アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生unstable -- あるハッカー
不正アクセス禁止「法」 (スコア:2, すばらしい洞察)
ボランティアベースでoffice氏みたいな人がせっせとおせっかいを焼いている以前の状況であれば防げたかもしれないのに。
>「もし」office さんが逮捕されていなかったら、私はおそらく SQL インジェクションができないかどうかチェックしていたでしょうから
(http://bakera.jp/hatomaru.aspx/ebi
Re:不正アクセス禁止「法」 (スコア:1, 興味深い)
あの事件は何より指摘する側は何をやっても許されるわけではないという
当たり前なルールを忘れてしまった彼にも問題があったと思う
俺は今現在某サイトに同様の脆弱性を指摘中
何も公開できんが、近いうちに直ると良いな・・・
今、この瞬間も思うよ、「脅迫と受け取られて逮捕されるんじゃないか?」
「不正アクセス禁止法に引っかかって逮捕されるんじゃないか?」ってな
もちろん個人情報を読み出すことはしないし、万が一事故的に入手しても即刻破棄するつもりだ。
現状、通常画面からアルゴリズムを
Re:不正アクセス禁止「法」 (スコア:0)
>この瞬間も思うよ、「脅迫と受け取られて逮捕されるんじゃないか?」
>「不正アクセス禁止法に引っかかって逮捕されるんじゃないか?」って
つまり、相手に無断でテストしてるって事?それが迷惑なんだってば。
>個人情報を読み出すことはしないし、万が一事故的に入手しても即刻破棄するつもりだ
身分証明もせず合意もとらず、こそこそテストするような輩に言われても信用できるわけないでしょ。
>失敗してサイトが停止したり、事故的に入手し漏洩させた時の責任は最大限取るつもりだ
口だけはご立派で。で、相手に迷惑をかけずに全ての責任を取らせて貰えると思ってるの?
「最大限」がどれだけ知れたものかわかってる?
>運営者は俺をうざいクレーマーやセキュリティゴロと思っているだろう
「クレーマーやセキュリティゴロ」を隠れ蓑にしたクラッカー、かもよ。
>虚栄心?自己満足?拙い正義感?
好奇心、もしくは機密情報欲しさ、あるいは脆弱性情報の売買目的といわれても反論できまい。
>最後に、これはただの作り話
つまり釣りね。まあそれならいいさ。
こんな風に真剣に考えてる馬鹿はいないにこしたことは無い。
Re:不正アクセス禁止「法」 (スコア:0)
だが、世の中には信じられないぐらい品質の低いサイトを構築する所がある
例えば、検索フォームに商品名に使われていた記号を混ぜただけでSQLエラーが出るようなサイトとか、
Re:不正アクセス禁止「法」 (スコア:0)
誰も不正アクセスがどうとか言ってないし。
確かにお疲れのようだね。
>検索フォームに商品名に使われていた記号を混ぜただけでSQLエラーが出る
>秘密の質問に不等号を使った
Re:不正アクセス禁止「法」 (スコア:1, 興味深い)
だれかうちの営業を止めてくれ、家に帰りたい
納期直前なのに、コレで何度目の大規模仕様変更なんだ?
はいはい言うな、出来ないことは出来ないと言え
追加料金ちゃんととれ、皺寄せは開発担当にきてるんだぞ!!
皆も会社は選ぼうな?
別ACがIPAに行けと言うが、IPAが脆弱性関連情報に関する届出について [ipa.go.jp]をはじめた直後からIPA経由で行ってる
>つまり、相手に無断でテストしてるって事?それが迷惑なんだってば。
確かに行った事があるが、テストと呼べるかさえ疑問
そのサイトはIPA経由で事前に脆弱性を通知済みのサイトだった
エラー表示から明らかにある脆弱性が存在すると通知したら、
サイト管理者が脆弱性報告を理解できないために、取り扱いを終了を宣告された
手前も馬鹿だとは思うが、偶発的なエラー画面が同じ内容で起き、原因となるトリガを再度確認
そして、脆弱性から考えられるシナリオを猿でもクラックできるぐらい噛み砕いた解説と、
エラー画面で判明していた言語での対処方法の解説サイトへのポインタ、
既に攻撃が起きていたら運がよければ残るであろうログの洗い出し方の解説メールを直接投げて初めて危険性が解ったのか即刻修正された
このサイトは俺の個人情報がばりばり保存されてるサイトだから俺自身が慌ててたのもあるだろう
全て結果論だが、こういうケースもある
逮捕を恐れたのはその攻撃方法の解説を書いたことで、本来の意図である「こういう危険性がある」というメールが、
「この文章を書けるのは実際にやったクラッカーしかいない」とか、
「よく解らないけど、なんだか危ないことが書いてある」と攻略手順しか内容を読まずに通報、というすれ違いを恐れていただけ
IPAは、手前で脆弱性情報の警告を出しているのだからサイト運営者が問題ないと言っても、
その脆弱性を運営者が本当に理解しているか確認するぐらいの事をやってくれと思う
>危険なコードを実行できるかどうかを実験する必要なし。
今まで意図的に攻撃コードをやったのは、ディレクトリトラバースのみ
エラー画面にフルパスが出ていて、foo/../でエラー画面のフルパスに../が含まれるか確認の1回だけ
その他は、意図せず問題が起きるのを確認した状態の意図的な再発(再現)を起こすだけ
大抵はエラー画面や異常画面までの状況だけで原因となる脆弱性やサイトの作りから内部設計は見える
脆弱性ではなかったとしても、サイトのバグとして報告するならやる当たり前レベルしかしてない
単純なバグでも普通報告前に再現性は確認するだろ?
多分もうこのトピックには書き込めないと思うからよろしく
ああ、そうだよネタだよ、全てはネタなんだ
この修羅場もネタであってくれ
Re:不正アクセス禁止「法」 (スコア:0)
じゃないと
>>つまり、相手に無断でテストしてるって事?それが迷惑なんだってば。
>確かに行った事があるが、 ※以下略
今更こんな言い訳するわけないしな。普通なら(#740380)の時点でこう答えていた筈。それができなかったのは、とっさに言い訳
Re:不正アクセス禁止「法」 (スコア:0)
Re:不正アクセス禁止「法」 (スコア:1)