アカウント名:
パスワード:
それらのセキュリティレベルを向上させる(=開発に多大な費用を使わせる,に等しいことですが)にはどうしたら良いとお考えですか?「彼のような倫理観のない技術者 (^^;」を非難し取り締まる事が,それらを向上できるとお考えになりますか?いい加減なサイト構築が溢れている状況が,どうしたら改善する方向に持っていくことができるでしょうか?
# 前のAnonymous Cowardではないのですが。
少なくとも倫理観もないセキュリティゴロの暴れ行為は、セキュリティの
おっしゃるような「倫理観もないゴロの暴走」とは思えないのですよ.
今回のことだけをみれば、私自身は現場にいたわけではありませんので、判断できません。
でも、ちょっと言いたいことがあって。
社会的にセキュリティの向上を目指すなら、その根底には「倫理観」が必要だってことを認識してほしいんです。今回のことは具体的にはよく知りませんが、セキュリティ上の不備を通告するにも、オモシロ半分であったり、自分の技術力の誇示がアカラサマであったりしたら、メイワクなだけだって
かなりのサイトで利用されているフォーム cgi の脆弱性が公開された事は 何の報道にもならず,単に個人情報を流出させた事件として報道される. その事自身に問題感を持っているのみです.
今回の朝日新聞では次のように報道されていますよ。
身近なインターネットサイトにも個人情報流出の危険性が残る背景には、サイトの安全性を評価する仕組みが不十分であることと、対策の必要性について意識の低いサイト運営者やサーバー提供事業者が少なくないことがある。 今回、個人情報を引き出した研究員は、様々なサイトの「欠陥」を匿名で
#ちなみに「道義上おかしなやつ」ってのはどのコミュニティにも2%程度 #はいるもんですよ:)
その2%のせいで、「道義上おかしなコミュニティ」やら必要なものまで「道義上おかしな行為」にされちゃ、やってらんないでしょ。 世間的に見て、分かりづらい分野ならナオサラです。
だから、その2%がオイタをしたら、「メッ」って言ってやるこ
それが良い事かどうかという話は別に
その内容が他人のプライバシーの侵害になるかどうかも解らない人間にはセキュリティ問題は語って欲しくありませんが。
置かれている場所がどんな場所であれ、他者の情報を開示したらその行為だけで問題でしょう。 CSSが如何に弱いプロテクトであってもDVDをコピーするのは問題なのと一緒。
確かにレベルが低いcgiかも知れないけど、それはそれ、これはこれ。 無理に一緒に考えるか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
行為者責任ってのは歴然と存在するのは確かなのだが (スコア:2, 興味深い)
直接に犯罪になる行為ではなく道義上の問題であるにせよ「まさにそこに誰でも見られる状態」のものを公衆の前で「見れますよね」と言うのに何が問題であろうか.ましてや今回の事例は「セキュリティ対策の回避」などではなく,リクエストしたら出てきます,レベルの問題であるのだし.
セキュリティの専門家=ハッカーの仕業なので,皆さんは真似しないでね,悪い人がいなくなれば安全ですから.と言っているだけのように聞こえてしまいます.「特定の目的にそぐわない情報にアクセスした者を処罰します」なんて立法がなされないように祈ります.
電波法の「特定の相手方の通信の傍受」あたりと同じようなことになりそうな...
住基ネットの運用なんかにも通じそうですよね...
みんつ
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:1, すばらしい洞察)
cgiのソース読んでるって事は、cgi本体を入手しているわけです。
公衆の面前では入手したcgiを使ってテスト環境を作ってデモすれ
ば良いだけの話。当然「これはどこそこに使われてます」なんて
事は言わないでね。
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:0)
その cgi に脆弱性があるということを広く世間に知らせるだけでよかったわけだよね。
どこで使われているとか言わなければ OS や http server 等の脆弱性の問題と同じなんだから。
自分で作ったテスト環境でプレゼンするんじゃ「面白く」ないと思ったのであれば、自業自得だと思うよ。
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:0)
言わなければユーザはそのサービスの利用を回避出来ない。
商売(セキュリティゴロ?)でやってるならば
それでも良いかも知れないが、
公徳心の無い、公益に反する判断と言わざるを得ない。
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:1)
ネットを安全に使うためには、ネット上にあるシステムが出来るだけ安全である必要がある。
「ヘンなことをするやつ」を排除する方向に行くよりは、システムの方をヒトに合わせて変える方向に行って欲しいですね。
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:0)
なんで「ヘンなことをするやつ」のために無駄な労力を使わなければならないの?
