【ネット】"2ちゃんねるに流出" ACCSサイトへ不正アクセス、京都大研究員逮捕★3
★<不正アクセス>データ入手方法「2ちゃんねる」に流出
・社団法人「コンピュータソフトウェア著作権協会」(東京都)のホームページから個人
情報が引き出された不正アクセス行為禁止法違反事件で、逮捕された京都大研究員、
河合一穂容疑者(40)が、ネットの安全性に関するイベントで公開した個人データと
その入手方法が、インターネット掲示板「2ちゃんねる」に書き込まれていたことが
分かった。
警視庁はイベント参加者からデータが流出し、掲示板に紹介された可能性もあると
みて調べている。
調べでは、掲示板に書き込みがあったのは先月27、28日。河合容疑者が引き
出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
書き込みを削除させた。イベント主催者は同協会に「参加者ら12人がデータを入手
したが破棄しており、流出の恐れはない」と説明したという。
河合容疑者は昨年7月、広く使われている「CGI」という情報収集プログラムの安全性に
欠陥があることを発見。同11月、このプログラムを使っている同協会のサイトに侵入し、
約1200人分の個人データを入手した。
http://headlines.yahoo.co.jp/hl?a=20040205-00000136-mai-soci
※前スレ
・【ネット】"文化庁長官の甥" 著作権保護団体HPに不正アクセス、京大研究員逮捕★2
http://news5.2ch.net/test/read.cgi/newsplus/1075896614/
・社団法人「コンピュータソフトウェア著作権協会」(東京都)のホームページから個人
情報が引き出された不正アクセス行為禁止法違反事件で、逮捕された京都大研究員、
河合一穂容疑者(40)が、ネットの安全性に関するイベントで公開した個人データと
その入手方法が、インターネット掲示板「2ちゃんねる」に書き込まれていたことが
分かった。
警視庁はイベント参加者からデータが流出し、掲示板に紹介された可能性もあると
みて調べている。
調べでは、掲示板に書き込みがあったのは先月27、28日。河合容疑者が引き
出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
書き込みを削除させた。イベント主催者は同協会に「参加者ら12人がデータを入手
したが破棄しており、流出の恐れはない」と説明したという。
河合容疑者は昨年7月、広く使われている「CGI」という情報収集プログラムの安全性に
欠陥があることを発見。同11月、このプログラムを使っている同協会のサイトに侵入し、
約1200人分の個人データを入手した。
http://headlines.yahoo.co.jp/hl?a=20040205-00000136-mai-soci
※前スレ
・【ネット】"文化庁長官の甥" 著作権保護団体HPに不正アクセス、京大研究員逮捕★2
http://news5.2ch.net/test/read.cgi/newsplus/1075896614/
|
|
|
2 :名無しさん@4周年:04/02/06 02:06 ID:64bonb44
にげと
3 :名無しさん@4周年:04/02/06 02:06 ID:MW+whuEn
マジで〜?
2
かわいいね
抱きしめて殺したい
↓
抱きしめて殺したい
↓
6 :43.235.accsnet.ne.jp:04/02/06 02:07 ID:ERzOBXi5
まじで??
俺の個人情報も流出してたのか??
俺の個人情報も流出してたのか??
7 :名無しさん@4周年:04/02/06 02:07 ID:sO5VAw8S
7
2ちゃんねるっていいたいだけやん
9 :名無しさん@4周年:04/02/06 02:08 ID:5GFIHqxb
A あんたの
C CGI
C 簡単に
S 侵入できたよ
C CGI
C 簡単に
S 侵入できたよ
10 :名無しさん@4周年:04/02/06 02:09 ID:N2+F2QOx
(=゚ω゚)ノ Yahoo!と2chって、仲悪いの?
11 :名無しさん@4周年:04/02/06 02:09 ID:64bonb44
>>http://news5.2ch.net/test/read.cgi/newsplus/1075896614/979
>おまえは痛くもない腹を探られるのが平気なやつだと解釈しておく。
なんでそうなるかな・・・
>>http://news5.2ch.net/test/read.cgi/newsplus/1075896614/986
めんどい
>おまえは痛くもない腹を探られるのが平気なやつだと解釈しておく。
なんでそうなるかな・・・
>>http://news5.2ch.net/test/read.cgi/newsplus/1075896614/986
めんどい
12 :名無しさん@4周年:04/02/06 02:10 ID:rBbOTbTn
流出事件は以前もあったのに、なんでこの事件だけ大きく報道されてるんだ?
そんなにオイシイ情報が流出したのか?
そんなにオイシイ情報が流出したのか?
いきなり逆汗してバグ見つけてくれる人募集中!
14 :名無しさん@4周年:04/02/06 02:12 ID:64bonb44
>>12
ACCSのメンツ丸つぶれだから。これに尽きるよ。
ACCSのメンツ丸つぶれだから。これに尽きるよ。
17 :名無しさん@4周年:04/02/06 02:18 ID:LEqWjhLk
http://www.geocities.jp/officeandaccs/index.html
セキュ板のほうで作ってるまとめサイト。
セキュ板のほうで作ってるまとめサイト。
>>11
> >>http://news5.2ch.net/test/read.cgi/newsplus/1075896614/979
> >おまえは痛くもない腹を探られるのが平気なやつだと解釈しておく。
> なんでそうなるかな・・・
訂正する。
おまえは底抜けの間抜けだ。
速度計に100キロオーバーの目盛りが付いてる車を運転しないほうがいいぞ。
> >>http://news5.2ch.net/test/read.cgi/newsplus/1075896614/979
> >おまえは痛くもない腹を探られるのが平気なやつだと解釈しておく。
> なんでそうなるかな・・・
訂正する。
おまえは底抜けの間抜けだ。
速度計に100キロオーバーの目盛りが付いてる車を運転しないほうがいいぞ。
>>17
擁護派のカラーが出ているから鵜呑みにするとちょっとまずい
ここの前スレの方がわりとまし
http://news5.2ch.net/test/read.cgi/newsplus/1075896614/
擁護派のカラーが出ているから鵜呑みにするとちょっとまずい
ここの前スレの方がわりとまし
http://news5.2ch.net/test/read.cgi/newsplus/1075896614/
>>17
あ、POSTで読んでたとか知らなかった。サンクス
あ、POSTで読んでたとか知らなかった。サンクス
21 :名無しさん@4周年:04/02/06 02:24 ID:64bonb44
22 :名無しさん@4周年:04/02/06 02:24 ID:cl212Zg+
バグを「仕様です」と言い張るのはマイクロソフト社員?
ACCSはよくnyとかMXで名前出てくるけど実際
はたいしたスキル持ってない奴らってことだね
はたいしたスキル持ってない奴らってことだね
25 :名無しさん@4周年:04/02/06 02:31 ID:uVE4Bdom
26 :名無しさん@4周年:04/02/06 02:32 ID:J7zzWOOw
>>10
そりゃアンタ、2ちゃんが落ちたらアホーを嵐に逝くから…
そりゃアンタ、2ちゃんが落ちたらアホーを嵐に逝くから…
27 :名無しさん@4周年:04/02/06 02:33 ID:cl212Zg+
29 :名無しさん@4周年:04/02/06 02:36 ID:qKry5yik
ACCSは労せずして金が入ってくる上に、日常業務は2chヲチなのか。
うらやましい。
うらやましい。
,..-──- 、
/. : : : : : : : : :: \
/.: : : : : : : : : : : : : : ヽ
,!::: : : : : :,-…-…-ミ: : :',
{:: : : : :: : :i '⌒' '⌒'i: : :} 大人ってずるいね
{:: : : : : : | ェェ ェェ | : :} ∩___∩
{ : : : : : :| ,.、 |: :;! / ヽお前が言うな
__ヾ: : : :: :i r‐-ニ-┐| :ノ | ● ● |
ゞ : :イ! ヽ 二゙ノイ‐′ | ( _●_) ミ
` ー一'´ヽ \ ,,-''"彡 |∪| __/`''--、
) |@ |ヽ/ ヽノ ̄ ヽ
| | ノ / ⊂) メ ヽ_,,,---
| .|@ | |_ノ ,へ / ヽ ヽノ ̄
| |_ / / | / | | ヽ_,,-''"
__|_ \\,,-'"\__/ /
/. : : : : : : : : :: \
/.: : : : : : : : : : : : : : ヽ
,!::: : : : : :,-…-…-ミ: : :',
{:: : : : :: : :i '⌒' '⌒'i: : :} 大人ってずるいね
{:: : : : : : | ェェ ェェ | : :} ∩___∩
{ : : : : : :| ,.、 |: :;! / ヽお前が言うな
__ヾ: : : :: :i r‐-ニ-┐| :ノ | ● ● |
ゞ : :イ! ヽ 二゙ノイ‐′ | ( _●_) ミ
` ー一'´ヽ \ ,,-''"彡 |∪| __/`''--、
) |@ |ヽ/ ヽノ ̄ ヽ
| | ノ / ⊂) メ ヽ_,,,---
| .|@ | |_ノ ,へ / ヽ ヽノ ̄
| |_ / / | / | | ヽ_,,-''"
__|_ \\,,-'"\__/ /
31 :名無しさん@4周年:04/02/06 02:40 ID:L86U0WWR
過去ログ 投稿者:office 投稿日:01月04日(日)01時11分02秒
をアップしました。12月半ばまでのです。
最新のはもう少し待って下さい。
このページの一番下の[log]をクリックしていくことができます。
(その右隣の[ark]は人暇の目人さんが作って下さっているリンク集です。)
をアップしました。12月半ばまでのです。
最新のはもう少し待って下さい。
このページの一番下の[log]をクリックしていくことができます。
(その右隣の[ark]は人暇の目人さんが作って下さっているリンク集です。)
>>27
き弱性
き弱性
33 :名無しさん@4周年:04/02/06 02:43 ID:64bonb44
まぁこいつの逮捕で売名やゴロが減ることを祈るよ
>>21
おまえにレスするのはこれが最後な。
> >>18
> 腹を探られるの嫌だから、違法にすべきだと書いてるのに・・・
>
> ちなみに俺は安全運転派
そういうおまえを捕まえて、ははーん、100キロ以上出す準備してますね。
おまえにレスするのはこれが最後な。
> >>18
> 腹を探られるの嫌だから、違法にすべきだと書いてるのに・・・
>
> ちなみに俺は安全運転派
そういうおまえを捕まえて、ははーん、100キロ以上出す準備してますね。
35 :名無しさん@4周年:04/02/06 02:45 ID:PTYAwqgK
37 :前スレ785:04/02/06 02:50 ID:/KjgEm5T
>791 :名無しさん@4周年 :04/02/05 21:12 ID:I8eQ15Jw
>>785
>コネがあるなら助手か助教授になります
>かなり研究員って凄い悲しいと思うが
>無職みたいなもん
>792 :名無しさん@4周年 :04/02/05 21:13 ID:bSMJzSuf
>研究員は金を払って仕事をするらしい
>793 :名無しさん@4周年 :04/02/05 21:14 ID:50miCRdr
>>792
>んなこたない
>794 :名無しさん@4周年 :04/02/05 21:18 ID:Xs4i4Ujq
>>792
>それは研究生
>大学の研究員って非常勤の職員だろ
研究員のときに手取りで50数万円もらってましたが........
>>785
>コネがあるなら助手か助教授になります
>かなり研究員って凄い悲しいと思うが
>無職みたいなもん
>792 :名無しさん@4周年 :04/02/05 21:13 ID:bSMJzSuf
>研究員は金を払って仕事をするらしい
>793 :名無しさん@4周年 :04/02/05 21:14 ID:50miCRdr
>>792
>んなこたない
>794 :名無しさん@4周年 :04/02/05 21:18 ID:Xs4i4Ujq
>>792
>それは研究生
>大学の研究員って非常勤の職員だろ
研究員のときに手取りで50数万円もらってましたが........
39 :名無しさん@4周年:04/02/06 02:56 ID:e754JVYg
河合容疑者は昨年7月、広く使われている「CGI」という情報収集プログラムの安全性に
欠陥があることを発見。同11月、このプログラムを使っている同協会のサイトに侵入し、
約1200人分の個人データを入手した。
なんか変だな
欠陥があることを発見。同11月、このプログラムを使っている同協会のサイトに侵入し、
約1200人分の個人データを入手した。
なんか変だな
ま、あれだな。
ACCSはアクセス制御されているのはサーバ全体。
被告はCGIスクリプトの想定外利用を行って制限を回避した。
で責めてくるだろう。
officeのバカの論点としては、
その不正「アクセス」したのが俺かどうか100%証明してみやがれってんで、
ありとあらゆる「記録されたアクセスログが、実際に通信を行った二者を示さない事例」を反例としてあげるんだろうな。
疑わしきは罰せず。
ACCSはアクセス制御されているのはサーバ全体。
被告はCGIスクリプトの想定外利用を行って制限を回避した。
で責めてくるだろう。
officeのバカの論点としては、
その不正「アクセス」したのが俺かどうか100%証明してみやがれってんで、
ありとあらゆる「記録されたアクセスログが、実際に通信を行った二者を示さない事例」を反例としてあげるんだろうな。
疑わしきは罰せず。
41 :名無しさん@4周年:04/02/06 02:57 ID:/KjgEm5T
42 :名無しさん@4周年:04/02/06 02:57 ID:oMBihJLL
彼の学歴で40歳だと年俸1200万コースだな・・・俺のまわり
43 :名無しさん@4周年:04/02/06 02:58 ID:xImgW87d
この子も可愛そうに。
こんなことで一生無駄にして。京大生が・・・
こんなことで一生無駄にして。京大生が・・・
44 :名無しさん@4周年:04/02/06 02:58 ID:/TLe3jmK
ACCSってア糞スって読むの?
「や、そういえば、M$のセキュリティー穴のせいで、その時期、わたしのパソが踏み台にされていました」 なーんてね。
46 :名無しさん@4周年:04/02/06 03:00 ID:sWMuaUIK
たぶん、カスみたいなセキュリティだったんだろ
47 :名無しさん@4周年:04/02/06 03:01 ID:+XmOqYsF
ACCSって何をしている会社なの?
>>41
研究員は募集してるの?それとも実績をあげているやつをスカウト?
研究員は募集してるの?それとも実績をあげているやつをスカウト?
でもこれで名前も知れたし、セキュリティ関連の本出したり、イベントやれば食っていけると思うよ。
50 :名無しさん@4周年:04/02/06 03:02 ID:6cMXdd6p
>>47
金儲け
金儲け
51 :名無しさん@4周年:04/02/06 03:02 ID:64bonb44
>>39
報道がおかしいっていうのはMLとかで指摘されてるけど、そんなのは本質じゃない罠
報道がおかしいっていうのはMLとかで指摘されてるけど、そんなのは本質じゃない罠
ところで47氏は、何が原因で身元を押さえられたんだっけ?
53 :名無しさん@4周年:04/02/06 03:03 ID:cl212Zg+
54 :名無しさん@4周年:04/02/06 03:03 ID:jx1NeYtj
狂大はメンズビッチといい、なかなか良いネタ人材を排出しているな。
55 :名無しさん@4周年:04/02/06 03:03 ID:oMBihJLL
欠陥があったのは,Webページに質問を記入して送信する質問フォーム
から呼び出されるメールフォームCGIプログラム。質問フォームで「送る」
ボタンを押すと,処理を実行するCGIプログラムが呼び出される。記入デ
ータに入力漏れなどがあった場合,CGIプログラムは,記入の不備を示
すメッセージが記述されたファイルを表示する。CGIプログラムは,セキ
ュリティ・ホールが存在していたため,このメッセージ・ファイルの代わり
に,個人情報を含んだログ・ファイルを指定して表示させることが可能に
なっていた。
ファイルを表示させるには,該当ファイルのファイル名を,CGIプログラ
ムを呼び出す際のパラメータとして指定する必要がある。一般的なファ
イル名であったため,推測される可能性があった。また,同CGIは
「ASK ACCS」をホスティングしているサーバー業者が,契約ユーザー
向けに提供しているもので,同CGIを使用した経験があればファイル名
も知ることができた。
サーバー業者によれば,今回問題となったCGIプログラムの問題は,
最新版では修正されている。また,問題がある古いバージョンのCGIプ
ログラムは,ASK ACCS以外には稼働していないという。ASK ACCSの
CGIプログラムが最新版に更新されていなかった原因については調査
中である。
から呼び出されるメールフォームCGIプログラム。質問フォームで「送る」
ボタンを押すと,処理を実行するCGIプログラムが呼び出される。記入デ
ータに入力漏れなどがあった場合,CGIプログラムは,記入の不備を示
すメッセージが記述されたファイルを表示する。CGIプログラムは,セキ
ュリティ・ホールが存在していたため,このメッセージ・ファイルの代わり
に,個人情報を含んだログ・ファイルを指定して表示させることが可能に
なっていた。
ファイルを表示させるには,該当ファイルのファイル名を,CGIプログラ
ムを呼び出す際のパラメータとして指定する必要がある。一般的なファ
イル名であったため,推測される可能性があった。また,同CGIは
「ASK ACCS」をホスティングしているサーバー業者が,契約ユーザー
向けに提供しているもので,同CGIを使用した経験があればファイル名
も知ることができた。
サーバー業者によれば,今回問題となったCGIプログラムの問題は,
最新版では修正されている。また,問題がある古いバージョンのCGIプ
ログラムは,ASK ACCS以外には稼働していないという。ASK ACCSの
CGIプログラムが最新版に更新されていなかった原因については調査
中である。
56 :名無しさん@4周年:04/02/06 03:04 ID:Mt2CWd+t
61 :名無しさん@4周年:04/02/06 03:12 ID:cl212Zg+
62 :名無しさん@4周年:04/02/06 03:13 ID:zRlXKtK0
>河合一穂容疑者(40)
このオッサンは何をやりたいのか?
東京KITTYか?
このオッサンは何をやりたいのか?
東京KITTYか?
65 :名無しさん@4周年:04/02/06 03:15 ID:H3xQHW9H
「オンドゥルルラギッタンディスカー!!」
66 :名無しさん@4周年:04/02/06 03:18 ID:UjQAODFs
officeタンもネラーに罵倒されるまで落ちぶれたか…。
こういう醜態を晒すことになるとは。
こういう醜態を晒すことになるとは。
>>61
> >>58
> 「伝聞でした」じゃダメだな
> 個人情報の現物をもっていたのはどう説明する?
見え張って自分が抜いたみたいに発表してたけど、
実はアレ、匿名で配布されてたのを拝借しただけだったんです。
> >>58
> 「伝聞でした」じゃダメだな
> 個人情報の現物をもっていたのはどう説明する?
見え張って自分が抜いたみたいに発表してたけど、
実はアレ、匿名で配布されてたのを拝借しただけだったんです。
68 :名無しさん@4周年:04/02/06 03:47 ID:Zl0kJ4oB
うちのサーバでは、非公開ディレクトリの下に会員情報を置いていますが、
公開していないものであり、アクセスすれば不正アクセスとなります。
http://test.server/secret/memberlist.dat
なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。
ところが、今回のOffice→ACCSの場合も構図は全く一緒。
http://accs.server/disp.cgi?secret/memberlist.dat
公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。
公開していないものであり、アクセスすれば不正アクセスとなります。
http://test.server/secret/memberlist.dat
なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。
ところが、今回のOffice→ACCSの場合も構図は全く一緒。
http://accs.server/disp.cgi?secret/memberlist.dat
公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。
69 :アルティメット1号 ◆5m18GD4M5g :04/02/06 03:51 ID:u5VS+YIM
あのう、例のファイル持ってるんですけど
コレ、どうすればいいんですか?
コレ、どうすればいいんですか?
70 :名無しさん@4周年:04/02/06 03:57 ID:eNscNjRm
>>68
http://www.zdnet.co.jp/news/0204/02/accs_f5.html
http://tmp.2ch.net/download/kako/1017/10177/1017753605.html
http://tmp.2ch.net/download/kako/1017/10177/1017744827.html
http://www.zdnet.co.jp/news/0204/02/accs_f5.html
http://tmp.2ch.net/download/kako/1017/10177/1017753605.html
http://tmp.2ch.net/download/kako/1017/10177/1017744827.html
誰も知らないどこか遠くの南の島で航海
72 :名無しさん@4周年:04/02/06 03:59 ID:eNscNjRm
違った、こっちだった・・・
http://pc4.2ch.net/test/read.cgi/yahoo/1047825025/l50
http://pc4.2ch.net/test/read.cgi/yahoo/1062596535/l50
http://pc4.2ch.net/test/read.cgi/yahoo/1047825025/l50
http://pc4.2ch.net/test/read.cgi/yahoo/1062596535/l50
>>68
> 公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
公開していけないものはネット鯖に置かない!
これは基本中の基本だと思ってたのですが。
K殺やACCS、マスゴミの意見は違うようですね・・・
> 公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
公開していけないものはネット鯖に置かない!
