Re:事前調査はどこまで許されるのか? (#714453) | ACCS事件でoffice氏に有罪判決

「ACCS事件でoffice氏に有罪判決」記事へのコメント

記事ページを表示すべてのコメント取得

検索395コメント Log In/Create an Account

事前調査はどこまで許されるのか? (スコア:2, 興味深い)

by vn (10720)

ヨソのサーバに関して「これってセキュリティホール?」と思ったときに、
だれだって空騒ぎは起こしたくない。管理者に連絡するなどの行動に
移る前に、ある程度、本当にまずい設定になっているという確証を得たい、
と考えるのは自然なことだ。
その事前調査の過程で、たとえば意図した通りの POST リクエストを発行
するために HTML フォームを独自作成したり、その結果取得した CGI スクリプト
を読む、というのは、科学者として当然やるべきことをやる、という範疇から
逸脱しているようには思えない。

もし仮に、調査の過程で /etc/shadow みたいな情報を取得して、
- Re:事前調査はどこまで許されるのか? (スコア:-1, 荒らし)
  
  by Anonymous Coward
  
  そもそもヨソのサーバに対して騒ぐ必要なんてない。
  疑いがありますという連絡だけで十分。
  
  ガーディアンエンジェルでも気取ってるつもりですか？
  - Re:事前調査はどこまで許されるのか? (スコア:3, 参考になる)
    
    by maty (3877)
    
    多分#714281さんは技術者のコミュニティってのをご存じないんでしょうね。もしくはそれ以外の業界の方なんでしょう。若い方なのかな？
    
    ソフトウェア作成者（特にフリーやシェア）、サーバー管理者などでバグやセキュリティホールが甘いところを指摘しあうのは自分が鯖管してた10年以上前からありました。ソフトに関してはもっと前からで気づいたころには草の根でも存在してました。
    #今でもバグ報告掲示板などがたくさん機能してますよね
    
    そしてそれが今まで非常に有益なものでした。
    まともに外部に公表している鯖やシェアやフリーでソフトを出している人ならそれは当た
    - Re:事前調査はどこまで許されるのか? (スコア:1)
      
      by itoshikazu (15602) on 2005年03月26日 19時43分 (#714453)
      
      > 若い方なのかな？
      
      30代前半なら十分若いかも。
      
      おおざっぱに言って、Windows 95以前と以降で技術者の質が根本的に変わっています。スキルのあるなしという話とは違うレベルの話で。
      
      Windows 95以前の技術者の態度はmatyさんのようなものでしたが、それ以降にインターネットに関わるようになった人達には、ここで暴れているACさんのように考える人も多いような気がしますね。いい意味でも悪い意味でも、ボランティア精神があった時代と、商業主義が入ってきた時代の違い。
      
      # 電子メール一つにしても、そこを境に違いがあるんだよな。
      
      シェア
      
      親コメント
      - Re:事前調査はどこまで許されるのか? (スコア:1)
        
        by maty (3877) on 2005年03月26日 22時43分 (#714499)
        
        ちなみに一応自分も30代前半なんで若い部類です、やった若いぞ俺...orz
        
        穴を探してありがとう！！
        ってのはサーバー管理者のスタンスだと思ってました。
        
        10年ほど昔のネット業界は情報が今ほど流れてなかったから、相手のミスだろうと何だろうと見つければチェックして教えあうってのが多かったと思うんですけど、分類的には「学術系」だったんでしょうね。
        最大の情報源も大学サイトが多かったですし。あとNIFぐらいかな？
        
        #力技を普通と考えるのか、故意のイレギュラーと考えるかが壁
        #なのかな・・・・
        #今より情報がないころは力技使わんといかんこと多かったんで
        #今回の手法自体を普通と感じてしまうのはもうまずいのかなぁ
        
        シェア
        
        親コメント
        
        Re:事前調査はどこまで許されるのか? (スコア:0)
        
        by Anonymous Coward
        
        > 穴を探してありがとう！！
        > ってのはサーバー管理者のスタンスだと思ってました。
        
        穴を探してくれて、通報してくれる人はありがたいです。
        でも、探した穴を知らせる前に別の場所で晒す人まで「ありがとう」と礼を言わねばならないのでしょうか？
        
        Re:事前調査はどこまで許されるのか? (スコア:1)
        
        by maty (3877) on 2005年03月27日 23時37分 (#714851)
        
        それはありがたくないでしょう、だから今回の件で
        穴を探すという技術的な行為、と
        きちんと通報せず公開し損害を与えた、という2件は分けてくだ
        さいというのがここいら変のスレッドで書いた自分のスタンスです
        
        シェア
        
        親コメント
      - Re:事前調査はどこまで許されるのか? (スコア:0)
        
        by Anonymous Coward
        
        >Windows 95以前の技術者の態度はmatyさんのようなものでしたが
        
        世の中のまともな管理者達を
        >>セキュリティホールを探ったりする行為を司法判断する必要なし
        なんていうアホといっしょにしないでいただきたい。
        この手の技術バカは古い新しいに関わらず存在
        
        Re:事前調査はどこまで許されるのか? (スコア:1)
        
        by maty (3877) on 2005年03月26日 22時10分 (#714495)
        
        えっと・・・バカ技術者です、はい
        #書くきはなかったんだけどなぁ
        
        >>セキュリティホールを探ったりする行為を司法判断する必要なし
        行為自体に違法性をつけられると困ると思うんだけど？
        たとえば契約する鯖に基本的な穴がないかまぁ「アノニが通らないか程度」を見ることも違法にくくられちゃうよ？
        オラクルで相手の鯖管が素人っぽくてまさかとSCOTT/TIGER打ってびっくり即報告も違法なんよ？とある大手の業者が納品した鯖で実際あったんだけど。
        だからその後に書いた「損害を与えた」とかで司法は判断してくれって言ってるだけなんだけどね。
        
        10年ぐらい前のペーペーのころWeb鯖なんか管理してたけど穴探してメールなんかでこっそり教えてくれた人たちに、ありがたいとは思っても犯罪行為だとは思いたくないです。
        「あそこのCGIでしょ？穴が開きっぱなしですよ、新しいPGに変えましょう」ってメールで報告受けたこともあったしね。
        
        #まぁバカ技術者が司法にたてつくなぁとかまともな管理者が管
        #理してる鯖は穴なんてありませんってならいいけどさ
        
        シェア
        
        親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

ACCS事件でoffice氏に有罪判決 More ログイン

「ACCS事件でoffice氏に有罪判決」記事へのコメント

事前調査はどこまで許されるのか? (スコア:2, 興味深い)

Re:事前調査はどこまで許されるのか? (スコア:-1, 荒らし)

Re:事前調査はどこまで許されるのか? (スコア:3, 参考になる)

Re:事前調査はどこまで許されるのか? (スコア:1)

Re:事前調査はどこまで許されるのか? (スコア:1)

Re:事前調査はどこまで許されるのか? (スコア:0)

Re:事前調査はどこまで許されるのか? (スコア:1)

Re:事前調査はどこまで許されるのか? (スコア:0)

Re:事前調査はどこまで許されるのか? (スコア:1)

スラド