アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
事前調査はどこまで許されるのか? (スコア:2, 興味深い)
だれだって空騒ぎは起こしたくない。管理者に連絡するなどの行動に
移る前に、ある程度、本当にまずい設定になっているという確証を得たい、
と考えるのは自然なことだ。
その事前調査の過程で、たとえば意図した通りの POST リクエストを発行
するために HTML フォームを独自作成したり、その結果取得した CGI スクリプト
を読む、というのは、科学者として当然やるべきことをやる、という範疇から
逸脱しているようには思えない。
もし仮に、調査の過程で /etc/shadow みたいな情報を取得して、
Re:事前調査はどこまで許されるのか? (スコア:-1, 荒らし)
疑いがありますという連絡だけで十分。
ガーディアンエンジェルでも気取ってるつもりですか?
Re:事前調査はどこまで許されるのか? (スコア:3, 参考になる)
ソフトウェア作成者(特にフリーやシェア)、サーバー管理者などでバグやセキュリティホールが甘いところを指摘しあうのは自分が鯖管してた10年以上前からありました。ソフトに関してはもっと前からで気づいたころには草の根でも存在してました。
#今でもバグ報告掲示板などがたくさん機能してますよね
そしてそれが今まで非常に有益なものでした。
まともに外部に公表している鯖やシェアやフリーでソフトを出している人ならそれは当た
Re:事前調査はどこまで許されるのか? (スコア:0)
鏡に向かって言ってるのか?
悪いけど、この業界のその道で大方10年選手です。
で、「疑いがありますという連絡だけで十分。」と書いてあるだ
Re:事前調査はどこまで許されるのか? (スコア:1)
その現象や再現性ぐらいはきちんとレポートしてあげないとね
疑いで報告されても困ります。
管理者としてはまぁチェックするだろうけどさ・・・
報告者もチェックせずにレポートするのはだめでしょう
Re:事前調査はどこまで許されるのか? (スコア:0)
>疑いで報告されても困ります。
ナニ甘えてんだ?
学生気分で社会に出てんじゃねぇよ。
#あなたも無駄な方の人間なのねぇ……
ローカルで検証できるものならしてあげてもバチはあたらねぇよ。
レンタルサーバの問題ならレンタルサーバを自分で借りて自分で検証してもまあ文句はいわねぇだろう。
#レンタル屋の規約によりけりだが
でもな、人様の資産に向かって攻撃してんじゃねぇよ。
Re:事前調査はどこまで許されるのか? (スコア:1)
#というか経歴長いならそんな口調やめたほうがいいよ、分かるでしょ?
FTPで保護されている?フォルダがHTPP経由のCGIのパラメーター変更で取得可能だった件について攻撃?と思われてる段階で「違うんじゃないかな」と思うんですが?まぁこれは裁判に関してもですが。
この手法自体が技術者にとって一般的な手法であり、それを「攻撃」や「違法行為」といわれても困るってのがこの問題に疑問を掲げてる方々の考えだとおもいます。
#Blogなんかのパラメーター変更も罪なのか?
「HTTPで公開している=それで操作可能範囲は操作やいじられるのは当たり前」
てのは普通のことだとおもいますしそれを想定して公開するのが当たり前だとおもいます。
それを「公開した人が想定しなかった」という「想定外のバグやミスはつかった、発見したほうが悪い」的な判例は・・・あっ楽になるジャン俺
>>ナニ甘えてんだ?
>>学生気分で社会に出てんじゃねぇよ。
HTTPで公開していたCGIはいろいろ触られるってことがわからないのこそ甘えですよ、わかってますか?公開したPGもいろいろな触られ方しますよ?
それもわからずにアプリ作ってたらホンと・・・いらね
>>人様の資産に向かって攻撃してんじゃねぇよ。
DoSか何かと思ってるんですか?今回の件?
ほんとにネットアプリ系かなんかのソフト系の開発の人?
#一緒くたにせず#で「仕事なら」ってまで書いてるのにわざわざ
#一緒くたにしないでよACさん
うざったいんで#はずして書きます
ようは「問題指摘時に何が必要か?それに伴う報告内容は?」
ってのがわからない人はいらねってこと、テストの手法なんか
ちゃんとわかってます?トラブル時に必要な内容も?想定できる
ぐらいで報告されちゃサーバー管理者PG作成者でも困るんですよ
ましてや相手の鯖管は仕事でやってんだからね、わかってます?