これは基本中の基本だと思ってたのですが。
K殺やACCS、マスゴミの意見は違うようですね・・・
74 :名無しさん@4周年:04/02/06 04:03 ID:wkWbRTxk
>>59
メールで取材申し込みして、取材受けちゃったんでしょ。
メールで取材申し込みして、取材受けちゃったんでしょ。
75 :名無しさん@4周年:04/02/06 04:05 ID:eNscNjRm
参考まで・・・
ttp://www.npa.go.jp/hightech/antai_sisin/kokuji.htm
ttp://www.npa.go.jp/hightech/fusei_ac5/hassei.htm
ttp://www.soumu.go.jp/s-news/2002/020207_1.html
ttp://www.moj.go.jp/SHINGI/030324-2.html
ttp://www.npa.go.jp/hightech/antai_sisin/kokuji.htm
ttp://www.npa.go.jp/hightech/fusei_ac5/hassei.htm
ttp://www.soumu.go.jp/s-news/2002/020207_1.html
ttp://www.moj.go.jp/SHINGI/030324-2.html
76 :アルティメット1号 ◆5m18GD4M5g :04/02/06 04:06 ID:IBfGBGY2
お前ら、いらんの?
俺持ってるんだけど
俺持ってるんだけど
77 :アルティメット1号 ◆5m18GD4M5g :04/02/06 04:09 ID:IBfGBGY2
何だ、いらんの。
ざんねん
ざんねん
祭りにならなかったか、そんなもんか
79 :アルティメット1号 ◆5m18GD4M5g :04/02/06 04:14 ID:IBfGBGY2
つーか、プレゼンテーション1から3まで俺全部持ってるよ。
80 :名無しさん@4周年:04/02/06 04:27 ID:/TLe3jmK
nyに流せ
81 :名無しさん@4周年:04/02/06 04:46 ID:MaxCpiS5
これだから2ちゃんねらは有害なんだよ
百害あって一利なし
しかしこれを言うと
糞なのはエイベッ糞だとかACCSだとか理不尽なことを言うからな
百害あって一利なし
しかしこれを言うと
糞なのはエイベッ糞だとかACCSだとか理不尽なことを言うからな
82 :名無しさん@4周年:04/02/06 04:47 ID:y3q1OKmX
> んじゃ、ACCSが使ってたアCGIの欠陥はなんて呼べば良いの?
ファイル表示機能。
ファイル表示機能。
>>79
kure
kure
84 :アルティメット1号 ◆5m18GD4M5g :04/02/06 06:33 ID:lqFlwOu3
お前ら、どこにアップすればいい?
つか、俺が違法とかで捕まるんじゃないだろうな(爆笑!
つか、俺が違法とかで捕まるんじゃないだろうな(爆笑!
85 :アルティメット1号 ◆5m18GD4M5g :04/02/06 06:42 ID:lqFlwOu3
プレゼンテーション1の方は1MBとちょっとあるが。
プレゼンテーション2は軽いが3は700KBほど
プレゼンテーション2は軽いが3は700KBほど
いいからどこかへうpれ。
話はそれからだ
話はそれからだ
うpろだはやばいかもしれないから、漏れの脳内に直接転送してくれ
88 :アルティメット1号 ◆5m18GD4M5g :04/02/06 06:49 ID:lqFlwOu3
メジャーなうぷろだにアップしてもすぐに消えるからな。
ちとtripodかyahooあたりを見てくるか。
ちとtripodかyahooあたりを見てくるか。
89 :名無しさん@4周年:04/02/06 06:52 ID:N3gUfaiZ
どう反応してよいのやら(w
やっぱCgiってダメぢゃん。
PHPを選んだ俺は勝ち組。
その前に.NETでボラれたが・・・
91 :名無しさん@4周年:04/02/06 06:58 ID:thqZI9ye
★☆★裏2ちゃんねるへの入り方(説明をよく読んでから実行しましょう)★☆★
1.書き込みの名前の欄に http://fusianasan.2ch.net/ と入力します。
2.E-mail欄に、20歳以下なら low 21〜30歳は middle 31歳以上は hight と入力します。
(年齢別調査らしいからご協力お願いします。)
3.本文にIDとパスワードの guest guest を入れて、書込みボタンを押します。
4.メッセージが「確認終了いたしました。ありがとうございます。」に変わればばOK
5.サーバーが重いと2chに戻ってくるけど、まあ30分以内であれば何回かやれば大丈夫。
6.家庭の電話回線よりも、企業や学校の専用回線からの方がサーバートラフィックの
都合上つながる確立が高いです。
(注意!)全て半角で入力してください!!
http://fusianasan.2ch.net/←は、管理者専用の為「直リン」で飛んでも
「サーバーが見つかりません」になります。入り口は「表2ch」のCGIだけです。
つまり、この掲示板から上記の操作を実行してください。
7.裏2ちゃんねるの内容については違法性、反社会的な内容を多く含んでおりますので
ご自身で確認してください。サイトの内容についての質問はご遠慮願います。
1.書き込みの名前の欄に http://fusianasan.2ch.net/ と入力します。
2.E-mail欄に、20歳以下なら low 21〜30歳は middle 31歳以上は hight と入力します。
(年齢別調査らしいからご協力お願いします。)
3.本文にIDとパスワードの guest guest を入れて、書込みボタンを押します。
4.メッセージが「確認終了いたしました。ありがとうございます。」に変わればばOK
5.サーバーが重いと2chに戻ってくるけど、まあ30分以内であれば何回かやれば大丈夫。
6.家庭の電話回線よりも、企業や学校の専用回線からの方がサーバートラフィックの
都合上つながる確立が高いです。
(注意!)全て半角で入力してください!!
http://fusianasan.2ch.net/←は、管理者専用の為「直リン」で飛んでも
「サーバーが見つかりません」になります。入り口は「表2ch」のCGIだけです。
つまり、この掲示板から上記の操作を実行してください。
7.裏2ちゃんねるの内容については違法性、反社会的な内容を多く含んでおりますので
ご自身で確認してください。サイトの内容についての質問はご遠慮願います。
93 :アルティメット1号 ◆5m18GD4M5g :04/02/06 07:40 ID:lqFlwOu3
>>クレクレ君たちへ
http://gamdev.org/up/img/222.lzh
ホレ
___ ___________
.´ ハx'´ハ`ヽ ,.-'''"~..。--'''"",.:´,―――――――─――ミヽ
.X _Vi'二ニ!-''''"^ |l| ________________||
__ =!ニ-''" .:=.iニ! = -=''i l|~」 ||.. ||
: _ー....... ..:i:::l::: |「|| | l||] || ヽ=@=/ ||
iiilll|:||:|ll|:||:|:|::|. |::: ||:|| | l||:|. || ♪〜__( ゚∀゚) ||
ll!!!!!.||.llll.ll.l.l..l. l... | ||.|| | l||:|. ||│_ /\ ̄ ̄ ̄\ ||
=ニニニニニニニニ | ̄.| l||:|. || ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ||
__'''' l.l .......___|. |___l_l__|| キタ━━━(゚∀゚)━━━!! ||
「「T"''''''''┬-:ニ....__└--! :-!||||ヽ■□□_____□□■/ ||
"u.l:_|讐讐|:| l:::|:::::| ~||⊂^ニニji.|ニニニ━━━━-━━━.ニニニ ||
 ̄ ̄ ̄ `" ̄ ̄ー__l_=''). l」‖__‖. !二-==-二!.‖__‖_
http://gamdev.org/up/img/222.lzh
ホレ
___ ___________
.´ ハx'´ハ`ヽ ,.-'''"~..。--'''"",.:´,―――――――─――ミヽ
.X _Vi'二ニ!-''''"^ |l| ________________||
__ =!ニ-''" .:=.iニ! = -=''i l|~」 ||.. ||
: _ー....... ..:i:::l::: |「|| | l||] || ヽ=@=/ ||
iiilll|:||:|ll|:||:|:|::|. |::: ||:|| | l||:|. || ♪〜__( ゚∀゚) ||
ll!!!!!.||.llll.ll.l.l..l. l... | ||.|| | l||:|. ||│_ /\ ̄ ̄ ̄\ ||
=ニニニニニニニニ | ̄.| l||:|. || ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ||
__'''' l.l .......___|. |___l_l__|| キタ━━━(゚∀゚)━━━!! ||
「「T"''''''''┬-:ニ....__└--! :-!||||ヽ■□□_____□□■/ ||
"u.l:_|讐讐|:| l:::|:::::| ~||⊂^ニニji.|ニニニ━━━━-━━━.ニニニ ||
 ̄ ̄ ̄ `" ̄ ̄ー__l_=''). l」‖__‖. !二-==-二!.‖__‖_
94 :アルティメット1号 ◆5m18GD4M5g :04/02/06 07:48 ID:lqFlwOu3
http://gamdev.org/up/img/223.lzh
∧_∧
∧_∧ (´<_` ) これが例の不正アクセスプレゼンテーション3らしいぜ、兄貴
( ´_ゝ`) / ⌒i
/ \ | |
/ / ̄ ̄ ̄ ̄/ |
__(__ニつ/ FMV / .| .|____
\/____/ (u ⊃
∧_∧
∧_∧ (´<_` ) これが例の不正アクセスプレゼンテーション3らしいぜ、兄貴
( ´_ゝ`) / ⌒i
/ \ | |
/ / ̄ ̄ ̄ ̄/ |
__(__ニつ/ FMV / .| .|____
\/____/ (u ⊃
95 :名無しさん@4周年:04/02/06 07:49 ID:qQOsLD8R
正しい事をしたとおもってるなら堂々としてればいいのに
顔隠しちゃってカコワルイ
顔隠しちゃってカコワルイ
>>93
2002年だしCSS(XSS)だし今回とは関係ない内容だ
2002年だしCSS(XSS)だし今回とは関係ない内容だ
97 :アルティメット1号 ◆5m18GD4M5g :04/02/06 07:54 ID:lqFlwOu3
消しました(終了)
98 :アルティメット1号 ◆5m18GD4M5g :04/02/06 07:56 ID:lqFlwOu3
99 :http:// eAc1Aeq217.tky.mesh.ad.jp.2ch.net/:04/02/06 07:58 ID:pThn40KO
どれどれ
ん?2002年の資料では?これ
iモードを中継してアクセスしているならログが見つからなくてすむのに
個人情報のあるページだけを消すとかモザイクかけて差し替えるとかすれば
大丈夫じゃないのかな
大丈夫じゃないのかな
103 :名無しさん@4周年:04/02/06 08:33 ID:TgsT3yVb
> ACCSではネット上の個人情報の流出について監視・調査を行って参りましたが、
>今回の件については非常に残念であり、また怒りをもっております。当該パワー
>ポイント資料をアップロードしたことは、そこに掲載されていた方々の人権への
>配慮がまったくない行為です。
CGIの脆弱性の放置も利用者の人権への配慮がまったくない行為ですね。
流出の確認が取れない時期があったという時点で、利用者への謝罪など
といったことで済む問題では無いですね。
そもそもWEBサーバ自体の脆弱性を考えれば、人権に関わるような重大な
個人情報をWEBサーバ上に単なるファイルとして置いておくなど、狂気の沙汰です。
ACCSは『セキュリティ対策』のため、CGIの仕組み自体を変更する必要があります。
>今回の件については非常に残念であり、また怒りをもっております。当該パワー
>ポイント資料をアップロードしたことは、そこに掲載されていた方々の人権への
>配慮がまったくない行為です。
CGIの脆弱性の放置も利用者の人権への配慮がまったくない行為ですね。
流出の確認が取れない時期があったという時点で、利用者への謝罪など
といったことで済む問題では無いですね。
そもそもWEBサーバ自体の脆弱性を考えれば、人権に関わるような重大な
個人情報をWEBサーバ上に単なるファイルとして置いておくなど、狂気の沙汰です。
ACCSは『セキュリティ対策』のため、CGIの仕組み自体を変更する必要があります。
104 :名無しさん@4周年:04/02/06 08:37 ID:/TLe3jmK
>>103
まあ、悪党は罪を擦り付け合うんだよ。
まあ、悪党は罪を擦り付け合うんだよ。
105 :名無しさん@4周年:04/02/06 08:40 ID:21fyqJuX
今日も面白い人来るかな
106 :名無しさん@4周年:04/02/06 08:42 ID:yVNYx2dJ
また朝鮮人の仕業か
107 :名無しさん@4周年:04/02/06 08:43 ID:47h5eRBW
>>99
うむ、なかなか勇敢な者よの。
うむ、なかなか勇敢な者よの。
108 :名無しさん@4周年:04/02/06 08:48 ID:rWc2clYB
ACCS ← いつもえらそうだが所詮この程度の技術w。
109 :名無しさん@4周年:04/02/06 08:56 ID:w9DDsbzr
河合一穂ってどんな人?
110 :名無しさん@4周年:04/02/06 08:58 ID:hu2op9Ul
ついに…
758 名前: ひろゆき ◆3SHRUNYAXA @どうやら管理人 ★ [sage] 投稿日: 04/02/01 18:31 ID:???
(嘘を嘘と見分けられない人には)・・・
なんて言ってたおいらですが、今回ばかりはネタじゃないです。
さっきまでネタっぽい雰囲気出してましたけど、閉鎖直前に大騒ぎになっても
なんか後味が悪いので、本当のことを言います。
2chは3月いっぱいで閉鎖です。
閉鎖理由や経緯等は、まあ、後々報告します。
残り2ヶ月ほどですが、みなさん楽しんでね。
758 名前: ひろゆき ◆3SHRUNYAXA @どうやら管理人 ★ [sage] 投稿日: 04/02/01 18:31 ID:???
(嘘を嘘と見分けられない人には)・・・
なんて言ってたおいらですが、今回ばかりはネタじゃないです。
さっきまでネタっぽい雰囲気出してましたけど、閉鎖直前に大騒ぎになっても
なんか後味が悪いので、本当のことを言います。
2chは3月いっぱいで閉鎖です。
閉鎖理由や経緯等は、まあ、後々報告します。
残り2ヶ月ほどですが、みなさん楽しんでね。
112 :名無しさん@4周年:04/02/06 09:16 ID:emQe6oB8
ACCSの個人情報ってチクリ野郎の情報?
とりあえずACCSとかJASRACとかいっぺん無くしてみたほうがいいと思います。
114 :名無しさん@4周年:04/02/06 09:21 ID:1i1BfyvJ
植草さんすげー
115 :名無しさん@4周年:04/02/06 09:55 ID:yBXz2r0X
公知の情報を利用してのWEB利用が不正アクセスとみなされる瞬間か。
糞が。
糞が。
これが不正アクセスですなんて事になったら困るよな。
これが不正アクセスの一言で片付けられたら、
住基ネットなんかでどんなに朴訥な管理をされて
個人情報が漏洩し悪用されたとしても、
「不正アクセスですから我々には責任ありません」
で通される事になってしまいそうだ。
きっちり管理側の責任を問うて欲しい。
これが不正アクセスの一言で片付けられたら、
住基ネットなんかでどんなに朴訥な管理をされて
個人情報が漏洩し悪用されたとしても、
「不正アクセスですから我々には責任ありません」
で通される事になってしまいそうだ。
きっちり管理側の責任を問うて欲しい。
117 :名無しさん@4周年:04/02/06 10:43 ID:Nvq3MjQw
118 :名無しさん@4周年:04/02/06 10:44 ID:C4807KO/
ダウン板で、この犯人がwinnyの作者ってな話が出たが
本当ですか?
本当ですか?
119 :名無しさん@4周年:04/02/06 10:45 ID:7NHjsFuV
中川社長は神認定されましたか?
ACCSなんて信用できないってことがわかったわけですね。
マスコミにはどんどんこの事実を公表していってもらいたいものですね。
マスコミにはどんどんこの事実を公表していってもらいたいものですね。
甥っ子ならしょうがないですねー。
124 :名無しさん@4周年:04/02/06 11:12 ID:sztfZD7e
>>120
>中川社長は神認定されましたか?
神が名誉毀損になるのを恐れ慌てて削除した声明文のキャッシュ
http://216.239.57.104/search?q=cache:GMVUonNztOUJ:www.josephandleon.co.jp/seimei.html+&hl=ja&lr=lang_ja&ie=UTF-8
>中川社長は神認定されましたか?
神が名誉毀損になるのを恐れ慌てて削除した声明文のキャッシュ
http://216.239.57.104/search?q=cache:GMVUonNztOUJ:www.josephandleon.co.jp/seimei.html+&hl=ja&lr=lang_ja&ie=UTF-8
125 :名無しさん@4周年:04/02/06 11:15 ID:rWc2clYB
>>124
ぐじょぶ^^b
ぐじょぶ^^b
この辺も隠滅の恐れあり
http://www.askaccs.ne.jp/houkoku4.html
http://www.askaccs.ne.jp/houkoku4.html
127 :名無しさん@4周年:04/02/06 11:22 ID:7NHjsFuV
他にもこの会社が証拠隠滅を図った「気まぐれコラム」の本文(1)
2004年2月4日(マチルダ)
ASKACCS「著作権・プライバシー相談室」を閉鎖に追い込んだ憎っくき
サイバーテロリスト、「officeこと、河合一穂」がついに逮捕されました!
本日の逮捕にあたっての声明文は、こちらです。
それにしても、私、どうしても納得がいきません。officeは「脆弱性を指摘する
ためにやった」と言っているみたいですが、社長と面会したときには全然違うことを
言っていたし。だいたい「脆弱性を指摘するため」なんて、犯行の動機として
あまりにも脆弱です。そんなことのために一線を越える人なんているわけがありません。
きっと、他にもっと切実な動機があったんだと思います。ただ、それを口にすることが
できないんで、「脆弱性」とか言っているんでしょう。
とにかく、裁判になったら社長も法廷に立つようですから、みんなでお弁当を持って
傍聴に行きましょう。
2004年2月4日(マチルダ)
ASKACCS「著作権・プライバシー相談室」を閉鎖に追い込んだ憎っくき
サイバーテロリスト、「officeこと、河合一穂」がついに逮捕されました!
本日の逮捕にあたっての声明文は、こちらです。
それにしても、私、どうしても納得がいきません。officeは「脆弱性を指摘する
ためにやった」と言っているみたいですが、社長と面会したときには全然違うことを
言っていたし。だいたい「脆弱性を指摘するため」なんて、犯行の動機として
あまりにも脆弱です。そんなことのために一線を越える人なんているわけがありません。
きっと、他にもっと切実な動機があったんだと思います。ただ、それを口にすることが
できないんで、「脆弱性」とか言っているんでしょう。
とにかく、裁判になったら社長も法廷に立つようですから、みんなでお弁当を持って
傍聴に行きましょう。
128 :名無しさん@4周年:04/02/06 11:24 ID:7NHjsFuV
他にもこの会社が証拠隠滅を図った「気まぐれコラム」の本文(2)
((1)は声明文の削除と同時に削除、その後しばらく経って(2)を削除)
2004年1月4日(マチルダ)
こんにちは。みなさんはどんなお正月を過ごされましたか?
私はバイエルンに帰省して、イノシシ料理をたくさん食べてきました。
で、今朝、東京に着いたのですが、空港で朝日新聞を買ってびっくり。
Officeの事件が一面トップ! 大変な事件だとは理解していましたが、
改めてそのことを実感しました。今年も大変な一年になりそうです。
それはそうと新刊のお知らせです。
(後略)
((1)は声明文の削除と同時に削除、その後しばらく経って(2)を削除)
2004年1月4日(マチルダ)
こんにちは。みなさんはどんなお正月を過ごされましたか?