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:1)
大抵、ヘンな事をするかソレで被害をうけるのは、客や上司だから。
どんなシステムでもそうですけど、通常ケースよりはイレギュラー
ケースやら裏口やらのための開発費の方が多いものですよ。
話はそれますが、それゆえに「これはレアケースだから」とか言って
見積もりを安くすると、痛い目にあいます。
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:1)
地球上の人口60億として、更にその1割がネットに係わるとしたらネット人口は6億人。
で、人間どんなヒトも完全ではないようなので、この「「ヘンなことをする」かもしれない」6億全員に啓蒙して回るよりは、
それよりは数が少ないであろうシステムの方をさっくり改良した方が合理的。
あるいは無駄が少なくてよいのではないかなと考えた次第。
本当に誰でも出来るの? (スコア:0)
ではminzさん、あなたやってみてください。本当に出来ます? 旧版のcsvmail.cgiを入手すれば出来ますか?
修正前のACCSのHTMLデータがあればそこから個人情報のファイル名を取得して閲覧できるようになると?
minzさんが言うところの「誰でも」とはどのよ
Re:本当に誰でも出来るの? (スコア:2, 参考になる)
ACCS に限らず,山ほどあるっすよね,そういうサイト.私程度の技術者でも大小問わず「個人情報を流出させることのできそうなサイト」なんてごろごろあります.
不正アクセス法に触れますが,スロースキャンやれば残高照会くらいはできそうな金融系サイトとか,あいかわらず多そうですしね.現実に盗んだキャッシュカードの暗証番号を確認するためにそういったサイトで残高照会をしてみる,なんていう事件にもなっていますし.
あなたのおっしゃる「Script Kiddy」だの「セキュリティ技術に長けた」だのと区分する必要がありますかね?「知っていれば誰でもできる」ことです.もちろん「誰でもやるべき」とは思っていませんし「道義上の問題はあるかもしれない」と申しております.
逆に言えば「知らない人が知らなければ安全」である,と結論づけて欲しくないだけです.
で,
それらのセキュリティレベルを向上させる(=開発に多大な費用を使わせる,に等しいことですが)にはどうしたら良いとお考えですか?「彼のような倫理観のない技術者 (^^;」を非難し取り締まる事が,それらを向上できるとお考えになりますか?いい加減なサイト構築が溢れている状況が,どうしたら改善する方向に持っていくことができるでしょうか?
みんつ
Re:本当に誰でも出来るの? (スコア:0)
# 前のAnonymous Cowardではないのですが。
少なくとも倫理観もないセキュリティゴロの暴れ行為は、セキュリティの
Re:本当に誰でも出来るの? (スコア:2, 参考になる)
ええ,そう思います.
で,繰り返しになりますが,今回の件ってのが「結果には行為者責任が道義上あるが」
しかしながら「手段は正当」ではないのかという意見を私は持っています.
あのデモ(というより,PHSがつながらなくて保存した画面でしたが ^^;)
「入れた証拠として個人情報を提示した」というよりは,解析手順(具体
的なセキュリティホールの提示)に主眼があるプレゼンであって,解説も
それに費やされており,件の最終画面は「ほら」で終わっておりましたか
らねぇ.
もちろん最終画面については適当なマスクを施すとかが推奨されるべき所
ではありましょうが,
おっしゃるような「倫理観もないゴロの暴走」とは思えないのですよ.
みんつ
Re:本当に誰でも出来るの? (スコア:0)
>おっしゃるような「倫理観もないゴロの暴走」とは思えないのですよ.
本来のセキュリティホール駆逐の目的がアタマの隅にあるなら、それは推奨じゃなくて絶対条件じゃないのか?
