アカウント名:
パスワード:
「こういうのをこのCGIに食わせると、ほら、指定したファイルを ゲットできますね」と、実際に自分ではゲットしないで、その ゲットの仕方を公開するというのが、よかったかもしれませんね。
難しい。
そうですか、それはよかった。この顧客の問い合わせリストが 肝心のファイルではなかったわけですね...と、そのファイルを 開示しちゃうと、面白いかもね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
公開した事柄の問題ならば... (スコア:1)
「こういうのをこのCGIに食わせると、ほら、指定したファイルを
ゲットできますね」と、実際に自分ではゲットしないで、その
ゲットの仕方を公開するというのが、よかったかもしれませんね。
何人かの出所が知れている方に見せたにしても、実際に盗む所を
見せたのが問題だったみたいなので、「データを盗める文字列」
をちゃっちゃと公開しておくという方がよいのでしょう。
exploitの公開は、結構センシティブなんですが、officeさんの
間違いは、その手順を公開したことではなくて、自分の手を汚
してしまったことにあるみたいですね。なので、今後は、「こ
ういう風に入力すれば、ここからはデータを簡単に見ることが
出来る仕様だね」と、実例を示す「のみ」でよいのではないか
な?
「このドア、鍵あけっぱなしだよ」と開示することは、なんら
問題はなくて、そのドアに手をかけたのが彼の失敗かもしれな
い。ならば、そのドアが開いていることを大きく示す程度で、
終わりにしないとね。
ドアのオーナーも、その内、気付くでしょうから...;-)
Re:公開した事柄の問題ならば... (スコア:1, すばらしい洞察)
確かにそれが一番効果が高いんだけど、
・即、他の人間からの攻撃に晒される事となる
・即、他のサーバへの攻撃に流用される事にもなる
# ・即、セキュリティ専門家のお飯の食い上げとなる(ぉ
などなどの理由により、やりづらいと思います。件のイベントでも、officeの方法即座に真似た奴いたし。
すぐに攻撃に流用されず、かつ、問題がある事がはっきりと分かる。この二律背反はなかなか簡単には解決できないのよね。
Re:公開した事柄の問題ならば... (スコア:0)
難しい。
Re:公開した事柄の問題ならば... (スコア:1)
そうですか、それはよかった。この顧客の問い合わせリストが
肝心のファイルではなかったわけですね...と、そのファイルを
開示しちゃうと、面白いかもね。
Re:公開した事柄の問題ならば... (スコア:0)
Re:公開した事柄の問題ならば... (スコア:1)
ということは、修正せざるを得ないシステムであったという
ことですね?なら、投獄される理由もないでしょう。
どっちかというと、信用毀損罪って、どこに書いてあるですか?
名誉毀損ならありますが..「それだとボロボロですね」と指摘さ
れて、居住まいを正した後に、「ボロボロであったが、居住まい
は正した」と?
Re:公開した事柄の問題ならば... (スコア:0)
> > > > > 公開するというのが、よかったかもしれませんね。
> > > >「肝心のファイルはゲットできないようになっています
> > > > 名誉毀損で告訴します。」と否定されるかもね。
> > > そのファイルを開示しちゃうと、面白いかもね。
> > その時点では既に修正(対策)
Re:公開した事柄の問題ならば... (スコア:1)
そうですか、では、判別できないということで、抜いたファイルは
自由ってことですね?
Re:公開した事柄の問題ならば... (スコア:0)
# その後yasudas氏の姿を見たものはいない・・・。
Re:公開した事柄の問題ならば... (スコア:1)
意外と元気だったりしていますが,,,;-)
取り締まる根拠か、ありもしない名誉か、
どちらも捨てられないと、そういうことに
なりそうですね。