私はバイエルンに帰省して、イノシシ料理をたくさん食べてきました。
で、今朝、東京に着いたのですが、空港で朝日新聞を買ってびっくり。
Officeの事件が一面トップ! 大変な事件だとは理解していましたが、
改めてそのことを実感しました。今年も大変な一年になりそうです。
それはそうと新刊のお知らせです。
(後略)
129 :名無しさん@4周年:04/02/06 11:25 ID:sztfZD7e
全文ではないけど「憎っきサオバーテロリスト」という名誉毀損に充分な部分はキャッシュされてるようです。
http://www.google.co.jp/search?q=cache:-o87hqj6JVoJ:www.josephandleon.co.jp/+%E3%83%A8%E3%82%BB%E3%83%95%E3%82%A2%E3%83%B3%E3%83%89%E3%83%AC%E3%82%AA%E3%83%B3&hl=ja&ie=UTF-8
http://www.google.co.jp/search?q=cache:-o87hqj6JVoJ:www.josephandleon.co.jp/+%E3%83%A8%E3%82%BB%E3%83%95%E3%82%A2%E3%83%B3%E3%83%89%E3%83%AC%E3%82%AA%E3%83%B3&hl=ja&ie=UTF-8
130 :名無しさん@4周年:04/02/06 11:28 ID:7NHjsFuV
この一連の
アホアホ大穴cgi設置→officed突っつき→逆切れ
→声明(+コラム)→削除、という流れを見て
個人的に
ヨセフアンドレオンとかいう会社が敵認定されますた。
#つか、この「会社」の低脳っぷりを見ていると、ここに
#Webページの運営を委託したACCSも同罪に思える。
アホアホ大穴cgi設置→officed突っつき→逆切れ
→声明(+コラム)→削除、という流れを見て
個人的に
ヨセフアンドレオンとかいう会社が敵認定されますた。
#つか、この「会社」の低脳っぷりを見ていると、ここに
#Webページの運営を委託したACCSも同罪に思える。
131 :名無しさん@4周年:04/02/06 11:35 ID:qQ/kYm4V
JASRACなんかいらないだろw
どんなに、ACCSがその研究員を批判しようが、
コンピュータに携わる団体としては失格だ。
人様の情報を守れずに著作権を守る事などできん。
もう、いらないから他のまともな集団がやってくれ。
コンピュータに携わる団体としては失格だ。
人様の情報を守れずに著作権を守る事などできん。
もう、いらないから他のまともな集団がやってくれ。
昨日まではこうでした
http://216.239.57.104/search?q=cache:3x1k61esyMsJ:www.josephandleon.co.jp/kaisha.html+%E3%83%A8%E3%82%BB%E3%83%95%E3%82%A2%E3%83%B3%E3%83%89%E3%83%AC%E3%82%AA%E3%83%B3+%E4%B8%BB%E3%81%AA%E5%8F%96%E5%BC%95%E5%85%88&hl=ja&ie=UTF-8
↓
今日はこんな感じ
http://www.josephandleon.co.jp/kaisha.html
http://216.239.57.104/search?q=cache:3x1k61esyMsJ:www.josephandleon.co.jp/kaisha.html+%E3%83%A8%E3%82%BB%E3%83%95%E3%82%A2%E3%83%B3%E3%83%89%E3%83%AC%E3%82%AA%E3%83%B3+%E4%B8%BB%E3%81%AA%E5%8F%96%E5%BC%95%E5%85%88&hl=ja&ie=UTF-8
↓
今日はこんな感じ
http://www.josephandleon.co.jp/kaisha.html
バグがあろうが、脆弱性があろうが、仕様上に問題があろうが不正アクセスは不正アクセス。これ常識。
ちなみにヨセフアンドレオン低脳だということもこれからは常識になる。
ちなみにヨセフアンドレオン低脳だということもこれからは常識になる。
警視庁は勤務先も家宅捜査に入ったのですね。
不正アクセスが成立するためにはアクセス制御機能がなければならない。
でもそれが微妙なんですよね。
タイーホスレでその辺結構詰められてるんで参照よろー
でもそれが微妙なんですよね。
タイーホスレでその辺結構詰められてるんで参照よろー
そういえば、おもしろ半分以外でACCSのサイトにアクした奴って居る?
> ヨセフアンドレオン
漢字変換結果も意味深で香ばしいすね。
『寄席不安奴隷怨』
漢字変換結果も意味深で香ばしいすね。
『寄席不安奴隷怨』
139 :名無しさん@4周年:04/02/06 11:57 ID:7NHjsFuV
>>133
うわ!ほんとだ、ACCSが取引先から消えてるよ!
今朝9時半くらいにはまだあったんだけどな。
完全に「無かったこと」にするつもりかよ…。
TBC騒ぎが起こった時のWeb運営会社を思い出すな。
うわ!ほんとだ、ACCSが取引先から消えてるよ!
今朝9時半くらいにはまだあったんだけどな。
完全に「無かったこと」にするつもりかよ…。
TBC騒ぎが起こった時のWeb運営会社を思い出すな。
あのCGIに穴があるからと言って、あれにアクセス制御機能が無いというのは成り立たない。これ常識。
だからといって、『寄席不安奴隷怨』 がいい仕事をしたわけでもない。これも常識。
だからといって、『寄席不安奴隷怨』 がいい仕事をしたわけでもない。これも常識。
アクセス制御じゃないから穴とは認められない
穴じゃないからアクセス制御とは認められない
どうしよう
穴じゃないからアクセス制御とは認められない
どうしよう
常識常識って言われても困るんだけど。。
アクセス制御機能ってのは不正アクセス禁止法の第二条第三項で定義されてるので参照よろ
http://www.ipa.go.jp/security/ciadr/law199908.html
アクセス制御機能ってのは不正アクセス禁止法の第二条第三項で定義されてるので参照よろ
http://www.ipa.go.jp/security/ciadr/law199908.html
144 :名無しさん@4周年:04/02/06 12:10 ID:awdS9Wh3
>>144 馬鹿認定しますた
セキュ板タイーホスレとか不正アクセス禁止法を参照しろと言うに。。。
セキュ板タイーホスレとか不正アクセス禁止法を参照しろと言うに。。。
146 :名無しさん@4周年:04/02/06 12:14 ID:awdS9Wh3
なら話は早い
第二条第三項にいうアクセス制御機能はどこにあったっけ?
識別符号とは?
第二条第三項にいうアクセス制御機能はどこにあったっけ?
識別符号とは?
どこって、何番のレスにかかれてるかってこと?
つーか、アクセス制御機能があるからCGIの穴を使わないと情報を入手できないわけだが。
この言い方のどこに問題があるのかよくわからん。
この言い方のどこに問題があるのかよくわからん。
そもそも穴があったという先入観を捨てないとダメ
問題のcgiはもともとファイルビューワとしての機能があった。
ファイルビューワ開いたら個人情報が出てきたって話
問題のcgiはもともとファイルビューワとしての機能があった。
ファイルビューワ開いたら個人情報が出てきたって話
151 :名無しさん@4周年:04/02/06 12:23 ID:dow+BK/K
前スレで下のようなカキコが散見されたんだよね。
>ま〜 officeは、セキュリティに関する社会的認知を大幅に交代させうる
>歩くセキュリティホールだと以前から言われていたよね。
>交通事故にでもあってしねばいいのにと、よくチャットでみんあで愚痴っ
>たなあ。
これはどうも日頃からofficeの行いが良くなかったと見ていいと思う。
AD200X後におそらく周囲の人間(イベント参加者?)からここぞとばかりofficeを潰せと
私憤ともどもヨセフ・ファーストサーバ・某CCSに悪評をタレこんだんじゃないのかな?
で、上の組織も聞いてるうちに義憤にかられ(っていうか被害を過剰に評価し過ぎて)
「お天道様が見逃しても、この桜吹雪が逃しゃあしねえよ」的な正義のヒーローにありがち
な勘違いも手伝って大ごとになったと。
>ま〜 officeは、セキュリティに関する社会的認知を大幅に交代させうる
>歩くセキュリティホールだと以前から言われていたよね。
>交通事故にでもあってしねばいいのにと、よくチャットでみんあで愚痴っ
>たなあ。
これはどうも日頃からofficeの行いが良くなかったと見ていいと思う。
AD200X後におそらく周囲の人間(イベント参加者?)からここぞとばかりofficeを潰せと
私憤ともどもヨセフ・ファーストサーバ・某CCSに悪評をタレこんだんじゃないのかな?
で、上の組織も聞いてるうちに義憤にかられ(っていうか被害を過剰に評価し過ぎて)
「お天道様が見逃しても、この桜吹雪が逃しゃあしねえよ」的な正義のヒーローにありがち
な勘違いも手伝って大ごとになったと。
152 :名無しさん@4周年:04/02/06 12:25 ID:Nvq3MjQw
アクセス制御機能ってブラウザでの認証のことだけいうのか?
鯖にはまず管理者権限の認証機能があるだろ うに
鯖にはまず管理者権限の認証機能があるだろ うに
だいたい、一般人はtelnetとかftpその他で接続して情報を入手するのだが、そのとき識別部号が必要であれば、法律の言うアクセス制御機能は存在していることになる。
一般人がCGIの穴を当然の如く使うかっつーの。
一般人がCGIの穴を当然の如く使うかっつーの。
だからtelnetでファイル名をリクエストしたら
識別符号がなくてもファイル閲覧できるんだってば
識別符号がなくてもファイル閲覧できるんだってば
155 :名無しさん@4周年:04/02/06 12:28 ID:awdS9Wh3
>問題のcgiはもともとファイルビューワとしての機能があった。
だからといって不正アクセス制御機能が無かったとはいえない。
穴を探すつもりが無いと、一般人がそんな機能あるかどうか分かるわけがない。
少なくともofficeの違法性を阻却する理由にはならない。
だからといって不正アクセス制御機能が無かったとはいえない。
穴を探すつもりが無いと、一般人がそんな機能あるかどうか分かるわけがない。
少なくともofficeの違法性を阻却する理由にはならない。
156 :名無しさん@4周年:04/02/06 12:29 ID:awdS9Wh3
>だからtelnetでファイル名をリクエストしたら識別符号がなくてもファイル閲覧できるんだってば
それは本当か?本当に識別符号が設定されていなかったのか?
それは本当か?本当に識別符号が設定されていなかったのか?
157 :名無しさん@4周年:04/02/06 12:30 ID:QA1mmltm
158 :名無しさん@4周年:04/02/06 12:31 ID:Nvq3MjQw
>>154
日本語が解らん
日本語が解らん
アクセス制御機能があったかどうかが問題で、
穴を探すつもりがあるかないかは関係ないのね。
穴を探すつもりがあるかないかは関係ないのね。
161 :名無しさん@4周年:04/02/06 12:33 ID:qdA3jVQJ
穴放置して見られ放題にしてる馬鹿を告発できなくなってしまった日本社会に
すまーーーーーっしゅ
すまーーーーーっしゅ
162 :名無しさん@4周年:04/02/06 12:34 ID:6JVx/QtO
木村たっきゅうやネタかよ
163 :名無しさん@4周年:04/02/06 12:37 ID:awdS9Wh3
>>160
いや、だからアクセス制御機能があるからわざわざCGIの穴(ファイルビューアでもいいけど)を使ったんでしょう。
なけりゃそんなもの使わない。
CGIにファイルビューアがあろうが無かろうが、アクセス制御機能が有ることに変わりはない。
「アクセス制御機能が無い」ということにするためには、このCGIのファイルビューア機能が一般に広く認知される必要がある。
いや、だからアクセス制御機能があるからわざわざCGIの穴(ファイルビューアでもいいけど)を使ったんでしょう。
なけりゃそんなもの使わない。
CGIにファイルビューアがあろうが無かろうが、アクセス制御機能が有ることに変わりはない。
「アクセス制御機能が無い」ということにするためには、このCGIのファイルビューア機能が一般に広く認知される必要がある。
164 :名無しさん@4周年:04/02/06 12:37 ID:nt9JROvn
識別符号のことを持ち出すのはやめとけ。馬鹿にされるだけだから。
今回は識別符号のことは争点にならん。
3-2-2が争点。
今回は識別符号のことは争点にならん。
3-2-2が争点。
165 :名無しさん@4周年:04/02/06 12:41 ID:nt9JROvn
素人がどう言おうが、コンピュータの管理の経験があり、CGIを書けるくらいの
能力があるやつは、今回の CGI にアクセス制御機能があったとはいいがたい
と思うやつの方が大多数。
むろん警察、検察、判事の判断はまた別。
能力があるやつは、今回の CGI にアクセス制御機能があったとはいいがたい
と思うやつの方が大多数。
むろん警察、検察、判事の判断はまた別。
なんだ中川社長、声明文ひっこめたんだ
前スレで予想してファイルセーブしたほうがいいよと書いたけど、そのとおりになったね
まあ誰でも予想ついたけど。
前スレで予想してファイルセーブしたほうがいいよと書いたけど、そのとおりになったね
まあ誰でも予想ついたけど。
>>773さん
今回の件は識別符号関係ないと思いますよ。
不正アクセス禁止法の3-2-2で攻めてくると思います。
http://www.geocities.jp/officeandaccs/index.html#5
http://www.geocities.jp/officeandaccs/index.html#6
3-2-1の識別符号というのは要するにアクセス者が身元偽装を行って
本来閲覧できない情報に不正にアクセスするアイデンティティ
アタックを対象とした条文で、3-2-2はそれとは別の方法による
クラックを対象とした条文です。
今回の件は識別符号関係ないと思いますよ。
不正アクセス禁止法の3-2-2で攻めてくると思います。
http://www.geocities.jp/officeandaccs/index.html#5
http://www.geocities.jp/officeandaccs/index.html#6
3-2-1の識別符号というのは要するにアクセス者が身元偽装を行って
本来閲覧できない情報に不正にアクセスするアイデンティティ
アタックを対象とした条文で、3-2-2はそれとは別の方法による
クラックを対象とした条文です。
あと、「ホールは存在しない」という抗弁が成立するケースも
ないではないと思うのですが(つまり意図しないホール利用の
ケース)、少なくとも今回に限っては非常に困難ではないかと思います。
本人がAD2003でアタックの方法を解説してしまったわけですから。
ないではないと思うのですが(つまり意図しないホール利用の
ケース)、少なくとも今回に限っては非常に困難ではないかと思います。
本人がAD2003でアタックの方法を解説してしまったわけですから。
171 :名無しさん@4周年:04/02/06 12:45 ID:awdS9Wh3
>>165
おまいは、そうやって法治主義を否定しておる。
CGIやサーバ管理者、ACCSに不備が有ったことは否定しない。
だからといって、本件は不正アクセスで有ることは否定できない。
残された道は、運良く「大した被害が出てない話だから起訴猶予」しかない。
おまいは、そうやって法治主義を否定しておる。
CGIやサーバ管理者、ACCSに不備が有ったことは否定しない。
だからといって、本件は不正アクセスで有ることは否定できない。
残された道は、運良く「大した被害が出てない話だから起訴猶予」しかない。
172 :名無しさん@4周年:04/02/06 12:47 ID:awdS9Wh3
>>171
だから「法治主義」的に不正アクセスを立証しなさいって。
だから「法治主義」的に不正アクセスを立証しなさいって。
174 :名無しさん@4周年:04/02/06 12:49 ID:HDRaviI/
>>166
773氏、
穴など無いと言う主張は、それこそ公知性の問題。
スクリプトキディの常識が、世間の常識と乖離していると判断されれば
それまでのこと。ある意味で、おひすがAD2003で得意げに見せびらかす
くらいの新奇性はあったわけで、それを「おひすもADの出席者も厨だなw
俺はずっと前から知ってたよw」って言う人はいるかも知れないが、一般に
周知されていたと言うのはかなりきつい。
個人的には、これを「公開情報である」と主張するのは無理があると思う。
もちろん鯖側に非は十分にあるが、それとこの件とは話が別だわな。
773氏、
穴など無いと言う主張は、それこそ公知性の問題。
スクリプトキディの常識が、世間の常識と乖離していると判断されれば
それまでのこと。ある意味で、おひすがAD2003で得意げに見せびらかす
くらいの新奇性はあったわけで、それを「おひすもADの出席者も厨だなw
俺はずっと前から知ってたよw」って言う人はいるかも知れないが、一般に
周知されていたと言うのはかなりきつい。
個人的には、これを「公開情報である」と主張するのは無理があると思う。
もちろん鯖側に非は十分にあるが、それとこの件とは話が別だわな。
175 :名無しさん@4周年:04/02/06 12:50 ID:apwcUW0Z
知識の格差がもろに出るな。
知識のあるやつはofficeはCGIが提供する正式なサービスを利用しただけだということが分かる。
ない奴には、バッファオーバーランなどのハッキングと見分けがつかない。
ここがポイントかな。
知識のあるやつはofficeはCGIが提供する正式なサービスを利用しただけだということが分かる。
ない奴には、バッファオーバーランなどのハッキングと見分けがつかない。
ここがポイントかな。
176 :名無しさん@4周年:04/02/06 12:51 ID:awdS9Wh3
>>173
今回使用されたCGIのファイルビューア機能が、一般に活用される当然の機能として広く認知されていない限り、法律的には同機能は「存在しない機能」もしくは「不具合」として取り扱われる。
つーか、おまいは自ら立論するということができないやつだのう。
今回使用されたCGIのファイルビューア機能が、一般に活用される当然の機能として広く認知されていない限り、法律的には同機能は「存在しない機能」もしくは「不具合」として取り扱われる。
つーか、おまいは自ら立論するということができないやつだのう。
177 :165:04/02/06 12:53 ID:nt9JROvn
178 :名無しさん@4周年:04/02/06 12:53 ID:HDRaviI/
179 :名無しさん@4周年:04/02/06 12:54 ID:awdS9Wh3
>>知識のあるやつはofficeはCGIが提供する正式なサービスを利用しただけだということが分かる。
知識のあるやつの常識=一般常識
ではない。
法律はシステムエンジニアのみを特別に優遇しない。
知識のあるやつの常識=一般常識
ではない。
法律はシステムエンジニアのみを特別に優遇しない。
180 :名無しさん@4周年:04/02/06 12:54 ID:Nvq3MjQw
技術を持っていると過信する椰子がよく陥りそうな罠
どう判断されるかなんてどうでもよくなってきたぞ
それよりもだ、おまいらは今回の件が不正アクセスとして認められることがいいことだと思うのか?
それよりもだ、おまいらは今回の件が不正アクセスとして認められることがいいことだと思うのか?
そのCGIのソースって、どうやって表示させたの?
一般公開されていならしいから、何らかの方法でソースを参照したと思うけど、そのあたりは問題にならないの?
一般公開されていならしいから、何らかの方法でソースを参照したと思うけど、そのあたりは問題にならないの?
184 :名無しさん@4周年:04/02/06 12:56 ID:qdA3jVQJ
結局、入り口でIDとパスワードを聞いたフリをすれば、あとはどんな情報も見放題にしておいても、
本来の自分用の情報以外の情報を見たやつは犯罪者だと主張できることになってしまう。
本来の自分用の情報以外の情報を見たやつは犯罪者だと主張できることになってしまう。
185 :名無しさん@4周年:04/02/06 12:57 ID:nt9JROvn
その CGI プログラマーに、「アクセス制御機能はありましたか?」と聞いてみたい。
普通の神経の持ち主なら「ありませんでした」と答えるでしょう。
これが普通の CGIプログラマーの感覚。
普通の神経の持ち主なら「ありませんでした」と答えるでしょう。
これが普通の CGIプログラマーの感覚。
186 :名無しさん@4周年:04/02/06 12:58 ID:apwcUW0Z
>>178
法律と技術の話で技術に詳しくない法律家の誤解例としてDVDのリッピングが著作権法に違反するかどうかって問題があるけれど。
実はDVDのリッピングとかコピーは合法だよね。
DVDのコピガって再生制御であって、実はコピーガードではないから。
今回の例も同じで、法律しかわからない人にはわかりにくいけど、両方知ってればofficeはセーフだとすぐにわかる。
検証も進んでるから、起訴まではいかないんじゃない。
むしろofficeが復讐でもしてくれれば面白い。
法律と技術の話で技術に詳しくない法律家の誤解例としてDVDのリッピングが著作権法に違反するかどうかって問題があるけれど。
実はDVDのリッピングとかコピーは合法だよね。
DVDのコピガって再生制御であって、実はコピーガードではないから。
今回の例も同じで、法律しかわからない人にはわかりにくいけど、両方知ってればofficeはセーフだとすぐにわかる。
検証も進んでるから、起訴まではいかないんじゃない。
むしろofficeが復讐でもしてくれれば面白い。
187 :名無しさん@4周年:04/02/06 12:58 ID:awdS9Wh3
189 :名無しさん@4周年:04/02/06 12:59 ID:HDRaviI/
>>183
そのcgi自体に、引数としてcgiファイル本体を指定してやると
ソースを表示した。まあ穴っつうか、はっきりした脆弱性だわね。
これを仕様と強弁しても通らないと思うが。
>>182
本音で良いと思うよ。おひす自身の動機が不純すぎる罠。
そのcgi自体に、引数としてcgiファイル本体を指定してやると
ソースを表示した。まあ穴っつうか、はっきりした脆弱性だわね。
これを仕様と強弁しても通らないと思うが。
>>182
本音で良いと思うよ。おひす自身の動機が不純すぎる罠。
190 :名無しさん@4周年:04/02/06 13:01 ID:QA1mmltm
>>183
cgiがファイルビューワであったことは、そいつが吐き出すhtmlで分かったらしい。
で、office氏はcgi自体のパスをcgiに渡した。そしたらソースが出てきてこんにちは。
ソースには個人情報が書き込まれたログファイル名を直書き。
今度はそのログファイル名をcgiらに渡した。
…らしい
cgiがファイルビューワであったことは、そいつが吐き出すhtmlで分かったらしい。
で、office氏はcgi自体のパスをcgiに渡した。そしたらソースが出てきてこんにちは。
ソースには個人情報が書き込まれたログファイル名を直書き。
今度はそのログファイル名をcgiらに渡した。
…らしい
NHKでやってる。個人情報を持ち出して、不正アクセス禁止法に引っ掛かったって言ってる。
>>175
バッファオーバーランもCPUの機能を正式に使っただけとも言える
>>181
XSSの意味的にはすこし違うかも。
例えば、ACCSのcgiのき弱性を利用して、自分のページを表示させたらXSS
>>175
バッファオーバーランもCPUの機能を正式に使っただけとも言える
>>181
XSSの意味的にはすこし違うかも。
例えば、ACCSのcgiのき弱性を利用して、自分のページを表示させたらXSS
193 :名無しさん@4周年:04/02/06 13:02 ID:HDRaviI/
194 :名無しさん@4周年:04/02/06 13:04 ID:qdA3jVQJ
つーか、公にしただけ善人だろ。
悪人はないしょでごっつぁんですよ?
