るとただのバカにしか見えないからお外で使わない方がいいのにね。
Re: (スコア:0)
アクセス制限なんてかかってない。
せいぜい、アクセスしないよねって期待だな。
Re: (スコア:0)
そんなこと気にしない悪人だけが最初に標的型攻撃を試すことになるわけですね。めでたしめでたし
Re: (スコア:0)
んなこと業界問わずどこでもあることじゃん。