アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
不正アクセス禁止法? (スコア:1)
法文って難しくてよく読みこなせないんですが、パスワードなどのアクセス制御機構が存在してない場合、適用は無理としか思えません。
Re:不正アクセス禁止法? (スコア:1)
欠陥のあるスクリプト経由で任意のファイルが読み出せることを
サーバ管理者に連絡する以前に公の場で紹介して晒し者にしていたことは
不正アクセス行為を助長する行為にあたるのではないでしょうか。
Re:不正アクセス禁止法? (スコア:3, 興味深い)
少なくとも不正アクセス禁止法に定めるところの
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く。)
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、その制限されている特定利用をし得る状態にさせる行為
には当てはまりません。だって、アクセス制御機能(特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管理者によって当該特定電子計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている機能であって、当該特定利用をしようとする者により当該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。次条第二項第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するもの)が関係しないから。
前のストーリーにも書いたけど、これが該当するなら
「ftpでのアクセスにはパスワードかけてあるのに、httpでアクセスされた! これは不正アクセスだ!」という主張がまかり通ることになっちゃいます。
やったことが正しかったとは言わないけれど、違反している法律はこれじゃないと思うんですが。
Re:不正アクセス禁止法? (スコア:1)
httpで個人情報ファイルの格納されている直接のアドレスを指定しただけでは権限がないのでアクセスできません。
従ってユーザ権限で動作するCGI経由で、想定していなかった任意のファイルにもアクセス可能になってしまうという
セキュリティホールをついて個人情報を盗んだのであって、なりすましの一つでもあるわけですし、
またこの不正アクセスの手法について実例を用いて公の場で発表したのですから幇助の可能性もありますね。
Re:不正アクセス禁止法? (スコア:2, すばらしい洞察)
ftp://example.com/home/user/naisyo.dat
にアクセスするのは権限がなくてできないけれども、
http://example.com/~user/naisyo.dat
ならアクセスできる、
というのと、何が違うんですか?
なりすましかどうかは問題じゃないんです。
法律上問題になるのは「パスワードによって保護されているかどうか」の一点であり、今回のセキュリティホールはパスワードによって保護されているところをこじ開けたものではないわけです。
だから、不正アクセス禁止法では挙げられないでしょ、と。
Re:不正アクセス禁止法? (スコア:1)
http://example.com/~user/naisyo.dat
でも外部からは権限がないので直接アクセスできず403が返ってくるファイル。
だから河合は
を
のようにわざわざ書き換えて保存したページからCGIを呼び出していたのよ。
Re:不正アクセス禁止法? (スコア:2, 参考になる)
利用できないタグのはずなのに。
エラーの時に
http://example.com/~user/error.html
が表示されるようになっていたが
http://example.com/~user/naisyo.dat
はそのままWWWブラウザに入力しても表示できない。
この時、
<input type=”hidden” name=”open” value=”error.html”>を
<input type=”hidden” name=”open” value=”naisyo.dat”>
のようにわざわざ書き換えてローカル保存したページからCGIを呼び出して実行させたのでnaisyo.datを読めたわけです。
Re:不正アクセス禁止法? (スコア:0)
.cgi? の後にオプションの値変えてアドレスバーにぶち込むのと同じことですね。
Google で Search ボタン押した後に、
アドレスバーの q= の値かえてもう一回検索しようとするのはダメなのかな。
Re:不正アクセス禁止法? (スコア:1)
ftp://example.com/home/user/naisyo.dat
はエラーを吐かれて見れない。だからわざわざ
http://example.com/~user/naisyo.dat
に書き換えたんだ、という状況と何が違うんですか? と聞いてるんです。
あるいはこれが逆でもいいです。
護りたいファイルをdocumentrootの外に置いて安全だとしていたら、実は何の設定ミスかanonymous ftpでルートから入れた。
ftp://example.com/data/naisyo.dat でアクセスできてしまった。
これは不正アクセスですか?
Re:不正アクセス禁止法? (スコア:2, 興味深い)
> これは不正アクセスですか?
あの法律が出来た時って、そう言った奴は取り締まらないような話が有った気がします。
ちなみに、不正アクセスであっても「故意性」がない「過失」ならば刑事罰を科すのは無理なはず。
俺はやはり公開した行為が「何で公開したの?」という話から、公開する目的で不正アクセスを行ったと言う展開なんだと思う。
俺の曖昧な記憶では、
相談したいが、自分の情報が漏れないか心配なのでhtmlのソースを見たら穴がありそうだったので確認のために試しすとか、そう言った行為まで禁止するのではないと言う捉え方をしていました。
>ACCSは研究員の逮捕について、「CGIの脆弱性を指摘することについては、セキュアなネットワーク社会を構築するために有用な側面もあると考えます。しかし、セキュリティとは本来、個人情報など重要な情報を保護するという目的のために存在する『手段』であり、今回のこの男性の行為は、手段のために目的を犠牲としたもので、本末転倒と言わざるをえません」とコメントしている。
http://www.itmedia.co.jp/news/articles/0402/04/news020.html
と言っている点からも、個人情報の公開などの行為がある以上、それが目的だとしか思えず。
目的がそこにある以上、不正アクセス禁止法の趣旨に一致すると言う判断なんじゃ?
Re:不正アクセス禁止法? (スコア:0)
Re:不正アクセス禁止法? (スコア:1)
googleのページからでなく、ローカルにタグを書き換えたページからアクセス、あるいはそれに相当するのを生成するプログラム経由でアクセスしたらだめですか。。
Re:不正アクセス禁止法? (スコア:0)
public_htmlより上にデータやログを置いてそれらを保護するという対策を行っていた時、CGIのバグでデータを抜き取られた場合は不正アクセス禁止法の適用外という事でしょうか?
#そのpublic_htmlより上のディレクトリに*何の意味もない*BASIC認証を設定しておけば不正アクセス禁止法の適用を受けれると?