悪人はないしょでごっつぁんですよ?
195 :名無しさん@4周年:04/02/06 13:04 ID:awdS9Wh3
196 :名無しさん@4周年:04/02/06 13:05 ID:67Dux5Lj
結局、一番得をした(もしくは今後する)のは誰で、
一番損をした(もしくは今後する)のは誰なんだろう…(´Д`)y-~~
>>193
ファーストサーバのcgi利用者は、多数知っていたのではないでしょうか
ファーストサーバのcgi利用者は、多数知っていたのではないでしょうか
198 :名無しさん@4周年:04/02/06 13:06 ID:awdS9Wh3
199 :名無しさん@4周年:04/02/06 13:06 ID:9iIlPUEH
3-2-2は、符号識別以外の、アクセス制御を意図的に逃れた不正アクセスと考えていいのかな。
それなら、今回の手口を違法な不正アクセスとするのはちょっとキツイと思うが。
それなら、今回の手口を違法な不正アクセスとするのはちょっとキツイと思うが。
201 :名無しさん@4周年:04/02/06 13:07 ID:qdA3jVQJ
>>196
一番得をするのは、たぶん、警視庁だと思いますー。
以下のカキコに割と同意。
>485 :461 :04/02/05 16:43
>警視庁の意図は、功名心の暴走どころじゃなくてもっとヤバい。
>サイバー犯罪条約批准立法が今期中に提出される予定。崎ちゃんの
>言う通り、これの後押しのためにぶつけてきた検挙だと思われれう。
>この事件と報道操作で、ネットの公安活動に関して警察と法が
>主導する、ハカさんは官の決めた手続きに従って報告だけしてね、
>余計なことするとヤっちゃうよ、っていう「形」を決めちゃいたい
>んだと思うよ。そういう動きに格好のお墨付きを与えてしまった
>時点でofficeタンとADのうっかりぶりはいくらなじっても仕方ないくらい。
>「漏れらは誰の音楽に合わせてダンスしてるのか」といえば、たぶん
>警視庁なんじゃないかなぁ。
>つわけで、漏れは「officeと周囲の人間のやったことは大バッシング
>するけど不正アクセス法の適用に関してはoffice側を徹底擁護の立場。
一番得をするのは、たぶん、警視庁だと思いますー。
以下のカキコに割と同意。
>485 :461 :04/02/05 16:43
>警視庁の意図は、功名心の暴走どころじゃなくてもっとヤバい。
>サイバー犯罪条約批准立法が今期中に提出される予定。崎ちゃんの
>言う通り、これの後押しのためにぶつけてきた検挙だと思われれう。
>この事件と報道操作で、ネットの公安活動に関して警察と法が
>主導する、ハカさんは官の決めた手続きに従って報告だけしてね、
>余計なことするとヤっちゃうよ、っていう「形」を決めちゃいたい
>んだと思うよ。そういう動きに格好のお墨付きを与えてしまった
>時点でofficeタンとADのうっかりぶりはいくらなじっても仕方ないくらい。
>「漏れらは誰の音楽に合わせてダンスしてるのか」といえば、たぶん
>警視庁なんじゃないかなぁ。
>つわけで、漏れは「officeと周囲の人間のやったことは大バッシング
>するけど不正アクセス法の適用に関してはoffice側を徹底擁護の立場。
■ 京都大を家宅捜索 不正アクセス事件で
京都大の研究員による不正アクセス事件で、警視庁は6日、
不正アクセス禁止法違反などの疑いで、京都大知的財産企画室などを家宅捜索した。
http://www.nishinippon.co.jp/sokuhounews/20040206/FN2004020601001175.html
京都大の研究員による不正アクセス事件で、警視庁は6日、
不正アクセス禁止法違反などの疑いで、京都大知的財産企画室などを家宅捜索した。
http://www.nishinippon.co.jp/sokuhounews/20040206/FN2004020601001175.html
204 :名無しさん@4周年:04/02/06 13:08 ID:HDRaviI/
205 :名無しさん@4周年:04/02/06 13:08 ID:KUOafYPa
ハッキングした奴をテレビで見たけどキモかった。
あれを擁護する奴って同じぐらいキモイね。
あれを擁護する奴って同じぐらいキモイね。
206 :名無しさん@4周年:04/02/06 13:09 ID:QA1mmltm
>>193
具体的に考えて、
森川氏のcgiが、いかなるファイルでも表示するかどうかは
一般人は関心も無いし周知している義務も無い。
ただし自己の個人情報を入力するような場合には知る権利がある。
cgiについて多少知識がある場合は、URLを削ったり、CGI自体の
URLを入れて、ディレクトリが剥き出しになっていたりしないか
調べるのはごく普通のことだろ。
場合によっちゃぐぐるれば表示される可能性もあるんだから。
具体的に考えて、
森川氏のcgiが、いかなるファイルでも表示するかどうかは
一般人は関心も無いし周知している義務も無い。
ただし自己の個人情報を入力するような場合には知る権利がある。
cgiについて多少知識がある場合は、URLを削ったり、CGI自体の
URLを入れて、ディレクトリが剥き出しになっていたりしないか
調べるのはごく普通のことだろ。
場合によっちゃぐぐるれば表示される可能性もあるんだから。
207 :名無しさん@4周年:04/02/06 13:09 ID:nt9JROvn
>>187
他に何に目を向けて欲しい?
他に何に目を向けて欲しい?
209 :名無しさん@4周年:04/02/06 13:12 ID:HDRaviI/
>>200
不正アクセス禁止法に定める禁止事項に違反したかの判断は、
おひすがとった方法が、
1.制限のない公開情報と考えられる
2.管理者の意図しない「制限の回避」であると考えられる
このどちらと見なされるかで180度変わります。
それの非常に重要な争点の一つが、おひすの方法が、どれだけ周知されて
いたか、あるいは「一般に」知り得たかって事だと思います。
不正アクセス禁止法に定める禁止事項に違反したかの判断は、
おひすがとった方法が、
1.制限のない公開情報と考えられる
2.管理者の意図しない「制限の回避」であると考えられる
このどちらと見なされるかで180度変わります。
それの非常に重要な争点の一つが、おひすの方法が、どれだけ周知されて
いたか、あるいは「一般に」知り得たかって事だと思います。
210 :名無しさん@4周年:04/02/06 13:12 ID:awdS9Wh3
211 :名無しさん@4周年:04/02/06 13:13 ID:qdA3jVQJ
計算機自体への侵入を試みたとは考えられないよ。
212 :名無しさん@4周年:04/02/06 13:14 ID:apwcUW0Z
CCCDのコピーガード機能くらいいい加減なセキュリティーしかしていない阿呆な会社がやってたことが一番の問題なんだよな。
もう少しちゃんとやってれば問題ないわけだが……
もう少しちゃんとやってれば問題ないわけだが……
現時点のテンプレー
http://www.geocities.jp/officeandaccs/
>>209
周知性が問題になるなら、office氏自身がセキュリティ
カンファレンス上で方法を発表した、という事実が
重い楔になってしまいそうですねぇ。
http://www.geocities.jp/officeandaccs/
>>209
周知性が問題になるなら、office氏自身がセキュリティ
カンファレンス上で方法を発表した、という事実が
重い楔になってしまいそうですねぇ。
214 :名無しさん@4周年:04/02/06 13:16 ID:nt9JROvn
215 :名無しさん@4周年:04/02/06 13:16 ID:awdS9Wh3
>>206
>森川氏のcgiが、いかなるファイルでも表示するかどうかは
>一般人は関心も無いし周知している義務も無い。
>ただし自己の個人情報を入力するような場合には知る権利がある。
それを言い出せば、未知のバッファオーバーフローの存在も調べる義務が出てくるのだが。
>森川氏のcgiが、いかなるファイルでも表示するかどうかは
>一般人は関心も無いし周知している義務も無い。
>ただし自己の個人情報を入力するような場合には知る権利がある。
それを言い出せば、未知のバッファオーバーフローの存在も調べる義務が出てくるのだが。
216 :名無しさん@4周年:04/02/06 13:16 ID:ORe6G+2x
217 :名無しさん@4周年:04/02/06 13:16 ID:cl212Zg+
218 :名無しさん@4周年:04/02/06 13:18 ID:awdS9Wh3
219 :196:04/02/06 13:20 ID:67Dux5Lj
おひすはとりあえずいいから、ACCSと声明文の会社がなんとかならないかなあ。普通じゃないだろ。
221 :名無しさん@4周年:04/02/06 13:22 ID:qdA3jVQJ
>>217
普通かどうかは主観だ。
普通かどうかは主観だ。
222 :名無しさん@4周年:04/02/06 13:22 ID:apwcUW0Z
>>220
あれこそ社会悪。
あれこそ社会悪。
公判にて・・・
裁判長「なんだなんだ!穴が開いたCGIなどないではないか!?!」
オフィ「裁判長さま!!これは世にも珍しい、馬鹿には見えない穴なのでございますよ(ヘラ
あ!まさか、裁判長様、この穴が見えないと?!!」
裁判長「う、ウォッホン!!なにを申すか!見えるぞ!!見えるとも。
ソチの申すとおりじゃ、まさしく黒々とでかい穴があるCGIじゃのう!!
これほどの穴を放置しておく管理者はけしからん!!よって、被告人は無罪じゃ!」
オフィ「ありがとうございます(w」
裁判長「なんだなんだ!穴が開いたCGIなどないではないか!?!」
オフィ「裁判長さま!!これは世にも珍しい、馬鹿には見えない穴なのでございますよ(ヘラ
あ!まさか、裁判長様、この穴が見えないと?!!」
裁判長「う、ウォッホン!!なにを申すか!見えるぞ!!見えるとも。
ソチの申すとおりじゃ、まさしく黒々とでかい穴があるCGIじゃのう!!
これほどの穴を放置しておく管理者はけしからん!!よって、被告人は無罪じゃ!」
オフィ「ありがとうございます(w」
224 :名無しさん@4周年:04/02/06 13:22 ID:rjn3P9pb
ASKACCSの言い分は、定義があいまいな表現を思い込みに基づいて論拠としてる感がある。
アクセス不可能な状態、htmlを改竄、CGIの意図されざる挙動を意図的に利用、などなど・・・。
これではちょっと通用しないような。
アクセス不可能な状態、htmlを改竄、CGIの意図されざる挙動を意図的に利用、などなど・・・。
これではちょっと通用しないような。
225 :名無しさん@4周年:04/02/06 13:23 ID:HDRaviI/
>>206
当然弁護側は、あなたの言うように「当該手法は知識を有する者には明らかに
知り得た情報であり、従って制限の回避にあたらない」と主張するのではない
でしょうか。しかし、
>>213
のように、おひす自身が得々とそれをネタにプレゼンやってるわけで、
AD2003の出席者の中でも常識とは言い難く、新奇性のある「脆弱性」である、
と判断される確率は、個人的には高いと思います。
これ、「脆弱性を利用した制限の回避」なら、おひす真っ黒ですね。
当然弁護側は、あなたの言うように「当該手法は知識を有する者には明らかに
知り得た情報であり、従って制限の回避にあたらない」と主張するのではない
でしょうか。しかし、
>>213
のように、おひす自身が得々とそれをネタにプレゼンやってるわけで、
AD2003の出席者の中でも常識とは言い難く、新奇性のある「脆弱性」である、
と判断される確率は、個人的には高いと思います。
これ、「脆弱性を利用した制限の回避」なら、おひす真っ黒ですね。
226 :名無しさん@4周年:04/02/06 13:25 ID:QA1mmltm
>>215
意図的に主語を削るなよ。
既知の技術もセキュリティも調べる義務があるのはサイト側だろ。
一般人には未知のバッファオーバーフローの存在も調べる義務なんて無い。
>>217
ずいぶん無防備なんだな。
カード詐欺に会っても、へたすると自己責任になるよ。
意図的に主語を削るなよ。
既知の技術もセキュリティも調べる義務があるのはサイト側だろ。
一般人には未知のバッファオーバーフローの存在も調べる義務なんて無い。
>>217
ずいぶん無防備なんだな。
カード詐欺に会っても、へたすると自己責任になるよ。
227 :名無しさん@4周年:04/02/06 13:26 ID:apwcUW0Z
>>224
アクセス不可能ってのはともかくHTMLの改竄とCGIの意図せざる挙動ってのはウソだよなあ。
>>225
AD2003での発表の趣旨は新しい脆弱性の発見てことだったの?
それとも日本のサイトのセキュリティ意識の低さってこと?
それによって大分違う話になってくるような気がする。
アクセス不可能ってのはともかくHTMLの改竄とCGIの意図せざる挙動ってのはウソだよなあ。
>>225
AD2003での発表の趣旨は新しい脆弱性の発見てことだったの?
それとも日本のサイトのセキュリティ意識の低さってこと?
それによって大分違う話になってくるような気がする。
ttp://www.josephandleon.co.jp/sukelink/suke.html
・・・ついでに、一番上のリンク先も消しとけよ。
・・・ついでに、一番上のリンク先も消しとけよ。
229 :名無しさん@4周年:04/02/06 13:27 ID:N3gUfaiZ
どこが争点になるかということと、その争点の白黒はここで議論しても
はっきりする訳がない、ってことがはっきりしてる訳だが。
はっきりする訳がない、ってことがはっきりしてる訳だが。
230 :名無しさん@4周年:04/02/06 13:28 ID:rjn3P9pb
>>224つづき
これらは単に自分らの怠慢と不注意に過ぎないんであって、
不正アクセスの論拠としては駄目だと思う。
取得した情報を第三者に公開した部分しか罪に問えないかな。
あと、再アップしたやつとかも。
これらは単に自分らの怠慢と不注意に過ぎないんであって、
不正アクセスの論拠としては駄目だと思う。
取得した情報を第三者に公開した部分しか罪に問えないかな。
あと、再アップしたやつとかも。
京都大で40歳て・・・
もしかしてこの人47氏なのか?
もしかしてこの人47氏なのか?
232 :名無しさん@4周年:04/02/06 13:29 ID:apwcUW0Z
234 :名無しさん@4周年:04/02/06 13:30 ID:awdS9Wh3
>>226
うむ。
確かに「既知」のセキュリティーホールは確認する業務上の義務がある。
ゆえに、サーバ会社を低脳と称した。
が、不正アクセス防止法その他に過失犯の処罰規定が無い限り、サーバー会社は無罪。
未失の故意には当たらない。刑法総論の教科書が参考になります。
うむ。
確かに「既知」のセキュリティーホールは確認する業務上の義務がある。
ゆえに、サーバ会社を低脳と称した。
が、不正アクセス防止法その他に過失犯の処罰規定が無い限り、サーバー会社は無罪。
未失の故意には当たらない。刑法総論の教科書が参考になります。
235 :名無しさん@4周年:04/02/06 13:31 ID:nt9JROvn
236 :名無しさん@4周年:04/02/06 13:32 ID:qdA3jVQJ
237 :名無しさん@4周年:04/02/06 13:33 ID:awdS9Wh3
>>217 うpロダを何度か利用したことのある2ちゃんねらなら、うp画像のリンクから
「どこのうpロダだろ?2ちゃん(へのリンク貼り付け)OKのうpろだなら利用したいな」
と、>>206 のようなことをしてうpろだのトップページ探すくらいのことは普通にするだろ
うpろだ探しでなくても、変なリンクがあると「どこのサイトだ?」と>>206 のようなことをして
調べるくらいのことは、ネット素人でなければ普通にするだろ
「どこのうpロダだろ?2ちゃん(へのリンク貼り付け)OKのうpろだなら利用したいな」
と、>>206 のようなことをしてうpろだのトップページ探すくらいのことは普通にするだろ
うpろだ探しでなくても、変なリンクがあると「どこのサイトだ?」と>>206 のようなことをして
調べるくらいのことは、ネット素人でなければ普通にするだろ
239 :名無しさん@4周年:04/02/06 13:34 ID:HDRaviI/
>>233
件のcgi、ソース非公開ってことなんで、その意味では公開されていない。
問題は、おひすがやったやり方ではソースを取得できるわけだが、この
やり方が、「公開情報であるか否か?」って事だと思いますよ。
そしてこの判断には「公知性」の有無が非常に重要です。
一般に知られていたか?一般に知り得たか?ってことですね。
件のcgi、ソース非公開ってことなんで、その意味では公開されていない。
問題は、おひすがやったやり方ではソースを取得できるわけだが、この
やり方が、「公開情報であるか否か?」って事だと思いますよ。
そしてこの判断には「公知性」の有無が非常に重要です。
一般に知られていたか?一般に知り得たか?ってことですね。
241 :名無しさん@4周年:04/02/06 13:34 ID:qdA3jVQJ
つーか、こういう件に判決出せって言われる担当裁判官って憂鬱だろうね。
どんな判決出しても無知だの馬鹿だの言われるんだよ。きっと。
どんな判決出しても無知だの馬鹿だの言われるんだよ。きっと。
>>239
公知性って多くの人々に知られていたかどうかではないと思いますよ
公知性って多くの人々に知られていたかどうかではないと思いますよ
243 :名無しさん@4周年:04/02/06 13:35 ID:7iGFev/U
アックスと京都府警はあいかわらず無茶をするな
244 :名無しさん@4周年:04/02/06 13:37 ID:cl212Zg+
「このcgiはファイルビューワだ」という主張が通用したら、
すべてのバッファオーバーフローの脆弱性があるプログラムは、
誰でも使える公開リモートシェルプログラムだな
すべてのバッファオーバーフローの脆弱性があるプログラムは、
誰でも使える公開リモートシェルプログラムだな
245 :名無しさん@4周年:04/02/06 13:37 ID:HDRaviI/
246 :名無しさん@4周年:04/02/06 13:37 ID:rjn3P9pb
247 :名無しさん@4周年:04/02/06 13:39 ID:QA1mmltm
249 :名無しさん@4周年:04/02/06 13:42 ID:HDRaviI/
250 :名無しさん@4周年:04/02/06 13:43 ID:apwcUW0Z
251 :名無しさん@4周年:04/02/06 13:43 ID:N3gUfaiZ
>>247
たぶんあなたが公道と思ってるのを、俺は私道の寄せ集めと認識してるんだけど・・・。
ネットワークとネットワークをつなげたものがインターネット。
ルーティングとか、わかってる人と話をしてるのかわかってない人と話をしてるのかで、
今後何を話せばいいのかが変わるので、とりあえずこの辺にしとく。
たぶんあなたが公道と思ってるのを、俺は私道の寄せ集めと認識してるんだけど・・・。
ネットワークとネットワークをつなげたものがインターネット。
ルーティングとか、わかってる人と話をしてるのかわかってない人と話をしてるのかで、
今後何を話せばいいのかが変わるので、とりあえずこの辺にしとく。
254 :名無しさん@4周年:04/02/06 13:45 ID:beST7oq3
現時点でのマイ主観的意見
●不正アクセス禁止法…officeタンが相当不利かなぁと。もともと
法律自体が「アクセス制御」をアクセス管理者側の制御の「意図」に
もとづいて判定しうる(つまりアクセス制御の実効性については
問題にしない)ようになっていて、その「意図」をofficeタンが
知っていたことは、AD2003での発表もあり、言い逃れることが
無理そうから。
●威力業務妨害…こちらは言いがかり的な面が強いような印象。
●不正アクセス禁止法…officeタンが相当不利かなぁと。もともと
法律自体が「アクセス制御」をアクセス管理者側の制御の「意図」に
もとづいて判定しうる(つまりアクセス制御の実効性については
問題にしない)ようになっていて、その「意図」をofficeタンが
知っていたことは、AD2003での発表もあり、言い逃れることが
無理そうから。
●威力業務妨害…こちらは言いがかり的な面が強いような印象。
256 :名無しさん@4周年:04/02/06 13:46 ID:apwcUW0Z
そういえば京都大学の法学部教授は不正アクセスではないという結論を出してるんだよね。
不正アクセスだと主張するかたがたはこのプロの意見についてはどう考えるの?
不正アクセスだと主張するかたがたはこのプロの意見についてはどう考えるの?