#ACさん職歴長くてもスラド暦は短いのね・・・
Re:事前調査はどこまで許されるのか? (スコア:0)
あんたはスラド暦は長いのに社会人暦は短いんだねえ・・・歳は結構いってるから、ニート暦の方は長いのか。
俺の考えは というか更に突っ込んだ内容でseot氏が書いてるので改めて書くことはしないが。せいぜい精進しな。
Re:事前調査はどこまで許されるのか? (スコア:0)
ブラウザを起動しておもむろにアクセスするのではなく、
アクセスするためにログファイルを取得してアクセスするための引数を入手してから
アクセスしてる時点で意図的な攻撃であることは明白。
>この手法自体が技術者にとって一般的な手法であり
だからさ、本気で「一般的」だなんて思ってるの?
もしそうなら他の技術者に迷惑だからやめてくんないかな?
自分が捕まったときのために、今のうちから「一般的だ」ということにしたいのかもしれないけどさ。
>>ナニ甘えてんだ?
>>学生気分で社会に出て
Re:事前調査はどこまで許されるのか? (スコア:0)
>アクセスするためにログファイルを取得してアクセスするための引数を入手してから
>アクセスしてる時点で意図的な攻撃であることは明白。
今回の裁判で、どこからが違法でどこからが違法じゃないかという明確なラインが決まったのですか?
#この国は(法律で定義しきれない部分では)判例が重視されるのですから、これをあいまいにしたまま判決を出されるのは問題なのですが。
>>この手法自体が技術者にとって一般的な手法であり
>だからさ、本気で「一般的」だなんて思ってるの?
どこからが一般的で、
Re:事前調査はどこまで許されるのか? (スコア:0)
えーと、今回の事例は違法アクセスと言うラインが決まったようですよ。
> #この国は(法律で定義しきれない部分では)判例が重視されるのですから、これをあいまいにしたまま判決を出されるのは問題なのですが。
判例とか法律がどうとかそれっぽい言葉を使っていますが全くだめですね。
もし判例を持ち出すなら過去の判例と比べておかしいというなら分かるのですが、過去の判例を示さずにこういうことを言うのは間違い。
判例は重要ですが、適当なものが無い場合過去の判例
Re:事前調査はどこまで許されるのか? (スコア:0)
今回の裁判は刑事裁判ですから、個別の事件に対して合法/違法性が判断されるだけであり、あなたがおっしゃるような「どこからが違法であるか」は判断しません。あくまで今回の事件が合法であるか違法であるかだけが判断されます。
そして、今回の事例に関しては明らかに違法行為であるという判断が示されました。
Re:事前調査はどこまで許されるのか? (スコア:0)
>「問題指摘時に必要な決定的な要素が欠けている」人間の最たるものだと思いますよ。
ボクはキミの自己啓発セミナーの講師じゃないんだよ。
この話の流れで理解できてないのなら、しなくていいからそのまま捕まってください。
中途半端に理解して他人に迷惑をかけ続けるより、理解できないままどっか別に世界で暮らしているほうが、
あなたのような人間にもみんなにも幸せですから。
>正直、あなたのこのコメントは「こっちは日々
Re:事前調査はどこまで許されるのか? (スコア:1)
小学校卒業して即働けと・・・・
あらぬニート疑いまで・・・・
#そんなに俺っておっさんか...orz
#なぁんか技術や知識や法律やらの突込みではなく攻撃のための
#突っ込みACさん、面白くて笑いました、会社いってねたにさせ
#てもらいます
Re:事前調査はどこまで許されるのか? (スコア:0)
セキュリティホールの指摘の対応もろくに出来ないような無能な管理者を置いている会社の話を、ですか?
まさか
http://srad.jp/comments.pl?sid=247064&cid=714550
の「自分とこ」って今勤めてる会社じゃないですよね?だったらそんなネタで話したら上司や同僚から白い眼で見られますよ ;-)
Re:事前調査はどこまで許されるのか? (スコア:0)
いや、そんなのに管理をまかしてるようなところだったら、
その上司や同僚も類友でしょう。