アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
主張の解読を試みる (スコア:1, 興味深い)
不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
実装上の脆弱性は全て保護対象外という主
解説(Flamebait? -1) (スコア:3, 参考になる)
>不特定多数を相手にするサービスは保護対象外との主張でしょうかね。
>#HTTPやSMTP、anonymous FTPは全て保護対象外になってしまいそうです。
全て保護対象外です。
原則、HTTPやSMTP、anonnymous FTPはアクセスを識別符号によって制限していないからです。
>> 「CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである」
>実装上の脆弱性は全て保護対象外という主張のようですね。
Re:解説(Flamebait? -1) (スコア:2, 興味深い)
アクセス制御をしている「ツモリ」(主観)の
運営者、製造者がいたとします。
しばしば、SQLinjectionやXSSは【非常に単純な】
設計上もしくは実装上の漏れです。素人でも見つけられますね。
このような単純ミスの場合には、ディレクトリ丸裸と同様に
アクセス制御機構が働いていたとは見做しにくいものです。
CGIやWebアプリを作成した時に、未知のXSS脆弱性や
未知のSQLinjectionを作りこんでしまった、、ということは
考えられません。タネはとっくの昔に割れているものです。
設計者や製造者、運営者は、既知の基本的なセキュリティー上
の防止策を実装
| 慈愛こそ慈愛
Re:解説(Flamebait? -1) (スコア:1)
法文からすると、アクセス制限をしているところに、
人のパスワードを使って入ったり、セッションハイジャック等のなりすまし行為をすることを言うのでしょう。
単純ミスによる脆弱性をもつソフトを使ったことによって、
パスワードがばれたり、クッキーを
Re:解説(Flamebait? -1) (スコア:2)
>>単純ミスによる脆弱性をもつソフトを使ったことによって、
>>パスワードがばれたり、クッキーを取られたりしても、
>>不正アクセス行為をされたら、不正アクセス禁止法で処罰される
>>べきです。
そりゃそうでしょ。 だから?
論点は、公知の脆弱性をついて情報を閲覧する行為が不正アクセス
禁止法にひっかかるかどうかでしょ?
問題は、旧来のパソコン通信や専用線による通信等で想定されていた
不正アクセス行為という定義で、現在の状態をカバーできなくなった
ことにあるんだけど。
ただ、不正アクセス法を強化するんなら、管理者などへ対する
管理責任を明確に定義して、管理放棄や管理不行き届きを処罰対象
にしてほしいね。
Re:解説(Flamebait? -1) (スコア:1)
>禁止法にひっかかるかどうかでしょ?
裏技とセキュリティホールの境界を誰が決めるんだろう。という思いがずっと引っかかっています。