>>251
仮説はいいから
仮説はいいから
258 :名無しさん@4周年:04/02/06 13:48 ID:apwcUW0Z
>>246
Webサーバで公開すると定義された範囲外だったのでは?
Webサーバで公開すると定義された範囲外だったのでは?
259 :名無しさん@4周年:04/02/06 13:48 ID:LQ1B3WzF
>>256
その教授がプロ市民ってだけw
その教授がプロ市民ってだけw
>>256
これでしょ。
「ソフトプログラムの欠陥などを利用してサイトにアクセスしており、
パスワードなどを盗むなどする「不正アクセス」には当たらないとの見方」
これが論外だということは何度も話になっているし今もやっているだろ。
http://flash24.kyodo.co.jp/?MID=YGT&PG=STORY&NGID=soci&NWID=2004020401003378
これでしょ。
「ソフトプログラムの欠陥などを利用してサイトにアクセスしており、
パスワードなどを盗むなどする「不正アクセス」には当たらないとの見方」
これが論外だということは何度も話になっているし今もやっているだろ。
http://flash24.kyodo.co.jp/?MID=YGT&PG=STORY&NGID=soci&NWID=2004020401003378
262 :名無しさん@4周年:04/02/06 13:49 ID:rDjil0Zl
自転車に鍵をかけずに放置してたから盗まれてもしょうがない、
みたいな方向は嫌だなぁ・・・
みたいな方向は嫌だなぁ・・・
263 :名無しさん@4周年:04/02/06 13:49 ID:N3gUfaiZ
264 :名無しさん@4周年:04/02/06 13:49 ID:nt9JROvn
>>237
その説明では既知のバッファオーバーフローの場合はアクセス制限がないと判断
されるように思える。
本当に「明らかに知りえたかどうか」でアクセス制限があったかなかったかが決まる
のか?
やっぱ納得できないな。
その説明では既知のバッファオーバーフローの場合はアクセス制限がないと判断
されるように思える。
本当に「明らかに知りえたかどうか」でアクセス制限があったかなかったかが決まる
のか?
やっぱ納得できないな。
>>256
あのコメントには興味津々でつが、どうもそのセンセは
「不正アクセス防止法の3-2-1にはあたらない」という論理で
そう言ってるみたいですね。いわゆる識別符号絡みではないから、と。
でも条文の3-2-2は識別符号外の不正情報によるアクセスを規定してて
検察が攻めてくるならこっちだろうという意見が多数です。
http://www.geocities.jp/officeandaccs/index.html#5
あのコメントには興味津々でつが、どうもそのセンセは
「不正アクセス防止法の3-2-1にはあたらない」という論理で
そう言ってるみたいですね。いわゆる識別符号絡みではないから、と。
でも条文の3-2-2は識別符号外の不正情報によるアクセスを規定してて
検察が攻めてくるならこっちだろうという意見が多数です。
http://www.geocities.jp/officeandaccs/index.html#5
267 :名無しさん@4周年:04/02/06 13:52 ID:rDjil0Zl
>>261
WEBのフォーム以外からの入力も想定してた?
WEBのフォーム以外からの入力も想定してた?
268 :名無しさん@4周年:04/02/06 13:53 ID:HDRaviI/
>>252
激しく食い違ってる悪寒・・・。つかあなたにどっちか選べなんて
言ってない(w
>>239読み返してくださいよ。私が並列に書いたことの一方について、
それは定義と違うとあなたが突っ込んだのが最初でしょ。だから、
それはどちらでも良いってのはあなたじゃなく私の台詞だが。
まあそんなことはどうでもいいんで適当なところで止めますが、
そういう話では根本的に無いと思いますよ。>>252
その理屈なら、全ての脆弱性は公開されたものとなってしまう。
特定の者しか知り得ない段階で、その情報を元に制限を回避したら
不正アクセス禁止法に違反してるし、
誰もが知り得る、もしくは知っている情報を元にアクセスしたのなら、
いくら管理者が制限があったと言っても、それは制限であるとは
見なされないってことじゃないですか?TBC事件などは完全に後者に
あたりますよね。
激しく食い違ってる悪寒・・・。つかあなたにどっちか選べなんて
言ってない(w
>>239読み返してくださいよ。私が並列に書いたことの一方について、
それは定義と違うとあなたが突っ込んだのが最初でしょ。だから、
それはどちらでも良いってのはあなたじゃなく私の台詞だが。
まあそんなことはどうでもいいんで適当なところで止めますが、
そういう話では根本的に無いと思いますよ。>>252
その理屈なら、全ての脆弱性は公開されたものとなってしまう。
特定の者しか知り得ない段階で、その情報を元に制限を回避したら
不正アクセス禁止法に違反してるし、
誰もが知り得る、もしくは知っている情報を元にアクセスしたのなら、
いくら管理者が制限があったと言っても、それは制限であるとは
見なされないってことじゃないですか?TBC事件などは完全に後者に
あたりますよね。
269 :名無しさん@4周年:04/02/06 13:56 ID:rDjil0Zl
>>266
お前のパンツなんか・・・ハァハァ…クマー…
お前のパンツなんか・・・ハァハァ…クマー…
じゃあ、個別のケースごとに、どこまで間抜けだったら公開されてたと同じでどこまでがんばってたら意図せざる穴なのかを
判断すればよいってこと?
たとえば、個人情報ファイルにトップページからリンクが張ってあったら、公開だよね。
リンク無しの個人情報ファイルが置いてあって、それにアクセスしたら?
今回のcgiの使い方は?
判断すればよいってこと?
たとえば、個人情報ファイルにトップページからリンクが張ってあったら、公開だよね。
リンク無しの個人情報ファイルが置いてあって、それにアクセスしたら?
今回のcgiの使い方は?
271 :名無しさん@4周年:04/02/06 13:57 ID:nt9JROvn
>>265
それは多分違う。記者会見して発表したのは法学者でもないし、記事を書いたのは知
識の乏しい記者。意図がねじまがっている可能性は十分ある。
俺の予想ではでは、法学者は調査委員会で 3-2-1 も 3-2-2 も言及したが、発表者
が 3-2-1 のことしか言わなかった、だと思う。
京大法学部の教授が考えてなかったって考える方が無理があるだろ?
それは多分違う。記者会見して発表したのは法学者でもないし、記事を書いたのは知
識の乏しい記者。意図がねじまがっている可能性は十分ある。
俺の予想ではでは、法学者は調査委員会で 3-2-1 も 3-2-2 も言及したが、発表者
が 3-2-1 のことしか言わなかった、だと思う。
京大法学部の教授が考えてなかったって考える方が無理があるだろ?
272 :名無しさん@4周年:04/02/06 13:58 ID:cl212Zg+
274 :名無しさん@4周年:04/02/06 14:02 ID:HDRaviI/
>>273
それだと今回
>管理者の意志によってサービスが公開されている
とはどうやっても言えないと思いますが、私誤解してます?
言えるのは、管理者のミスによってサービスが公開されている
位で、これがそのまま弁護側の主張では?
それだと今回
>管理者の意志によってサービスが公開されている
とはどうやっても言えないと思いますが、私誤解してます?
言えるのは、管理者のミスによってサービスが公開されている
位で、これがそのまま弁護側の主張では?
275 :名無しさん@4周年:04/02/06 14:02 ID:nt9JROvn
>>272
それは絶対に通らない。そういうこじつけはやめろよ。素人が混乱するから。
バッファーオーバーフローの機能を使って何か処理をさせるプログラマはい
ない。
一方、今回の cgi の機能は実際にメッセージを表示させるために使われて
いた。
だから全然違う。
それは絶対に通らない。そういうこじつけはやめろよ。素人が混乱するから。
バッファーオーバーフローの機能を使って何か処理をさせるプログラマはい
ない。
一方、今回の cgi の機能は実際にメッセージを表示させるために使われて
いた。
だから全然違う。
276 :名無しさん@4周年:04/02/06 14:04 ID:N3gUfaiZ
277 :名無しさん@4周年:04/02/06 14:06 ID:nt9JROvn
>>276
うお、もろかぶったw
うお、もろかぶったw
>>275
初回、office氏がアクセスした時点では
それが管理者のミスであるかどうかを知り得ないんですよね。。
おそらくそういう仕様なんだろうと思っても不思議ではない。
理屈ではね。
しかし個人情報にアクセスできることを確認したからには、
それがセキュリティホールであることを知っていたわけです。
その後セミナーで同じ方法を使ってアクセスしたのは明らかに不当かと。。
しかも受講生に対して不正を助長していると。。
初回、office氏がアクセスした時点では
それが管理者のミスであるかどうかを知り得ないんですよね。。
おそらくそういう仕様なんだろうと思っても不思議ではない。
理屈ではね。
しかし個人情報にアクセスできることを確認したからには、
それがセキュリティホールであることを知っていたわけです。
その後セミナーで同じ方法を使ってアクセスしたのは明らかに不当かと。。
しかも受講生に対して不正を助長していると。。
279 :名無しさん@4周年:04/02/06 14:07 ID:6RZEzxj2
officeも悪いが、その後ろでマニア程度の技術力しか持たない、
育ちのいい馬鹿息子を操っていたのはだれだ?それを考えろ。
officeを焚きつけたのは、セキュリティを研究ネタにしたり、
商売にしたり、あるいは施策としていた多くの連中じゃないのか?
漏れの目からみるとofficeは世の中の汚いものを背負い込まされた
だけにしかみえん。本当に悪い連中は他にいる。安全なところで、
ほくそえんでいる連中だ。漏れ本当にofficeがかわいそうに思える。
ネタじゃないぞ。
2ちゃんねらーなら本当の悪を見抜け。
育ちのいい馬鹿息子を操っていたのはだれだ?それを考えろ。
officeを焚きつけたのは、セキュリティを研究ネタにしたり、
商売にしたり、あるいは施策としていた多くの連中じゃないのか?
漏れの目からみるとofficeは世の中の汚いものを背負い込まされた
だけにしかみえん。本当に悪い連中は他にいる。安全なところで、
ほくそえんでいる連中だ。漏れ本当にofficeがかわいそうに思える。
ネタじゃないぞ。
2ちゃんねらーなら本当の悪を見抜け。
281 :名無しさん@4周年:04/02/06 14:11 ID:awdS9Wh3
282 :名無しさん@4周年:04/02/06 14:13 ID:1d56JLyX
個人的には、これが不正アクセスとは認定されて欲しくない。
サービスを提供する側の怠慢・不注意・無知・ローテク以外の
何者でもないやん。
サービスを提供する側の怠慢・不注意・無知・ローテク以外の
何者でもないやん。
283 :名無しさん@4周年:04/02/06 14:14 ID:nt9JROvn
284 :名無しさん@4周年:04/02/06 14:15 ID:awdS9Wh3
285 :名無しさん@4周年:04/02/06 14:15 ID:5qAGvYnV
「バッファオーバーフロー的なコーディング」
と
「バッファオーバーフロー的なコーディング」
はべつじゃん。
いつの昔か知らないが、その手のプログラムは裏で割り込みが入るとスタックぐちゃぐちゃに
されるので一瞬にして吹き飛ぶ。
いっさい割り込みがかからないパソコンっていったら PC8001 くらいまで戻るか?
全部を自前で管理する組み込み機器ならあり得るけど、そういった話を一般論にもってくるな。
と
「バッファオーバーフロー的なコーディング」
はべつじゃん。
いつの昔か知らないが、その手のプログラムは裏で割り込みが入るとスタックぐちゃぐちゃに
されるので一瞬にして吹き飛ぶ。
いっさい割り込みがかからないパソコンっていったら PC8001 くらいまで戻るか?
全部を自前で管理する組み込み機器ならあり得るけど、そういった話を一般論にもってくるな。
286 :名無しさん@4周年:04/02/06 14:15 ID:cl212Zg+
今回の cgiは、
ACCSに情報を送った時に、何らかの情報(エラー表示?送信内容の確認?)を
表示するためのプログラムで、そんなcgiに一般公開ファイルビューワ機能を
持たせるプログラマはいない。
ACCSに情報を送った時に、何らかの情報(エラー表示?送信内容の確認?)を
表示するためのプログラムで、そんなcgiに一般公開ファイルビューワ機能を
持たせるプログラマはいない。
287 :名無しさん@4周年:04/02/06 14:17 ID:HDRaviI/
288 :名無しさん@4周年:04/02/06 14:17 ID:apwcUW0Z
>>265
3-2-2の方は「当該アクセス制御機能による特定利用の制限を免れることができる情報」を入力していないという判断じゃないかな?
ファイルパスが「当該アクセス制御機能による特定利用の制限を免れることができる情報」にあたるかどうかが争点になる?
3-2-2の方は「当該アクセス制御機能による特定利用の制限を免れることができる情報」を入力していないという判断じゃないかな?
ファイルパスが「当該アクセス制御機能による特定利用の制限を免れることができる情報」にあたるかどうかが争点になる?
290 :名無しさん@4周年:04/02/06 14:18 ID:nt9JROvn
>>281
現在は当たり前じゃないことはことは認めたんだな。それでよし。
現在は当たり前じゃないことはことは認めたんだな。それでよし。
291 :名無しさん@4周年:04/02/06 14:20 ID:N3gUfaiZ
292 :名無しさん@4周年:04/02/06 14:20 ID:awdS9Wh3
>>285
では、線引きを理論的に説明してみたまえ。
「バッファオーバーフローもプログラマーが作った通りに動いている」 と、
「今回のCGIもプログラマーが作った通りに動いている」の違いを。
そもそも、その気になればバッファオーバーフローを起こさないプログラムは不可能ではないですが?
では、線引きを理論的に説明してみたまえ。
「バッファオーバーフローもプログラマーが作った通りに動いている」 と、
「今回のCGIもプログラマーが作った通りに動いている」の違いを。
そもそも、その気になればバッファオーバーフローを起こさないプログラムは不可能ではないですが?
293 :名無しさん@4周年:04/02/06 14:22 ID:awdS9Wh3
だいたい、プログラマーの常識だけで物事を判断するのはおかしい。
294 :名無しさん@4周年:04/02/06 14:23 ID:9G7K729L
>>289
サンプルを繋ぎ合わせたとか参考にした図書が想定していなかったとか。
フリーの掲示板スクリプト等でもたびたび起きている問題だけどね。
例えばこんなのとか。
http://www.cj-c.com/up.htm
サンプルを繋ぎ合わせたとか参考にした図書が想定していなかったとか。
フリーの掲示板スクリプト等でもたびたび起きている問題だけどね。
例えばこんなのとか。
http://www.cj-c.com/up.htm
296 :名無しさん@4周年:04/02/06 14:23 ID:apwcUW0Z
>>292
だからCGIへのファイルパスポスト送信は「当該アクセス制御機能による特定利用の制限を免れることができる情報」にあたらないけれど、
プログラムをバッファオーバーフローさせて計算機に特定のプログラムを実行させるような命令は「当該アクセス制御機能による特定利用の制限を免れることができる情報」に該当するってことだろ。
そこが線引き。
だからCGIへのファイルパスポスト送信は「当該アクセス制御機能による特定利用の制限を免れることができる情報」にあたらないけれど、
プログラムをバッファオーバーフローさせて計算機に特定のプログラムを実行させるような命令は「当該アクセス制御機能による特定利用の制限を免れることができる情報」に該当するってことだろ。
そこが線引き。
>>293
お願いだから非論理的な発言はやめてちょ
お願いだから非論理的な発言はやめてちょ
298 :名無しさん@4周年:04/02/06 14:23 ID:awdS9Wh3
>「バッファオーバーフロー的なコーディング」
>と
>「バッファオーバーフロー的なコーディング」
>はべつじゃん。
これも、何が言いたいのかわからん。
>と
>「バッファオーバーフロー的なコーディング」
>はべつじゃん。
これも、何が言いたいのかわからん。
299 :名無しさん@4周年:04/02/06 14:25 ID:awdS9Wh3
300 :名無しさん@4周年:04/02/06 14:25 ID:1d56JLyX
>>288
>ファイルパスが「当該アクセス制御機能による特定利用の制限を免れることができる情報」
これも厳しいと思うなあ。
nobadyが読み書き出来るファイルで、cgiコールで読めるものがこれにあたるとは思えない。
>ファイルパスが「当該アクセス制御機能による特定利用の制限を免れることができる情報」
これも厳しいと思うなあ。
nobadyが読み書き出来るファイルで、cgiコールで読めるものがこれにあたるとは思えない。
301 :名無しさん@4周年:04/02/06 14:25 ID:N3gUfaiZ
>>295
事件の概要も知らずに語っていたのか…
事件の概要も知らずに語っていたのか…
302 :名無しさん@4周年:04/02/06 14:26 ID:awdS9Wh3
>>301
森川氏って相当なプロだったの?よくわからん><
森川氏って相当なプロだったの?よくわからん><
304 :名無しさん@4周年:04/02/06 14:28 ID:6RZEzxj2
officeも悪いが、その後ろでマニア程度の技術力しか持たない、
育ちのいい馬鹿息子を操っていたのはだれだ?それを考えろ。
officeを焚きつけたのは、セキュリティを研究ネタにしたり、
商売にしたり、あるいは施策としていた多くの連中じゃないのか?
漏れの目からみるとofficeは世の中の汚いものを背負い込まされた
だけにしかみえん。本当に悪い連中は他にいる。安全なところで、
ほくそえんでいる連中だ。漏れ本当にofficeがかわいそうに思える。
本当の2ちゃんねらーは、そんな連中を糾弾するのが役目じゃねぇのか?
育ちのいい馬鹿息子を操っていたのはだれだ?それを考えろ。
officeを焚きつけたのは、セキュリティを研究ネタにしたり、
商売にしたり、あるいは施策としていた多くの連中じゃないのか?
漏れの目からみるとofficeは世の中の汚いものを背負い込まされた
だけにしかみえん。本当に悪い連中は他にいる。安全なところで、
ほくそえんでいる連中だ。漏れ本当にofficeがかわいそうに思える。
本当の2ちゃんねらーは、そんな連中を糾弾するのが役目じゃねぇのか?
305 :名無しさん@4周年:04/02/06 14:28 ID:apwcUW0Z
>>300
nobodyでは読み書きできないファイルでユーザ権限でCGI経由から盗み読んだ
>>301
知らないのはあんたの方では
任意のファイル表示だけではなくコマンドも実行できてしまう欠陥スクリプトだったのさ
nobodyでは読み書きできないファイルでユーザ権限でCGI経由から盗み読んだ
>>301
知らないのはあんたの方では
任意のファイル表示だけではなくコマンドも実行できてしまう欠陥スクリプトだったのさ
307 :名無しさん@4周年:04/02/06 14:29 ID:nt9JROvn
308 :名無しさん@4周年:04/02/06 14:31 ID:awdS9Wh3
>>305
全然説明になっていない。やり直し。
なぜ、ファイルパスの部分の改竄が「アクセス制御を免れる情報が含まれていない」で、
バッファオーバーフローを引き起こす情報の送信が「アクセス制御を免れる情報が含まれる」になるのか、
理由が提示されていない。
そもそも、そこにこだわって判断するのはナンセンス。
全然説明になっていない。やり直し。
なぜ、ファイルパスの部分の改竄が「アクセス制御を免れる情報が含まれていない」で、
バッファオーバーフローを引き起こす情報の送信が「アクセス制御を免れる情報が含まれる」になるのか、
理由が提示されていない。
そもそも、そこにこだわって判断するのはナンセンス。
309 :名無しさん@4周年:04/02/06 14:32 ID:awdS9Wh3
>>知識のあるやつはofficeはCGIが提供する正式なサービスを利用しただけだということが分かる。
知識のあるやつの常識=一般常識
ではない。
法律はシステムエンジニアのみを特別に優遇しない。
に戻る。
知識のあるやつの常識=一般常識
ではない。
法律はシステムエンジニアのみを特別に優遇しない。
に戻る。
をまいら、何かに踊らされているとは思わんか?
これだけ騒がなきゃいけないほどのネタだと思うか?
これだけ騒がなきゃいけないほどのネタだと思うか?
311 :名無しさん@4周年:04/02/06 14:35 ID:nt9JROvn
>>308 が言っていることはプログラマの感覚から言って、変。こじつけ。
いくら通常のプログラマなら納得することを書いても、反論すると思われる。
いくら通常のプログラマなら納得することを書いても、反論すると思われる。
312 :名無しさん@4周年:04/02/06 14:35 ID:lXdTZfMM
崎山氏がoffice擁護発言をilcでやったらしいんだが誰かアップしてくれんか
313 :名無しさん@4周年:04/02/06 14:36 ID:awdS9Wh3
314 :名無しさん@4周年:04/02/06 14:36 ID:awdS9Wh3
315 :名無しさん@4周年:04/02/06 14:36 ID:apwcUW0Z
>>308
なぜそこにこだわるのがナンセンスなの?
