アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
不正アクセスだろうが何だろうが (スコア:1, 興味深い)
外部に公開すべきでない情報を保護するための技術的に妥当な
対策を引き続き怠らぬようお願いしたい。
不正アクセスであろうが何だろうが、漏洩した情報をすべて
回収できるようになった訳ではありませんので。
Re:不正アクセスだろうが何だろうが (スコア:3, おもしろおかしい)
Re:不正アクセスだろうが何だろうが (スコア:3, 興味深い)
今回、ここがもっとも判らない所
httpでのアクセス経路にてデーターが取り出されて居るのだから、httpでのアクセスに対して、アクセス制限がかけられて居たかどうかを証明し、判断するのが普通だと
Re:不正アクセスだろうが何だろうが (スコア:5, 参考になる)
|
|番台で女性かどうかチェック
|
女風呂+女体(個人情報)
| ↑
塀 |風呂桶(cgi)を積み重ね(パラメータ改変)て塀の上から覗いた
| |
男風呂+何かの花園(httpで閲覧可能なもの)
↑
|番台で男
Re:不正アクセスだろうが何だろうが (スコア:0)
誰も塀なんか設けてなかったですよ。開けっ放しだったけど、普段は人が通るようなところではなかった、というだけ。
Re:不正アクセスだろうが何だろうが (スコア:0)
「URL直打ちでダウンロードできました」というのとは違いますよ?
・個人情報はHTTPで閲覧できる場所にはなかった。つまりHTTPからのアクセスに対して制限はかけられていた。
・FTPではIDとパスワードでアクセス制限をかけていた。
・cgiを通すことで初めて誰でもアクセス可能となった。
・ただし、そのcgiもユーザがパラメータを故意に書き換えないと個人情報を閲覧することはできない。
この場合、
Re:不正アクセスだろうが何だろうが (スコア:0)
HTTPで閲覧できる場所になかったなら今回のような事件にはなりませんでした。
>・cgiを通すことで初めて誰でもアクセス可能となった。
そのcgiはHTTPでアクセス可能でした。
Re:不正アクセスだろうが何だろうが (スコア:0)
テンプレのページ [geocities.jp]では「通常のhttpd経由のアクセスではこのファイルには到達できなかったと言われています」と書いてあります。
「言われています」なので確定情報ではないですけどね。
で、HTTPDから直接見えるのと見えないのとではどう状況が変わっていたのでしょう?
URL直打ちでファイルにアクセスできたと勘違いしている人が多数いるからこのような状況になっているのだと思いますけど。
で、CGIをかまさないとアクセスできないことに注意してください。
逆に言えばCG
Re:不正アクセスだろうが何だろうが (スコア:0)
問題は「そのCGIが個人情報にアクセスするために用意されていたわけではなかった」という事を、第三者が(管理者の意図を汲み取って)把握する必要があるのか、と言う点かと。ましてや「ftp で認証がかかっていた」なんて知りようがない。
また今回は POST での取得だったわけですが、
Re:不正アクセスだろうが何だろうが (スコア:0)
>けではなかった」という事を、第三者が(管理者の意図を汲み取って)
>把握する必要があるのか、と言う点かと。ましてや「ftp で認証がか
>かっていた」なんて知りようがない。
詭弁ですね。河合一穂は脆弱性と認識してわざわざイベントで発表していたわけですから、当該CGIの本来の目的もしっかり認識していたでしょう。