「誰の[/何の]
Re:本当に誰でも出来るの? (スコア:0)
今回のことだけをみれば、私自身は現場にいたわけではありませんので、判断できません。
でも、ちょっと言いたいことがあって。
社会的にセキュリティの向上を目指すなら、その根底には「倫理観」が必要だってことを認識してほしいんです。今回のことは具体的にはよく知りませんが、セキュリティ上の不備を通告するにも、オモシロ半分であったり、自分の技術力の誇示がアカラサマであったりしたら、メイワクなだけだって
Re:本当に誰でも出来るの? (スコア:0)
目の前で非常事態を見ないと分からない人が居るというのも事実ですよ。
# 特に説得される側の立場の人にね
それだけセキュリティの問題は厄介なのです。
今回の件とは直接何の関係もない話ですが、倫理じゃ啓蒙できないんだよな、
と常々感じているもので。
どこかで聞いた台詞 (スコア:0)
どっかで聞いた台詞だなあ。
大量破壊兵器があるとか言ってどこかの国に乗り込んだ国の台詞だっけ?
啓蒙とか教えてやらないととか言う発想自体が、
実は「自分は偉いんだ」と自己顕示欲が肥大化した結果だということを肝に銘じないとね。
とりあえず、ガンジーの伝記でも読んでみると良いかと。
フレームのもと:Re:どこかで聞いた台詞 (スコア:0)
まず最初に,あなたの肝にどうぞ.伝記の真意を読めるまで.
Re:本当に誰でも出来るの? (スコア:0)
で、「持参したパソコンにこの情報を保存した参加者もいたという」わけです。
つまり、彼は不正に入手した個人情報(※)を配布したわけで、
既に「道義」とか「倫理」で語る段階は過ぎてます。
ましてや「適当なマスクを施すとかが推奨さ
Re:本当に誰でも出来るの? (スコア:0)
> 推奨されるべき所ではありましょうが,
> おっしゃるような「倫理観もないゴロの暴走」とは思えないのですよ.
最終画面にマスクもなしに公開した段階で「ゴロの暴走」と 思うんじゃないですか? みんつさん本当に「画面のマスクは推奨程度」だと思って書いてるんですか?
Re:本当に誰でも出来るの? (スコア:1)
「道義上はやらんでしょーね」と思っているからこそ「(用意したデータであるなら)マスクくらいかけるのは推奨でしょ」と言っています.その結果を招いた行為者責任は(良い事であろうが悪い事であろうが)ついてまわる,と言う事です.
#本当は用意したデータでなくリアルタイムでデモしたかったらしいが (^^;
#回線がつながらなくて慌ててキャプチャーデータを用意したのが敗因だった模様.
ただし,私の意見はそんなことではなく「行為者の問題とすることで本来の問題を矮小化して欲しくはない」です.
#でも会場のサーバから落とせたヒトはどれくらいいたのかしら.
#あのプレゼン(と他いくつか)はサーバに乗せていなかったと認識していた,私.
みんつ
Re:本当に誰でも出来るの? (スコア:0)
だからこそ、ハッカーたるoffice氏は
「行為者の問題」とされる恐れのない手段こそを
ハックすべきだったのではないでしょうか?
わざわざ「行為者の問題とすることで本来の問題を矮小化」
されてしまうような手段を選んでしまった時点で
賢明ではなかったのです。
このような"最悪の事態"を想定していないのであれば、
Re:本当に誰でも出来るの? (スコア:1)
はい,私も含めセキュリティコンサルタントとしては肝に銘じておきたいと思います. ただ,おっしゃるようなリスクは「回避」のみが存在するわけではなく,あえてリスクを発生させる場合も含めて「リスク管理」の範疇である,とは申し添えます.
まあ,今回のプレゼンの場が専門家もしくは同程度のスキルを期待できる場とはいえ,結果としてこのような事が現実となるのは悪夢ではあっても事実であり損害を被ったと考える方々が存在するのが事実なのですから,それを受け止めた上で次の行動を考えなくてはいけませんよね.
#逆にセキュリティ業界の東スポでも目指してみるとか...もアリかも (^^;
みんつ
Re:本当に誰でも出来るの? (スコア:1)
なんかいつものminz氏の意見とは思えないのは、私の勝手な幻想かな?