条文に書いてあるんだから、当然だろ。
バッファオーバーフローの場合は、アクセス制御を免れるために一定の長さのデータを送信するとか特定のデータを送信する必要があるよな。
だから「当該アクセス制御機能による特定利用の制限を免れることができる情報」を送信しているといえる。
今回の場合、条文のいうところの「制限されている特定利用をし得る状態にさせる行為」がないわけで、あらかじめ特定行為が可能な状態であったわけだ。
そういった場合に予め可能なアクセスをすることは不正アクセス防止法に触れない。
なぜそこにこだわるのがナンセンスなの?
条文に書いてあるんだから、当然だろ。
バッファオーバーフローの場合は、アクセス制御を免れるために一定の長さのデータを送信するとか特定のデータを送信する必要があるよな。
だから「当該アクセス制御機能による特定利用の制限を免れることができる情報」を送信しているといえる。
今回の場合、条文のいうところの「制限されている特定利用をし得る状態にさせる行為」がないわけで、あらかじめ特定行為が可能な状態であったわけだ。
そういった場合に予め可能なアクセスをすることは不正アクセス防止法に触れない。
316 :名無しさん@4周年:04/02/06 14:37 ID:WGedswbk
>>306
>nobodyでは読み書きできないファイルでユーザ権限でCGI経由から盗み読んだ
それはちょっと違うんじゃ。
officeはユーザ権限(って何のユーザか知らんけど)を取得してアクセスしたわけじゃない。
>nobodyでは読み書きできないファイルでユーザ権限でCGI経由から盗み読んだ
それはちょっと違うんじゃ。
officeはユーザ権限(って何のユーザか知らんけど)を取得してアクセスしたわけじゃない。
318 :名無しさん@4周年:04/02/06 14:39 ID:QA1mmltm
319 :名無しさん@4周年:04/02/06 14:41 ID:awdS9Wh3
本件CGIに対しても、「アクセス制御を免れるために一定の長さのデータを送信するとか特定のデータを送信」しているのですが?
アクセス制御機能がなければそんなことしませんが何か?
つーか、あまいはアクセス制御機能と聞いてなぜCGIのことしか考えないのか?
アクセス制御機能がなければそんなことしませんが何か?
つーか、あまいはアクセス制御機能と聞いてなぜCGIのことしか考えないのか?
>>312
んでFLMASKの時みたいに無罪主張しても敗訴で長引き
結局有罪確定で時間と金を無駄にするという結末だろうね。
敗訴しても担当弁護士はしたり顔で語りネットワーク犯罪に明るい人という評判のみが残る。
おかしな取り巻きに焚きつけられて馬鹿を見ないことを願うよ。
んでFLMASKの時みたいに無罪主張しても敗訴で長引き
結局有罪確定で時間と金を無駄にするという結末だろうね。
敗訴しても担当弁護士はしたり顔で語りネットワーク犯罪に明るい人という評判のみが残る。
おかしな取り巻きに焚きつけられて馬鹿を見ないことを願うよ。
321 :名無しさん@4周年:04/02/06 14:41 ID:apwcUW0Z
ひょっとして違法だって言ってるのはawdS9Wh3だけで、しかもこいつは電波くん?
一生懸命説明してなんか損した……
一生懸命説明してなんか損した……
322 :名無しさん@4周年:04/02/06 14:41 ID:TQXvAeE3
あれがセキュリティの啓蒙活動か...こいつもこれで終わったな。
officeも悪いが、その後ろでマニア程度の技術力しか持たない、
育ちのいい京都のボンボンを操っていたのはだれだ?それを考えろ。
officeを焚きつけたのは、セキュリティを研究ネタにしたり、
商売にしたり、あるいは施策としていた周りの連中じゃないのか?
漏れの目からみるとofficeは世の中の汚いものを背負い込まされた
だけにしかみえん。本当に悪い連中は他にいる。安全なところで、
ほくそえんでいる連中だ。漏れは本当にofficeがかわいそうに思える。
本当の2ちゃんねらーは、そんな連中を糾弾するのが役目じゃねぇのか?
ネタじゃねぇぞ。
officeも悪いが、その後ろでマニア程度の技術力しか持たない、
育ちのいい京都のボンボンを操っていたのはだれだ?それを考えろ。
officeを焚きつけたのは、セキュリティを研究ネタにしたり、
商売にしたり、あるいは施策としていた周りの連中じゃないのか?
漏れの目からみるとofficeは世の中の汚いものを背負い込まされた
だけにしかみえん。本当に悪い連中は他にいる。安全なところで、
ほくそえんでいる連中だ。漏れは本当にofficeがかわいそうに思える。
本当の2ちゃんねらーは、そんな連中を糾弾するのが役目じゃねぇのか?
ネタじゃねぇぞ。
323 :名無しさん@4周年:04/02/06 14:43 ID:awdS9Wh3
325 :名無しさん@4周年:04/02/06 14:44 ID:awdS9Wh3
327 :名無しさん@4周年:04/02/06 14:44 ID:apwcUW0Z
328 :名無しさん@4周年:04/02/06 14:45 ID:awdS9Wh3
329 :名無しさん@4周年:04/02/06 14:45 ID:N3gUfaiZ
330 :名無しさん@4周年:04/02/06 14:45 ID:I5D3CYEz
何言ってるんだか、さっぱり理解できなくて、取調べが進まないらしい w
332 :名無しさん@4周年:04/02/06 14:47 ID:nt9JROvn
333 :名無しさん@4周年:04/02/06 14:47 ID:awdS9Wh3
334 :名無しさん@4周年:04/02/06 14:48 ID:apwcUW0Z
>>326
予めスティキービッドの設定してあるプログラムを実行したからといって、それが権限上昇アタックに含まれるというのは無茶な話。
予めスティキービッドの設定してあるプログラムを実行したからといって、それが権限上昇アタックに含まれるというのは無茶な話。
336 :名無しさん@4周年:04/02/06 14:49 ID:lXdTZfMM
officeのサーバが動いてるのへんだな
サーバを置き場所としてる可能性に警察気づいてないのかな
俺ならネット上に分散させるよ>警察
トランクWEBをよーく調べな
サーバを置き場所としてる可能性に警察気づいてないのかな
俺ならネット上に分散させるよ>警察
トランクWEBをよーく調べな
337 :名無しさん@4周年:04/02/06 14:49 ID:k6GKnDE1
338 :名無しさん@4周年:04/02/06 14:53 ID:apwcUW0Z
awdS9Wh3の戦略はいわゆるゲッペルス作戦だな。
恐らく何度も論破されているはずだが、ウソも100回言えば真実になると信じて戦いつづけているのではないか。
恐らく何度も論破されているはずだが、ウソも100回言えば真実になると信じて戦いつづけているのではないか。
339 :名無しさん@4周年:04/02/06 14:53 ID:/zAXEi2R
CGIがどうだったか?なんてタイホのためのコジツケじゃないのか?
そのCGIがどうあれ個人情報の書かれたlogだかなんだかは公開情報じゃなかったのが?
Webサーバって情報公開するサーバだろ、で、公開していないのであれば
どのようなセキュリティポリシーで公開していないのか明確になっていなくてはならないんじゃ
ないの?サーバ管理者がここは公開してませーん!!って思ってただけじゃすまいだろ
使用してたWebサーバが何か?とかどんな環境だったか良く知らないが
ブラウザで直接たたいて表示できる状態とは違ってたの?
そのCGIもサーバ会社から提供されてデフォルトのファイル名のまま使用してたってことでしょ
だから簡単にlogファイルの在処がわかっちゃう状態だって話じゃないの?
でタイホされちゃんだ〜って話じゃないの?
認証をすり抜けたとか暗号を解読したとか
何かセキュリティポリシーを潜り抜けたってことでもしたの?
京大研究員もレベルの低いことでタイホされちゃってwこんなの何も解らない厨房が
あれ!!なんだろ、何か変だぞ〜面白いや〜って遊んでで個人情報が見れちゃった
のと同じレベルに感じるか・・・・
まあ、こんなんでタイホされちゃうのはどうかと思うが・・・・
そのCGIがどうあれ個人情報の書かれたlogだかなんだかは公開情報じゃなかったのが?
Webサーバって情報公開するサーバだろ、で、公開していないのであれば
どのようなセキュリティポリシーで公開していないのか明確になっていなくてはならないんじゃ
ないの?サーバ管理者がここは公開してませーん!!って思ってただけじゃすまいだろ
使用してたWebサーバが何か?とかどんな環境だったか良く知らないが
ブラウザで直接たたいて表示できる状態とは違ってたの?
そのCGIもサーバ会社から提供されてデフォルトのファイル名のまま使用してたってことでしょ
だから簡単にlogファイルの在処がわかっちゃう状態だって話じゃないの?
でタイホされちゃんだ〜って話じゃないの?
認証をすり抜けたとか暗号を解読したとか
何かセキュリティポリシーを潜り抜けたってことでもしたの?
京大研究員もレベルの低いことでタイホされちゃってwこんなの何も解らない厨房が
あれ!!なんだろ、何か変だぞ〜面白いや〜って遊んでで個人情報が見れちゃった
のと同じレベルに感じるか・・・・
まあ、こんなんでタイホされちゃうのはどうかと思うが・・・・
340 :名無しさん@4周年:04/02/06 14:54 ID:lXdTZfMM
officeのサーバ預かってる奴
君も事情聴取だね
君も事情聴取だね
341 :名無しさん@4周年:04/02/06 14:54 ID:awdS9Wh3
もう一度言うから、耳を掃除して聞きなさい。
1.通常情報入手の為に用いられるFTPやTELNET接続等にはアクセス制御機能が設けてあり、個人情報を入手できない。
2.しかし、CGIには(管理者にとっての)不具合が有り、この不具合を突くことで1.のアクセス制御機能を回避して個人情報を入手できる。
3.この時点で、不正アクセスに該当。
4.ここで、あえて不正アクセスでは無いと主張するためには、2.の不具合の存在が当然のこととして一般に認知される必要がある。
1.通常情報入手の為に用いられるFTPやTELNET接続等にはアクセス制御機能が設けてあり、個人情報を入手できない。
2.しかし、CGIには(管理者にとっての)不具合が有り、この不具合を突くことで1.のアクセス制御機能を回避して個人情報を入手できる。
3.この時点で、不正アクセスに該当。
4.ここで、あえて不正アクセスでは無いと主張するためには、2.の不具合の存在が当然のこととして一般に認知される必要がある。
342 :名無しさん@4周年:04/02/06 14:54 ID:NiipYi81
343 :名無しさん@4周年:04/02/06 14:55 ID:yeH2o1Rp
ファイル自体のパーミションだけでなくて、ディレクトリの
アクセス制御とかも関係してきません?
アクセス制御とかも関係してきません?
345 :名無しさん@4周年:04/02/06 14:55 ID:awdS9Wh3
346 :名無しさん@4周年:04/02/06 14:57 ID:TQXvAeE3
> 4.ここで、あえて不正アクセスでは無いと主張するためには、2.の不具合の存在が当然のこととして一般に認知される必要がある。
あの法律はソフトウェアのバグをはじめから想定していて、そのバグを使うと
法律にひっかかるようになっているんだけどな。法律が制定されるまでの
国会での議事を確認したことあるやつなんて、2ちゃんねらーで俺ぐらいかもな。
(おれも暇だな)
不具合ではなく「仕様である」ぐらいまで明確じゃないとたぶん、駄目だろうなぁ。
あの法律はソフトウェアのバグをはじめから想定していて、そのバグを使うと
法律にひっかかるようになっているんだけどな。法律が制定されるまでの
国会での議事を確認したことあるやつなんて、2ちゃんねらーで俺ぐらいかもな。
(おれも暇だな)
不具合ではなく「仕様である」ぐらいまで明確じゃないとたぶん、駄目だろうなぁ。
347 :名無しさん@4周年:04/02/06 14:58 ID:NiipYi81
>>341
何度いっても意味不明なんだよ、基地外。
UNIX の基本的な仕組みも、CGI の仕組みも理解できてないようだが、
本当にアクセス制御をかければ、当該事件で問題になっているCGIの
仕様では、データを表示させることは出来ないの。nobody 権限か何か
分からないが、CGI のユーザ権限で空けられないファイルは、問題の
CGI では空けられない。
以上のことを理解した上で、もう一度、別の電波を受信してこいや、工作員。
何度いっても意味不明なんだよ、基地外。
UNIX の基本的な仕組みも、CGI の仕組みも理解できてないようだが、
本当にアクセス制御をかければ、当該事件で問題になっているCGIの
仕様では、データを表示させることは出来ないの。nobody 権限か何か
分からないが、CGI のユーザ権限で空けられないファイルは、問題の
CGI では空けられない。
以上のことを理解した上で、もう一度、別の電波を受信してこいや、工作員。
>>341
そこまで分かっているのにどうして関係ない話ばかりしてるんだよ…orz
そこまで分かっているのにどうして関係ない話ばかりしてるんだよ…orz
349 :名無しさん@4周年:04/02/06 15:00 ID:5b+CkSOq
河合が園児だったら逮捕されずにすんだのに・・・
350 :名無しさん@4周年:04/02/06 15:00 ID:QA1mmltm
351 :名無しさん@4周年:04/02/06 15:01 ID:NiipYi81
>>343
明らかに間違っている。今回のような事例で、一方的にアクセスする側の
責任にすることは、CGI 作成者のモラル低下の一因になりかねない。
受け取ったデータをサニタイズせずに open() に渡す等というプログラムは
ありえないプログラムで、CGI 作成者の責任は非常に重大である。
明らかに間違っている。今回のような事例で、一方的にアクセスする側の
責任にすることは、CGI 作成者のモラル低下の一因になりかねない。
受け取ったデータをサニタイズせずに open() に渡す等というプログラムは
ありえないプログラムで、CGI 作成者の責任は非常に重大である。
352 :名無しさん@4周年:04/02/06 15:01 ID:awdS9Wh3
>>347
「本当にアクセス制御」だろうがショーモナイアクセス制御だろうが、アクセス制御機能に変わりはありませんが何か?
その辺にこだわるのは社会性のないプログラマだけで、必ずしも一般常識では無いのですが。
「本当にアクセス制御」だろうがショーモナイアクセス制御だろうが、アクセス制御機能に変わりはありませんが何か?
その辺にこだわるのは社会性のないプログラマだけで、必ずしも一般常識では無いのですが。
353 :名無しさん@4周年:04/02/06 15:01 ID:rDjil0Zl
おまえらCGIのソース読んだの?どこにあんの?
355 :名無しさん@4周年:04/02/06 15:02 ID:awdS9Wh3
356 :名無しさん@4周年:04/02/06 15:03 ID:QA1mmltm
>>352
だからただの自分の無知を一般常識にスリ替えるなよ。
だからただの自分の無知を一般常識にスリ替えるなよ。
357 :名無しさん@4周年:04/02/06 15:04 ID:apwcUW0Z
>>341
条文読めよ……、周知かどうかが関係あるなんて何処にかいてあるよ。
そんなのは関係ない。
制限を免れるための情報が送信されているかどうかが問題。
つまり、バッファオーバーフローのように送信したデータがエラーを引き起こして、
その結果として制限を回避した場合はアウト。
今回の場合は、CGI自体があらかじめ制限を回避している。
制限を回避するための情報は送信されていない(単に見たいファイルのパスが送信されているだけ)。
なのでセーフ。
条文読めよ……、周知かどうかが関係あるなんて何処にかいてあるよ。
そんなのは関係ない。
制限を免れるための情報が送信されているかどうかが問題。
つまり、バッファオーバーフローのように送信したデータがエラーを引き起こして、
その結果として制限を回避した場合はアウト。
今回の場合は、CGI自体があらかじめ制限を回避している。
制限を回避するための情報は送信されていない(単に見たいファイルのパスが送信されているだけ)。
なのでセーフ。
358 :名無しさん@4周年:04/02/06 15:04 ID:awdS9Wh3
359 :名無しさん@4周年:04/02/06 15:05 ID:awdS9Wh3
360 :名無しさん@4周年:04/02/06 15:05 ID:yFWWvhyZ
>>352
いや、アクセス制御されてないから単なるcgiコールで読めるんだってば。
いや、アクセス制御されてないから単なるcgiコールで読めるんだってば。
パスワードも知らない人間が、URLを叩くだけでファイルを読み出せる
状態にしておきながら、それを不正アクセスとするのはいかがなものか。
ズサンな管理のサイトで、偶然ヘンなファイルが表示されちゃう事は
まれにある。たとえば検索エンジンで「戻る」リンクの無い単独ページに
飛んで、そこが面白かったので上のページも見たくなった場合とか。
URLの/xxx/yyy/zzz/を順に縮めながら上がっていこうとしたら、偶然
ディレクトリ一覧がでてしまったとか。こういうのも「公開してないファイルを
閲覧したのだから不正アクセスです。タイーホします」となるのか?
状態にしておきながら、それを不正アクセスとするのはいかがなものか。
ズサンな管理のサイトで、偶然ヘンなファイルが表示されちゃう事は
まれにある。たとえば検索エンジンで「戻る」リンクの無い単独ページに
飛んで、そこが面白かったので上のページも見たくなった場合とか。
URLの/xxx/yyy/zzz/を順に縮めながら上がっていこうとしたら、偶然
ディレクトリ一覧がでてしまったとか。こういうのも「公開してないファイルを
閲覧したのだから不正アクセスです。タイーホします」となるのか?
362 :名無しさん@4周年:04/02/06 15:07 ID:emQe6oB8
パーミッション設定してなかったら見えるわな。
そういうファイルだったってことか。
そういうファイルだったってことか。
363 :名無しさん@4周年:04/02/06 15:07 ID:apwcUW0Z
>>359
当然知ってますが何か?
当然知ってますが何か?
364 :名無しさん@4周年:04/02/06 15:07 ID:yeH2o1Rp
>>437
君の理論だと、CGIで扱えるサファイルがなくなるよ。
よく理解してないね、通常CGIの権限としてファイルを読み書きする権限を
与える。
*これはCGIの設置目的を考えると必要なこと
ログファイルにはhttpなどの通常のユーザー権限ではアクセス出来ない。
*これが、httpアクセスでURLファイル直接指定で読めない時点で
ユーザーに権限がないという事を立証できる。
君の理論だと、CGIで扱えるサファイルがなくなるよ。
よく理解してないね、通常CGIの権限としてファイルを読み書きする権限を
与える。
*これはCGIの設置目的を考えると必要なこと
ログファイルにはhttpなどの通常のユーザー権限ではアクセス出来ない。
*これが、httpアクセスでURLファイル直接指定で読めない時点で
ユーザーに権限がないという事を立証できる。
365 :名無しさん@4周年:04/02/06 15:07 ID:awdS9Wh3
>>358
どうも分かってないみたいだけど、
office氏を不正アクセス禁止法違反で立件するためには
鯖側がその情報を非公開にしていることを
office氏が事前に知っていなければならないのですよ。
後になって鯖側があれは非公開だったと何度言っても、
アクセスした時点でoffice氏がそれを知らなければ有罪にはならないのね。
どうも分かってないみたいだけど、
office氏を不正アクセス禁止法違反で立件するためには
鯖側がその情報を非公開にしていることを
office氏が事前に知っていなければならないのですよ。
後になって鯖側があれは非公開だったと何度言っても、
アクセスした時点でoffice氏がそれを知らなければ有罪にはならないのね。
367 :名無しさん@4周年:04/02/06 15:08 ID:xgpitfxY
まあ落ち着きましょうぜい。
どうも不正アクセス禁止法というのはアクセス制御の「実際の
有効性」には関係ないような気がするのですが、この解釈OK?
そのアクセス制御がどんなに杜撰でアナだらけであろうと、
アクセスを実際に「制御する(そして自分にはアクセスを許可
しない)」という意図が非正規利用者側に伝わっている限り
その意図を看過して何らかの手段で当該ファイルにアクセス
した場合は不正アクセスとなる、みたいな感じがします。
DMCAの「著作権プロテクトとして提供されている機構は
どんなに杜撰でもプロテクトであり、それを意図的に外そう
とする行為は全部不法行為」みたいな感じで。
どうも不正アクセス禁止法というのはアクセス制御の「実際の
有効性」には関係ないような気がするのですが、この解釈OK?
