ikepyonの日記: ラグナロクの情報漏洩についてあれこれ
まあ、ここんとこ取りざたされているので自分なりの考えをまとめて見よう。
事の発端はサポートのページが掲示板形式であり、単に書いた人以外は質問へのリンクが無かったが、midという質問番号のようなもの(ちゅうかまんまやったようやけど)を変えることで他人の質問が見れたということらしい。中にはwebマネーの番号まで書いてあった質問もあったらしい。
まあ、ここまでならよくあるWebアプリの設計ミスですまされるんだろうけど(ほんまか?)、問題はガンホーがこれを不正アクセスとしたこととして警察に届出を出したことだ。
実際問題、これを不正アクセスとするのは結構グレーかなぁと思うんやけど。
で、この問題については2通りの見方があると思う。
midというパラメータも含めてURIとして考え、URIの直打ちってよくやるからこれは不正アクセスにならんちゅう考え方。まあ要するにwebアプリの制御を考えずに1回1回のリクエストだけでみるっちゅうことやな。
webアプリの出すURIをシステムが使用する情報と考え、URIの変更はシステムを不正に使用するという考え方。こっちは逆にシステム全体でみたときどうなるかということかな。Bindのバッファオーバーフローなんかはこっちの考え方やね。
まあ、どっちが間違えてるということは無いと思う。どっちもある意味正しい。
上のほうの考えに経つと例えばBINDのバッファオーバーフローはどうなんねんとなる。こっちの考えの場合はExploitコードを投げただけじゃ不正アクセスにならんちゅうことになる。
一方下のほうで考えると、ブラウズ中にじかリンクで飛ぶと不正アクセスになるんかという問題が発生する。
まあ、どっちにせよ一方の考え方で全部を考えるからまずいんやろうな。
いずれにせよ不正アクセスかどうかはかなりあやふややちゅうことやな。
難しい問題やなぁ。
まあ、私が当事者だった場合は、こんなんじゃ不正アクセスな~んて口が裂けても言わんけど^^。
ラグナロクの情報漏洩についてあれこれ More ログイン