私は今回の問題は「矮小な個人の行為の問題」でしかないと思います。
「本来の問題」は「本来の問題」として厳然と存在する。
それは、彼の今回の行為が違法であれ適法であれ、何ら変わることは無いし、
彼のような人間に変える事は不可能であろう(ということを今回の事例が明白に示している)
今回の彼の行為は、そういった問題を解決すべく奮闘している人達に後ろ足で砂をかけるような行為でしかない。
「本来の問題」を矮小化させないためにも、
むしろ「バカの暴走」として積極的に糾弾・切り捨てなければならないとまで思います。
#本来の問題を解決するための(反面)お手本としての再利用程度には使えるでしょうが
minz氏のいうような「道義上おかしなやつ」が明確にコミュニティに紛れ込んでいて平気ですか?
#活動に対する対外的な捉えられ方も含めて
Re:本当に誰でも出来るの? (スコア:1)
原因かもしれないっす.極端なハナシ,このストーリーにおける私の意見
ってのは,Office 氏の行動に対してしたいのではないし,興味もない.
#彼は後始末くらいはつけられるヒトでしょうしね.現実に謝罪もしているわけですし.
#もし,個人的に糾弾するのなら酒でも呑みながらサシでやります:)
かなりのサイトで利用されているフォーム cgi の脆弱性が公開された事は
何の報道にもならず,単に個人情報を流出させた事件として報道される.
その事自身に問題感を持っているのみです.
現実は,今,まさに,同様のサイトから個人情報が盗まれつつあるというのに.
(これが幻想ならいいのですけれど,多分間違いないことでしょう)
#ちなみに「道義上おかしなやつ」ってのはどのコミュニティにも2%程度
#はいるもんですよ:)
みんつ
Re:本当に誰でも出来るの? (スコア:0)
今回の朝日新聞では次のように報道されていますよ。
Re:本当に誰でも出来るの? (スコア:0)
Re:本当に誰でも出来るの? (スコア:1)
> 今回の朝日新聞では次のように報道されていますよ。
ご指摘のリンク先によれば,引用頂いた部分の記事の直前の行に
>> あと、nikkei.goo の版の《解説》には、
とありますが...?
元記事にあたれなかったので,どっちかわかりませんけど
みんつ
Re:本当に誰でも出来るの? (スコア:1)
元記事にあたれなかったので,どっちかわかりませんけど,
リンク先に書いてあるように,各地方版,各版で記事の詳細さが違う
ようですね.扇動的な見出しもあるようですし.
私は asahi.com の記事くらいしか参照していないので,もっと詳細な
報道がされている版もあるかもしれません.なんにしろ,このような
事件の解説があるというのは(今更かもしれませんが)警鐘を鳴らす
意味で良い事だし今回の事件の本質はこっちの方なのだと思っております.
みんつ
Re:本当に誰でも出来るの? (スコア:0)
その2%のせいで、「道義上おかしなコミュニティ」やら必要なものまで「道義上おかしな行為」にされちゃ、やってらんないでしょ。 世間的に見て、分かりづらい分野ならナオサラです。
だから、その2%がオイタをしたら、「メッ」って言ってやるこ
Re:本当に誰でも出来るの? (スコア:1)
そのスタンスがイカンのではないか?
本来の問題を矮小化というか論点がずれちゃわないようにするためにも、
今回の件は彼特有のスタンドプレー故の問題であって、
脆弱性を指摘する輩が目的のためには手段を選ばないなんてことは
まずもってありえないとはっきり表明しておく必要があるのではないか?
でないと、今後の問題解決の取り組みに支障をきたしかねないのではないか?