そのアクセス制御がどんなに杜撰でアナだらけであろうと、
アクセスを実際に「制御する(そして自分にはアクセスを許可
しない)」という意図が非正規利用者側に伝わっている限り
その意図を看過して何らかの手段で当該ファイルにアクセス
した場合は不正アクセスとなる、みたいな感じがします。
DMCAの「著作権プロテクトとして提供されている機構は
どんなに杜撰でもプロテクトであり、それを意図的に外そう
とする行為は全部不法行為」みたいな感じで。
369 :名無しさん@4周年:04/02/06 15:09 ID:awdS9Wh3
370 :名無しさん@4周年:04/02/06 15:10 ID:xgpitfxY
>>352
それは、アクセス制御機能ではないのだ。
それは、アクセス制御機能ではないのだ。
371 :名無しさん@4周年:04/02/06 15:10 ID:yeH2o1Rp
>>351
それは運営側の責任の問題であり、だからといって不正アクセスが
許される根拠にはならないじゃん。
モラルと既に制定されている法律を混合してますね。
このモラル低下による情報流出、特に個人情報を懸念されて出来たのが
個人情報保護法。
もっと、厳密にしたいと思うのなら別の法律が必要です。
それは運営側の責任の問題であり、だからといって不正アクセスが
許される根拠にはならないじゃん。
モラルと既に制定されている法律を混合してますね。
このモラル低下による情報流出、特に個人情報を懸念されて出来たのが
個人情報保護法。
もっと、厳密にしたいと思うのなら別の法律が必要です。
無能管理者はネットで個人情報管理するな。
373 :名無しさん@4周年:04/02/06 15:11 ID:awdS9Wh3
374 :名無しさん@4周年:04/02/06 15:11 ID:tj9SFnIs
ま た 悪 法 か
元々officeと某新聞社や某放送局との関係や、一度沈静化した(ように見えた)ネタにさらに火をつけた事、
それと>>202あたりを見ると何か見えてくるんだけどな。
怖くてココじゃあ書けねーや。(w
この件で報道が騒いでいる目的や得する奴らって誰だ?
逮捕の瞬間だって待ってましたといわんばっかりの報道ぶりだったしな。
法律云々、cgi云々というより、こじつけでも逮捕-有罪に結びつける事ができたら喜ぶ連中多いんだろうな。
それと>>202あたりを見ると何か見えてくるんだけどな。
怖くてココじゃあ書けねーや。(w
この件で報道が騒いでいる目的や得する奴らって誰だ?
逮捕の瞬間だって待ってましたといわんばっかりの報道ぶりだったしな。
法律云々、cgi云々というより、こじつけでも逮捕-有罪に結びつける事ができたら喜ぶ連中多いんだろうな。
ftp,telnetポートは閉じていたのに、httpポートから不正にアクセスされました。ウワーン
ファイル権限が666でも、webルートより上にあるファイルを
../攻撃なんかで読むのは、あれぁ不正アクセスなんでしょかね。
../攻撃なんかで読むのは、あれぁ不正アクセスなんでしょかね。
378 :名無しさん@4周年:04/02/06 15:12 ID:awdS9Wh3
379 :名無しさん@4周年:04/02/06 15:13 ID:xgpitfxY
>>368
『鍵がかかっているということは、入ってはいけないということだ。たとえ鍵がボロで、
簡単に破れるものだったとしても、だからといって鍵を壊して進入すれば、それは
犯罪』
と、いうことでしょうね。
だけど、今回の件って、「そもそも鍵がかかっていなかっんじゃないのか?」という
のが争点になるわけでしょう? それともパスワードか何かがかかっていたの?
『鍵がかかっているということは、入ってはいけないということだ。たとえ鍵がボロで、
簡単に破れるものだったとしても、だからといって鍵を壊して進入すれば、それは
犯罪』
と、いうことでしょうね。
だけど、今回の件って、「そもそも鍵がかかっていなかっんじゃないのか?」という
のが争点になるわけでしょう? それともパスワードか何かがかかっていたの?
380 :名無しさん@4周年:04/02/06 15:13 ID:DAxcX+wS
つまんねーカスしかいないから帰るわ
381 :名無しさん@4周年:04/02/06 15:13 ID:xkCAqiYx
382 :名無しさん@4周年:04/02/06 15:14 ID:apwcUW0Z
>>368
実際の有効性に関係あるよ。
だから3-2-2の条文に
「特定利用の制限を免れることができる情報又は指令を入力して」
という要件があるわけだ。
回避するための情報を入力せずにアクセスできるような、あからじめ空いてる穴は法律では守ってくれない。
例えばファイル共有したまんまの人が他の人にファイルをいじられてもそれは仕方ない。
法律はそこまで守ってくれないよ。
著作権のプロテクトだって、例えばDVDのプロテクトもCCCDのプロテクトも法的保護を受けられない。
だからコピーし放題。
実際の有効性に関係あるよ。
だから3-2-2の条文に
「特定利用の制限を免れることができる情報又は指令を入力して」
という要件があるわけだ。
回避するための情報を入力せずにアクセスできるような、あからじめ空いてる穴は法律では守ってくれない。
例えばファイル共有したまんまの人が他の人にファイルをいじられてもそれは仕方ない。
法律はそこまで守ってくれないよ。
著作権のプロテクトだって、例えばDVDのプロテクトもCCCDのプロテクトも法的保護を受けられない。
だからコピーし放題。
383 :名無しさん@4周年:04/02/06 15:14 ID:awdS9Wh3
これが不正アクセス禁止にあたるとなると、
法に胡坐を掻いたWeb管理者の認識が甘くなり、
『本当の悪人』に痛い目を見せられる日が遠くないですな。
マスコミと警察のタッグは今ニヤニヤがとまらないかもしれんが、
後で自分たちが間違ってたことに気づくよ。
法に胡坐を掻いたWeb管理者の認識が甘くなり、
『本当の悪人』に痛い目を見せられる日が遠くないですな。
マスコミと警察のタッグは今ニヤニヤがとまらないかもしれんが、
後で自分たちが間違ってたことに気づくよ。
385 :名無しさん@4周年:04/02/06 15:15 ID:rDjil0Zl
なんだ誰もCGIのソースは読まずに議論してるのか。
386 :名無しさん@4周年:04/02/06 15:16 ID:N3gUfaiZ
387 :名無しさん@4周年:04/02/06 15:16 ID:yFWWvhyZ
>>369
>なぜ、アクセス制御機能と聞いてCGIしか考えないの?
officeはcgiコールしただけだからだ。
ユーザ権限の不正取得も不正利用も無い。
そしてこのcgiにアクセス制御は無い。
telnetもftpもsmtpも関係ない。
あほちん。
>なぜ、アクセス制御機能と聞いてCGIしか考えないの?
officeはcgiコールしただけだからだ。
ユーザ権限の不正取得も不正利用も無い。
そしてこのcgiにアクセス制御は無い。
telnetもftpもsmtpも関係ない。
あほちん。
388 :名無しさん@4周年:04/02/06 15:16 ID:awdS9Wh3
389 :名無しさん@4周年:04/02/06 15:16 ID:yeH2o1Rp
>>361
>ディレクトリ一覧がでてしまったとか。こういうのも「公開してないファイルを
>閲覧したのだから不正アクセスです。タイーホします」となるのか?
一覧に出てきたファイルをクリックして読めるのならなりません。
httpのアクセスに対しパーミッションの設定を明らかに、ユーザーも
読める状態になっています。
しかし
>URLを叩くだけでファイルを読み出せる
>状態にしておきながら、それを不正アクセスとするのはいかがなものか。
こっちは、不正アクセスになる場合があります。
今回のようなCGI経由の場合、CGIへIDとPASSをパラメーターで渡す場合も
起こりえるからです。
>ディレクトリ一覧がでてしまったとか。こういうのも「公開してないファイルを
>閲覧したのだから不正アクセスです。タイーホします」となるのか?
一覧に出てきたファイルをクリックして読めるのならなりません。
httpのアクセスに対しパーミッションの設定を明らかに、ユーザーも
読める状態になっています。
しかし
>URLを叩くだけでファイルを読み出せる
>状態にしておきながら、それを不正アクセスとするのはいかがなものか。
こっちは、不正アクセスになる場合があります。
今回のようなCGI経由の場合、CGIへIDとPASSをパラメーターで渡す場合も
起こりえるからです。
390 :名無しさん@4周年:04/02/06 15:16 ID:lXdTZfMM
officeはどのマスコミと仲が良かったの?
392 :名無しさん@4周年:04/02/06 15:17 ID:apwcUW0Z
>>386
京大法学部教授もすでに結論を出し終えているわけだけどw
京大法学部教授もすでに結論を出し終えているわけだけどw
393 :名無しさん@4周年:04/02/06 15:17 ID:awdS9Wh3
不具合を知りつつ運用を続けた時点で、運用側の不作為があるな。しかも価値の無い
記号の羅列ならまだしも個人情報だから、なおさら悪い。
アクセスの手法云々よりも、運用側が(個人情報)保護責任を不問にする為にって意図が
みえみえなんだよねw
記号の羅列ならまだしも個人情報だから、なおさら悪い。
アクセスの手法云々よりも、運用側が(個人情報)保護責任を不問にする為にって意図が
みえみえなんだよねw
395 :名無しさん@4周年:04/02/06 15:19 ID:awdS9Wh3
396 :名無しさん@4周年:04/02/06 15:19 ID:apwcUW0Z
>>393
お前コンピュータだけじゃなくて、法律もしらないだろw
お前コンピュータだけじゃなくて、法律もしらないだろw
397 :名無しさん@4周年:04/02/06 15:20 ID:i0PBac06
つまんねーカスしかいないから帰るわ
398 :名無しさん@4周年:04/02/06 15:20 ID:nt9JROvn
>>357
そう、それが俺も不思議なんだよ。
周知が何で関係すんだよ。
周知されていたらアクセス制限がないことになるとは到底思えない。
そんなことには関係なく、アクセス制限があるかどうかは決められるはず。
今までに出てきた説明出されても納得できないかなね。
そう、それが俺も不思議なんだよ。
周知が何で関係すんだよ。
周知されていたらアクセス制限がないことになるとは到底思えない。
そんなことには関係なく、アクセス制限があるかどうかは決められるはず。
今までに出てきた説明出されても納得できないかなね。
399 :名無しさん@4周年:04/02/06 15:20 ID:awdS9Wh3
>>382
当該条文がリモートアクセスを前提にしているので、ともかく何らかの
情報送信は必須なわけですよね。で、検察側はここを限りなく拡大解釈して
くると思うのです。「ある情報送信の結果として、アクセス管理者が
アクセス制御を行っていたつもりのリソースにアクセスが可能になった
のであれば、その情報は特定利用の制限を免れることができる情報又は
指令といえる」という風に解釈するんじゃないでしょうか?
当該条文がリモートアクセスを前提にしているので、ともかく何らかの
情報送信は必須なわけですよね。で、検察側はここを限りなく拡大解釈して
くると思うのです。「ある情報送信の結果として、アクセス管理者が
アクセス制御を行っていたつもりのリソースにアクセスが可能になった
のであれば、その情報は特定利用の制限を免れることができる情報又は
指令といえる」という風に解釈するんじゃないでしょうか?
っていうかOfficeも警察とグルとか?
403 :名無しさん@4周年:04/02/06 15:22 ID:emQe6oB8
ofiiceはいい、これから裁かれるんだから。
ACCSやファストサーバはどうよ、被害者面して。
おまいらが個人情報をちゃんと管理できてなかったじゃないか。
そこらへんどうよマスゴミ諸君。
ACCSやファストサーバはどうよ、被害者面して。
おまいらが個人情報をちゃんと管理できてなかったじゃないか。
そこらへんどうよマスゴミ諸君。
404 :名無しさん@4周年:04/02/06 15:22 ID:yFWWvhyZ
405 :名無しさん@4周年:04/02/06 15:22 ID:awdS9Wh3
406 :名無しさん@4周年:04/02/06 15:22 ID:apwcUW0Z
407 :名無しさん@4周年:04/02/06 15:22 ID:xgpitfxY
>>393
たぶん釣りなんだろうなと、思いつつマジレス。
インターネットの不特定多数に公開されているウェブサーバーがあり、
ウェヴサーバーのデータはCGI経由で自由に呼ぶ出せるようになっており、
CGIには何らアクセス制御はかかっていなかった。
それだけの話では? telnetもFTPも関係ない。それともなにかい? telnetや
FTPでパスワードを使用しているウェブサイトにアクセスしてファイルを読むと
不正アクセスだと主張するわけ? そりゃ無理筋では?
たぶん釣りなんだろうなと、思いつつマジレス。
インターネットの不特定多数に公開されているウェブサーバーがあり、
ウェヴサーバーのデータはCGI経由で自由に呼ぶ出せるようになっており、
CGIには何らアクセス制御はかかっていなかった。
それだけの話では? telnetもFTPも関係ない。それともなにかい? telnetや
FTPでパスワードを使用しているウェブサイトにアクセスしてファイルを読むと
不正アクセスだと主張するわけ? そりゃ無理筋では?
408 :名無しさん@4周年:04/02/06 15:24 ID:/zAXEi2R
CGIにそのCGIファイル名をかましたらCGIのリストが表示したって時点でそのCGIには
実行権だけではなくread権も与えられてたんじゃないの?
公開サーバにREAD権が与えられたファイルが存在する、これすなわち公開情報
実行権だけではなくread権も与えられてたんじゃないの?
公開サーバにREAD権が与えられたファイルが存在する、これすなわち公開情報
409 :名無しさん@4周年:04/02/06 15:24 ID:N3gUfaiZ
410 :名無しさん@4周年:04/02/06 15:25 ID:apwcUW0Z
411 :名無しさん@4周年:04/02/06 15:25 ID:awdS9Wh3
412 :名無しさん@4周年:04/02/06 15:26 ID:nt9JROvn
413 :名無しさん@4周年:04/02/06 15:27 ID:awdS9Wh3
>>411
ちょっと待て、取り出したデータが個人情報じゃなかったら不正アクセスじゃないのか?
ちょっと待て、取り出したデータが個人情報じゃなかったら不正アクセスじゃないのか?
415 :名無しさん@4周年:04/02/06 15:28 ID:awdS9Wh3
417 :名無しさん@4周年:04/02/06 15:29 ID:apwcUW0Z
>>409
んー、というか、
法律とコンピューター両方の知識があれば不正アクセス禁止法を適用できない事例であるのは明白であるにもかかわらず、
逮捕という事態になっているからみんなが騒いでいるのであって、
この場で無知な人を説得できないのは力不足だと思うけど、
結論としては当然というか、どう考えてもそうなるというか、共通認識なのであって、
多分不起訴になるんだろうけど、逮捕したこと自体が横暴で、警察どうなっとんねんと、
そういう話なんだと思うよ。
んー、というか、
法律とコンピューター両方の知識があれば不正アクセス禁止法を適用できない事例であるのは明白であるにもかかわらず、
逮捕という事態になっているからみんなが騒いでいるのであって、
この場で無知な人を説得できないのは力不足だと思うけど、
結論としては当然というか、どう考えてもそうなるというか、共通認識なのであって、
多分不起訴になるんだろうけど、逮捕したこと自体が横暴で、警察どうなっとんねんと、
そういう話なんだと思うよ。
418 :名無しさん@4周年:04/02/06 15:29 ID:awdS9Wh3
419 :名無しさん@4周年:04/02/06 15:31 ID:awdS9Wh3
>>412
その差異は裁判官は気にしないと思いますよぅ。フォーマット文字列攻撃の
文字列もバッファオーバーフロー狙ってスタック位置計算した文字列も
POST文字列も、たぶん彼らには同じですよ。POSTによる仕込みって点で
強い「作為」を感じさせちゃうでしょうしね。
その差異は裁判官は気にしないと思いますよぅ。フォーマット文字列攻撃の
文字列もバッファオーバーフロー狙ってスタック位置計算した文字列も
POST文字列も、たぶん彼らには同じですよ。POSTによる仕込みって点で
強い「作為」を感じさせちゃうでしょうしね。
422 :名無しさん@4周年:04/02/06 15:32 ID:yeH2o1Rp
>>417
逆じゃない?
>法律とコンピューター両方の知識があれば不正アクセス禁止法を
>適用できない事例であるのは明白であるにもかかわらず、
これって、適用されると多くの人は考えてるし、警察もそう判断したから
逮捕してる。
現実を見つめましょう。
逆じゃない?
>法律とコンピューター両方の知識があれば不正アクセス禁止法を
>適用できない事例であるのは明白であるにもかかわらず、
これって、適用されると多くの人は考えてるし、警察もそう判断したから
逮捕してる。
現実を見つめましょう。
423 :名無しさん@4周年:04/02/06 15:33 ID:awdS9Wh3
424 :名無しさん@4周年:04/02/06 15:33 ID:cLJeO5K+
アクセス制限無しのCGIを呼んだだけで取り出せるデータまで法律が守る?
ばかばかしい。
ばかばかしい。
>>418
それならどんな情報が格納されているかあらかじめ知ってからアクセスするということはアクセス制御には無関係では?
ソース見てその情報を隠す意図があったかどうか判断できないと思うが?
むしろ公開する意図があるように読めたかも知れない
それならどんな情報が格納されているかあらかじめ知ってからアクセスするということはアクセス制御には無関係では?
ソース見てその情報を隠す意図があったかどうか判断できないと思うが?
むしろ公開する意図があるように読めたかも知れない
426 :名無しさん@4周年:04/02/06 15:34 ID:awdS9Wh3
427 :名無しさん@4周年:04/02/06 15:34 ID:apwcUW0Z
>>422
そう?
京都大学の学者は不正アクセスにあたらないと考えているわけだけど、
警察は法律の専門家じゃないし、判断するのは検事だよ。
テレビかなんかで不正アクセスにあたるって明言した学者でもいた?
そう?
京都大学の学者は不正アクセスにあたらないと考えているわけだけど、
警察は法律の専門家じゃないし、判断するのは検事だよ。
テレビかなんかで不正アクセスにあたるって明言した学者でもいた?
>>419
何を?
何を?
430 :名無しさん@4周年:04/02/06 15:35 ID:nt9JROvn
431 :名無しさん@4周年:04/02/06 15:36 ID:awdS9Wh3
432 :名無しさん@4周年:04/02/06 15:36 ID:cLJeO5K+
>>426
ずさんな管理者が認められる事のほうが数倍怖い。
ずさんな管理者が認められる事のほうが数倍怖い。
433 :名無しさん@4周年:04/02/06 15:37 ID:yeH2o1Rp
>>420
420ではないですが、違います。
想定外の使われ方をした時点で、不正アクセスに適用できます。
それに提供されているサービスというのは、何を指しているのでしょうか?
今回の件は、個人情報が記憶されているファイル名と保管場所が判っても
通常の手段(http、telnet、ftp)ではアクセス出来ていません。
420ではないですが、違います。
想定外の使われ方をした時点で、不正アクセスに適用できます。
それに提供されているサービスというのは、何を指しているのでしょうか?
今回の件は、個人情報が記憶されているファイル名と保管場所が判っても
通常の手段(http、telnet、ftp)ではアクセス出来ていません。
>>426
俺は法に胡坐かいて穴だらけのサービスを提供したりするようになるだろう企業、
利用したりするユーザーが増えるだろうことが恐ろしいね。
現在でもネット上での個人情報のやりとりに対する危機管理能力の甘さを恐ろしく思います。
俺は法に胡坐かいて穴だらけのサービスを提供したりするようになるだろう企業、
利用したりするユーザーが増えるだろうことが恐ろしいね。
現在でもネット上での個人情報のやりとりに対する危機管理能力の甘さを恐ろしく思います。
435 :名無しさん@4周年:04/02/06 15:37 ID:apwcUW0Z
>>431
cgiソースはread属性だったんだよ
cgiソースはread属性だったんだよ
>>431
わからないと言ってるんだが
わからないと言ってるんだが
438 :名無しさん@4周年:04/02/06 15:38 ID:DK0QJT7L
これを機に自己顕示欲の強い偽善者達をどんどん逮捕してくださいねw
439 :名無しさん@4周年:04/02/06 15:39 ID:emQe6oB8
ID:awdS9Wh3
こいつなに。
ACCSの社員?
こいつなに。
ACCSの社員?