というのが私のスタンスです。
>#もし,個人的に糾弾するのなら
彼が「自分が悪いんじゃね~、穴をあけたままにしてるやつが悪いんだ」とか
「連絡したのにまともに対応しない方が悪い」とか言い出さない限りは、
個人の糾弾にはそれほど興味無いです。
#そこまで変なことは言わないと思いますし
ただ、今後もセキュリティ専門家とかその類の呼び名で活動するのはどうかなぁと思うし、
純技術的に裏方として貢献していってもらえれば、
皆の最大幸福に一歩近づくんではないかなぁと思います。
>#ちなみに「道義上おかしなやつ」ってのはどのコミュニティにも2%程度
>#はいるもんですよ:)
それはおっしゃるとおりなんですが、
「道義上おかしなやつ」が代名詞になってしまったコミュニティはダメだと思うんです。
担当者「課長、なんかうちのサイトは情報漏洩の危険があるとかいう指摘のメールが来てますよ」
課長 「新聞に載ってたofficeとかいうやつらだな!」
「うちのサイトを攻撃して情報を盗み出したって警察に連絡だ」
って。
Re:本当に誰でも出来るの? (スコア:0)
それが良い事かどうかという話は別に
Re:本当に誰でも出来るの? (スコア:0)
ところで 何の犯罪でしょうか?
Re:本当に誰でも出来るの? (スコア:0)
Re:本当に誰でも出来るの? (スコア:1)
>まず第一に手段は正当なものでなくてはならないなんてことは、アタリマエの常識でしょう。
>そうじゃなければ、役員を納得させることはできませんので。
うーん。今回あてはまるかどうかは俺には判りませんが、まあ一般論として、
「技術的に真っ当な(つまり可能な)」選択肢を全て、「役員」が禁じてしまっている
なんてなことが有ったりしませんか?
つまり、企業とかにとっての「正当」とは、役員とかが決めた事柄である(笑)わけですが、
それが技術的にOKかどうかはまるっきり別概念であり、連動してる保証が無いです。
#デバッグ手段を事実上全部封じられて、それでバグを特定しろ、と言われて途方にくれることなら日常茶飯事なのでG7
#元より滅茶苦茶汚いソースなんで机上デバッグも困難だってのに…
ま、あくまで、「今回」はどうなのかは存じませんが、
「正当」だけを立てていれば物事が済むというものではないことだけは
知っていてください。
----
え?役員を「納得(==正当の定義自体を変化)」させればいいじゃないか、って?
…でもねえ…頑迷な奴は、居るんですよ…(T_T)
#「奴」とは、個人であることもあれば、組織であることもあります。
Re:本当に誰でも出来るの? (スコア:0)
それは指摘された側の問題であり、指摘する側が気にする事では無い。
[正当な手段]をもってなお動かないならまだしも、まともじゃない手段で指摘されて動かなかった場合、それは指摘の方法にも問題がある、といわれて然るべきでは。
Re:本当に誰でも出来るの? (スコア:0)
それは、「役員」がその責任を取ると明言しているわけですのでOKではないでしょうか?
もちろん、金銭的な責任なのかどうかは別として。
セキュリティ関係の本を読んでいると、結局トレードオフなので、責任をとる人がいればいいようなことを書いていたりします。
Re:本当に誰でも出来るの? (スコア:0)
理解してるじゃんw
犯罪まがい=犯罪ではない→追求するには道義上を突くしかない
まあ、私は今回の行為は犯罪に該当するだろうと思いますし、
警鐘の意味で
Re:本当に誰でも出来るの? (スコア:0)
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:0)
その内容が他人のプライバシーの侵害になるかどうかも解らない人間にはセキュリティ問題は語って欲しくありませんが。
置かれている場所がどんな場所であれ、他者の情報を開示したらその行為だけで問題でしょう。
CSSが如何に弱いプロテクトであってもDVDをコピーするのは問題なのと一緒。
確かにレベルが低いcgiかも知れないけど、それはそれ、これはこれ。
無理に一緒に考えるか
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:0)
>「セキュリティホールのあるシステムは関心出来ない」
>と
>「他人の情報を公開するのはいけない」
>ってのは何ら問題無く両立することでしょ?
ですね。でも、そうすると、あなたの主張の範囲では、情報を公開したACCSが問題であるとしか言えなくて、officeのやったことをいけないことだということはできないですね。
#
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:0)
おいおい、それは論理が飛躍しすぎだろ。
公開したくない情報をリンクとして開示するバカはいない。
「自分が見れたら便利
Re:行為者責任ってのは歴然と存在するのは確かなのだ (スコア:1)
当方の意図しない表示を防ぐため,
トップページ以外リンクしないでください.
リンクは許可を得てからにしてください.
どう思います?
みんつ