440 :名無しさん@4周年:04/02/06 15:39 ID:awdS9Wh3
>>428
想定外のパラメータをCGIに入れないと、情報が出せない時点で「公開する意図はない」と判断できます。
たとえ、ハカー様にとっては公開同然であったとしても。
「公開している」もしくは「公開していない」の主体は、CGIではなく、サーバ管理者或いはACCSになるのれす。
想定外のパラメータをCGIに入れないと、情報が出せない時点で「公開する意図はない」と判断できます。
たとえ、ハカー様にとっては公開同然であったとしても。
「公開している」もしくは「公開していない」の主体は、CGIではなく、サーバ管理者或いはACCSになるのれす。
442 :名無しさん@4周年:04/02/06 15:40 ID:apwcUW0Z
443 :名無しさん@4周年:04/02/06 15:40 ID:awdS9Wh3
444 :407:04/02/06 15:40 ID:cMKXe705
>>413
たぶん、検察はそのへんを主張するんじゃないかな。つまり、
「パスワードがかかっていなくても、当該ファイル名のリンクが張られていたわけでもないし、
誰もが当てずっぽうで推測できる index.html というような有名なファイル名
でもない。知らない人には見つけることのできないファイル名を、わざわざ探り当てたん
だから、うんぬんかんぬん・・・」
というような感じ。
とはいうものの・・・ それって、要するに
「サイト側は、単にアクセスしてくる人がファイル名を知らないだろうと無知を
期待して、あえてアクセス制限をかけていなかった」
というようにも考えられるよね。つーか、私は後者の考えなんだけど。具体的に
何か制限する手段を講じていたかというのが問題になると思うよ。
たぶん、検察はそのへんを主張するんじゃないかな。つまり、
「パスワードがかかっていなくても、当該ファイル名のリンクが張られていたわけでもないし、
誰もが当てずっぽうで推測できる index.html というような有名なファイル名
でもない。知らない人には見つけることのできないファイル名を、わざわざ探り当てたん
だから、うんぬんかんぬん・・・」
というような感じ。
とはいうものの・・・ それって、要するに
「サイト側は、単にアクセスしてくる人がファイル名を知らないだろうと無知を
期待して、あえてアクセス制限をかけていなかった」
というようにも考えられるよね。つーか、私は後者の考えなんだけど。具体的に
何か制限する手段を講じていたかというのが問題になると思うよ。
445 :http:// 202.209.187.34.2ch.net/:04/02/06 15:41 ID:MAYPdJ5u
guest guest
446 :名無しさん@4周年:04/02/06 15:41 ID:/zAXEi2R
448 :名無しさん@4周年:04/02/06 15:43 ID:yeH2o1Rp
>>427
すいません、その学者さんの事はしませんでした、なんと言う人ですか?
具体的にどんな理由で当たらないといっていたんですか?
情報があったらソースください。
>>430
騒いでいるのは、個人情報保護法と不正アクセス禁止法を混同している
人が多いからです。
管理側が個人情報保護法に抵触していると考えられるようなサイトに
不正アクセスし、更にそのアクセスした人がネット上ではちょっとは知られて
いた、更には京都大学で著名人の身内というマージャンでいうところの
かぞえ役満なみのインパクトがあるからです。
すいません、その学者さんの事はしませんでした、なんと言う人ですか?
具体的にどんな理由で当たらないといっていたんですか?
情報があったらソースください。
>>430
騒いでいるのは、個人情報保護法と不正アクセス禁止法を混同している
人が多いからです。
管理側が個人情報保護法に抵触していると考えられるようなサイトに
不正アクセスし、更にそのアクセスした人がネット上ではちょっとは知られて
いた、更には京都大学で著名人の身内というマージャンでいうところの
かぞえ役満なみのインパクトがあるからです。
449 :名無しさん@4周年:04/02/06 15:43 ID:N3gUfaiZ
>>417,422
俺は逮捕がおかしいと思ってるんだけどそれなりに説得力のある「もしかしたらクロ」説が
前スレとかではあって、裁判になったらどっちに転んでもおかしくないのかなあ、と。
絶対真っ黒、って言い張る人の言ってる事は大抵無理があるんだが。
俺は逮捕がおかしいと思ってるんだけどそれなりに説得力のある「もしかしたらクロ」説が
前スレとかではあって、裁判になったらどっちに転んでもおかしくないのかなあ、と。
絶対真っ黒、って言い張る人の言ってる事は大抵無理があるんだが。
450 :名無しさん@4周年:04/02/06 15:43 ID:awdS9Wh3
451 :名無しさん@4周年:04/02/06 15:44 ID:ZvIq4Re/
>>430
なんか必死ですね。「多数」って、京都大学の法学部の教授某の1人や2人
が同意したから多数?
法律勉強したこと有るなら、判例・通説は大体裁判官か東大の教授が
唱えていて、京大の先生は反対説ばっか唱えてるってのを知らんのか。
なんか必死ですね。「多数」って、京都大学の法学部の教授某の1人や2人
が同意したから多数?
法律勉強したこと有るなら、判例・通説は大体裁判官か東大の教授が
唱えていて、京大の先生は反対説ばっか唱えてるってのを知らんのか。
>「公開している」もしくは「公開していない」の主体は、CGIではなく、サーバ管理者或いはACCSになるのれす。
なんかとんでも無い考え方のような気がするが、法ではこういう考え方がされるのか。。。
やっぱり見直す余地多分にありだな。低すぎるよ、危機管理意識が。
なんかとんでも無い考え方のような気がするが、法ではこういう考え方がされるのか。。。
やっぱり見直す余地多分にありだな。低すぎるよ、危機管理意識が。
453 :名無しさん@4周年:04/02/06 15:45 ID:apwcUW0Z
>>449
ふーん。どんな説だろう。
>>448
このスレにソースが貼ってあるはずだがw
京大が会見で発表したでしょ。
>>444
いや、起訴もされないと思うんですが……
検察もさすがに恥を知っている。
>>433
>想定外の使われ方をした時点で、不正アクセスに適用できます。
適用条文は?
ふーん。どんな説だろう。
>>448
このスレにソースが貼ってあるはずだがw
京大が会見で発表したでしょ。
>>444
いや、起訴もされないと思うんですが……
検察もさすがに恥を知っている。
>>433
>想定外の使われ方をした時点で、不正アクセスに適用できます。
適用条文は?
454 :名無しさん@4周年:04/02/06 15:45 ID:cLJeO5K+
>>447
>office氏が悪意であるかどうかはアクセス制御機能の存在を知っていたかどうかのみによる。
そもそもofficeの意図はそこでは無いから、知ってる知ってない以前に、
アクセス制御なんて無いという前提、もしくはそれ自体念頭に無かったような気もする。
>office氏が悪意であるかどうかはアクセス制御機能の存在を知っていたかどうかのみによる。
そもそもofficeの意図はそこでは無いから、知ってる知ってない以前に、
アクセス制御なんて無いという前提、もしくはそれ自体念頭に無かったような気もする。
455 :名無しさん@4周年:04/02/06 15:46 ID:awdS9Wh3
457 :名無しさん@4周年:04/02/06 15:46 ID:yeH2o1Rp
>>444
少し詳しく、アクセスした方法を読みましたが、今回はそれとは違います。
ファイル名と保存場所が判っていても今回はhttpではアクセス出来て
いません。 404なり403が返るはずです。
今回のツボは、CGI経由という部分です。
少し詳しく、アクセスした方法を読みましたが、今回はそれとは違います。
ファイル名と保存場所が判っていても今回はhttpではアクセス出来て
いません。 404なり403が返るはずです。
今回のツボは、CGI経由という部分です。
458 :名無しさん@4周年:04/02/06 15:46 ID:N3gUfaiZ
459 :名無しさん@4周年:04/02/06 15:46 ID:nt9JROvn
>>451
技術が分かっている人の話してんだけど。
技術が分かっている人の話してんだけど。
460 :名無しさん@4周年:04/02/06 15:48 ID:ZvIq4Re/
これの後段が不正アクセス禁止法の四条に該当するとされることから判断して、
河合一穂の事例が不正アクセス禁止法に触れるとするのは何らおかしな結論
ではない。
http://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm
(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作
CGIプログラムを使用してセキュリティホールを突き、パスワードを入力
することなく不正アクセスした。また、不特定多数の者が当該掲示板にアク
セスできるようなリンクを自分の管理するホームページ上に作成した。
(平成12年6月検挙。北海道、富山)
河合一穂の事例が不正アクセス禁止法に触れるとするのは何らおかしな結論
ではない。
http://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm
(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作
CGIプログラムを使用してセキュリティホールを突き、パスワードを入力
することなく不正アクセスした。また、不特定多数の者が当該掲示板にアク
セスできるようなリンクを自分の管理するホームページ上に作成した。
(平成12年6月検挙。北海道、富山)
461 :名無しさん@4周年:04/02/06 15:48 ID:/zAXEi2R
462 :つーか:04/02/06 15:49 ID:6oJeDm+w
オマンコのツボ
463 :名無しさん@4周年:04/02/06 15:49 ID:awdS9Wh3
464 :名無しさん@4周年:04/02/06 15:49 ID:suzi0jGq
どーでもいーけど
773氏ってどこのスレの773なの?
773氏ってどこのスレの773なの?
https://www.netsecurity.ne.jp/article/4/2366.html
やっぱ不正アクセスの適用対象になるっぽい印象がありますねぇ。
紀藤さんが妥当と判断してるなら、覆すのは相当大変そうだ。
やっぱ不正アクセスの適用対象になるっぽい印象がありますねぇ。
紀藤さんが妥当と判断してるなら、覆すのは相当大変そうだ。
>>457
工エエェェ(´д`)ェェエエ工工
工エエェェ(´д`)ェェエエ工工
468 :名無しさん@4周年:04/02/06 15:52 ID:ZvIq4Re/
>>459
>技術が分かっている人の話してんだけど。
技術が分かってても法律を市民が理解できるレベルで理解できない人間は
要らないって。マジで。
で、きみは>>460の後段が技術的にどんな意味があるのかわかるか?
>技術が分かっている人の話してんだけど。
技術が分かってても法律を市民が理解できるレベルで理解できない人間は
要らないって。マジで。
で、きみは>>460の後段が技術的にどんな意味があるのかわかるか?
469 :名無しさん@4周年:04/02/06 15:53 ID:apwcUW0Z
>>465
>本来は、パスワードを入力して特定のサーバーの利用を行うべきところですが、
>セキュリティ・ホールを利用して、多量のデータを送信したり、あるいは特定
>のコマンドを入力することによって、利用できる状態にする行為です。
今回はこの特定のコマンド入力や多量のデータ送信にあたる行為がないのが問題。
紀藤弁護士がどう考えて妥当だといったのかは気になるところ。
>本来は、パスワードを入力して特定のサーバーの利用を行うべきところですが、
>セキュリティ・ホールを利用して、多量のデータを送信したり、あるいは特定
>のコマンドを入力することによって、利用できる状態にする行為です。
今回はこの特定のコマンド入力や多量のデータ送信にあたる行為がないのが問題。
紀藤弁護士がどう考えて妥当だといったのかは気になるところ。
>>457
あ、どういう方法でデータが引き出されたかは知っていますよ。
CGI経由というのは、本質的な問題ではないでしょう。単なる実装手段ですから。
HTTPサーバーが、何らかの文字列をクライアントから受け取り、その文字列を
適当に解釈して何らかの応答をする。と、いう一連の流れにおいて、「アクセス制限」
と考えるに値する何かが、今回のサーバーに入っていたか? というのが、肝心な
のであって、文字列の解釈をし応答の仕方を決めるのがCGIであろうがSSIであろうが
サーバーであろうが、それは大した問題ではないはず。
あ、どういう方法でデータが引き出されたかは知っていますよ。
CGI経由というのは、本質的な問題ではないでしょう。単なる実装手段ですから。
HTTPサーバーが、何らかの文字列をクライアントから受け取り、その文字列を
適当に解釈して何らかの応答をする。と、いう一連の流れにおいて、「アクセス制限」
と考えるに値する何かが、今回のサーバーに入っていたか? というのが、肝心な
のであって、文字列の解釈をし応答の仕方を決めるのがCGIであろうがSSIであろうが
サーバーであろうが、それは大した問題ではないはず。
471 :名無しさん@4周年:04/02/06 15:54 ID:ZvIq4Re/
>>466
>それはアクセス制御機能を有していた場合の話
アクセス制御機能が無いかわりに誰でも入れる門が公開されているのと、
元々何も公開されていないというのとは全然違うんだよ。そこで、
今回の事例について公開されていたと言い張るのは詭弁に過ぎない。
>それはアクセス制御機能を有していた場合の話
アクセス制御機能が無いかわりに誰でも入れる門が公開されているのと、
元々何も公開されていないというのとは全然違うんだよ。そこで、
今回の事例について公開されていたと言い張るのは詭弁に過ぎない。
>>464
うひ。セキュ板タイーホスレだよん。テンプレの人もここから。
http://pc.2ch.net/test/read.cgi/sec/1075861177/l50
ここで出てる話題は大体こっちで既出
うひ。セキュ板タイーホスレだよん。テンプレの人もここから。
http://pc.2ch.net/test/read.cgi/sec/1075861177/l50
ここで出てる話題は大体こっちで既出
474 :名無しさん@4周年:04/02/06 15:57 ID:N3gUfaiZ
>>465
どこまで内容を知っててコメントしたのか分からんのに…
どこまで内容を知っててコメントしたのか分からんのに…
>>471
ごみん…詳説よろ。
ごみん…詳説よろ。
476 :名無しさん@4周年:04/02/06 15:57 ID:taS0IvVf
>>471
だけど、アクセス制限がかかっていないのに、不正アクセスになるの?
だけど、アクセス制限がかかっていないのに、不正アクセスになるの?
477 :464:04/02/06 15:59 ID:suzi0jGq
まあ争点が明確になったかなぁ。あとは実際のcgiの運用状態、
たとえばwebのルートディレクトリとcgi-dataとの位置関係とか
cgiの動作権限とか色んな問題が出てくるとも思うんですけど、
今の段階で考えると、なんとなく検察とか裁判所の判断としては
「そのままURI叩いても表示できないデータを何だか怪しい
非典型行為を使ってくぐりぬけて表示したんだから、ダメ!」て
なりそうな気がします。「利用権者」はASKACCSの運用担当
ということにしてくるんじゃないかな。
もうちょっと判例とか識者の解説を調べてみますー。
たとえばwebのルートディレクトリとcgi-dataとの位置関係とか
cgiの動作権限とか色んな問題が出てくるとも思うんですけど、
今の段階で考えると、なんとなく検察とか裁判所の判断としては
「そのままURI叩いても表示できないデータを何だか怪しい
非典型行為を使ってくぐりぬけて表示したんだから、ダメ!」て
なりそうな気がします。「利用権者」はASKACCSの運用担当
ということにしてくるんじゃないかな。
もうちょっと判例とか識者の解説を調べてみますー。
479 :名無しさん@4周年:04/02/06 15:59 ID:nt9JROvn
>>468
話をすり代えていることはまあ、いいとしよう。
またそのあとの質問の意図が分からない。
ただこれを見て俺が思うことは「自作のCGIプログラム」が何を意味している
が分からないから誰か教えてくれ、だな。
ユーザができることは通常 HTTP のリクエストを出すことだけなんだが。
話をすり代えていることはまあ、いいとしよう。
またそのあとの質問の意図が分からない。
ただこれを見て俺が思うことは「自作のCGIプログラム」が何を意味している
が分からないから誰か教えてくれ、だな。
ユーザができることは通常 HTTP のリクエストを出すことだけなんだが。
480 :名無しさん@4周年:04/02/06 16:01 ID:wOsSrC0m
http://www.soumu.go.jp/joho_tsusin/pressrelease/japanese/joho_tsusin/010209_2a.html
http://www.soumu.go.jp/s-news/2003/030220_2.html
http://www.soumu.go.jp/s-news/2002/020207_1.html
を見てたんだが、三つを除けば全部識別符号がらみだった。
これが全部ではないだろうけど、3-2-2違反ってそんなに多くは
ないみたい。
(続く)
http://www.soumu.go.jp/s-news/2003/030220_2.html
http://www.soumu.go.jp/s-news/2002/020207_1.html
を見てたんだが、三つを除けば全部識別符号がらみだった。
これが全部ではないだろうけど、3-2-2違反ってそんなに多くは
ないみたい。
(続く)
481 :名無しさん@4周年:04/02/06 16:02 ID:cLJeO5K+
483 :名無しさん@4周年:04/02/06 16:04 ID:wOsSrC0m
外国人留学生の男(24)が、自己の技量を試す目的で、プロバイダの認証サーバ
に対して、当該サーバのセキュリティ・ホールにバッファ・オーバーフロー攻撃
を仕掛けて不正アクセスし、ハッキング・ツールの蔵置を行った。また、当該サー
バを踏み台として、別のプロバイダの複数のサーバに対しても不正アクセスし、
ホームページを改ざんした。14年1月、不正アクセス禁止法違反で検挙した(警
視庁、滋賀)。
(続く)
に対して、当該サーバのセキュリティ・ホールにバッファ・オーバーフロー攻撃
を仕掛けて不正アクセスし、ハッキング・ツールの蔵置を行った。また、当該サー
バを踏み台として、別のプロバイダの複数のサーバに対しても不正アクセスし、
ホームページを改ざんした。14年1月、不正アクセス禁止法違反で検挙した(警
視庁、滋賀)。
(続く)
484 :名無しさん@4周年:04/02/06 16:04 ID:yeH2o1Rp
>>470
それは違います。
>HTTPサーバーが、何らかの文字列をクライアントから受け取り、その文字列を
>適当に解釈して何らかの応答をする。
これは、誤った認識です。
HTTPサーバーは、受け取ったファイルを表示あるいは実行する機能だけです。
今回の場合は、CGIへの実行命令が文字列として渡され、それにパラメータが
ついていたと認識する必要があります。
今回のファイルはHTTPレベルでは、アクセス制御がされていました。
これは403なり404が出るので認めてくれますよね?
*TELNETやFTPは匿名アクセス受け付けないので無視します。
80のポート指定でのtelnet可能なんて言わないでくださいね。
よって、CGIが持っていたファイルの読み取り権限を利用したからこそ、読み出せた
という事になり、実際にそうなっています。
この辺は、HTTPサーバを構築運用したことがある方には判ってもらえると思いますが
いかがでしょうか?
それは違います。
>HTTPサーバーが、何らかの文字列をクライアントから受け取り、その文字列を
>適当に解釈して何らかの応答をする。
これは、誤った認識です。
HTTPサーバーは、受け取ったファイルを表示あるいは実行する機能だけです。
今回の場合は、CGIへの実行命令が文字列として渡され、それにパラメータが
ついていたと認識する必要があります。
今回のファイルはHTTPレベルでは、アクセス制御がされていました。
これは403なり404が出るので認めてくれますよね?
*TELNETやFTPは匿名アクセス受け付けないので無視します。
80のポート指定でのtelnet可能なんて言わないでくださいね。
よって、CGIが持っていたファイルの読み取り権限を利用したからこそ、読み出せた
という事になり、実際にそうなっています。
この辺は、HTTPサーバを構築運用したことがある方には判ってもらえると思いますが
いかがでしょうか?
485 :名無しさん@4周年:04/02/06 16:05 ID:ZvIq4Re/
>>479
>ただこれを見て俺が思うことは「自作のCGIプログラム」が何を意味している
>が分からないから誰か教えてくれ、だな。
お前CGIいじったことあるか? Unixの権限についての理解は?
そんなんでよく自分の見解が「技術のある人間の一般的見解」なんて
書けるな。> ID:nt9JROvn
それは、「同じサーバの利用者にはpathが丸見えだった」ということだよ。
まずこれで「公開されていた」と言い張るのは無理があると言うことだ。
>ただこれを見て俺が思うことは「自作のCGIプログラム」が何を意味している
>が分からないから誰か教えてくれ、だな。
お前CGIいじったことあるか? Unixの権限についての理解は?
そんなんでよく自分の見解が「技術のある人間の一般的見解」なんて
書けるな。> ID:nt9JROvn
それは、「同じサーバの利用者にはpathが丸見えだった」ということだよ。
まずこれで「公開されていた」と言い張るのは無理があると言うことだ。
486 :名無しさん@4周年:04/02/06 16:07 ID:wOsSrC0m
建設会社の会社員(32)が、被害者が開設した有料掲示板「2ショットチャット」
に対し、認証機能が甘いことに乗じ、CGIプログラムを使用してセキュリティ・
ホールを突き、識別符号を入力することなく接続した。12年6月、不正アクセ
ス禁止法違反で検挙した(北海道、富山)。
いたずら目的でウェブ・サーバのセキュリティ・ホールを突いた不正アクセス禁
止法違反事件 大学生の男(22)が、いたずらの目的で、クラッキング・ツールを
使用して財団法人のウェブ・サーバのセキュリティ・ホールを突いて不正に同サー
バに侵入した。13年7月、不正アクセス禁止法違反事件で検挙した(千葉)。
(続く)
に対し、認証機能が甘いことに乗じ、CGIプログラムを使用してセキュリティ・
ホールを突き、識別符号を入力することなく接続した。12年6月、不正アクセ
ス禁止法違反で検挙した(北海道、富山)。
いたずら目的でウェブ・サーバのセキュリティ・ホールを突いた不正アクセス禁
止法違反事件 大学生の男(22)が、いたずらの目的で、クラッキング・ツールを
使用して財団法人のウェブ・サーバのセキュリティ・ホールを突いて不正に同サー
バに侵入した。13年7月、不正アクセス禁止法違反事件で検挙した(千葉)。
(続く)
488 :名無しさん@4周年:04/02/06 16:07 ID:apwcUW0Z
>>479
自作のCGIにバッファオーバーフローを起こすような攻撃をしかけるようなプログラムを仕組んで、
それに対してリンクを貼って、それ経由で誰でもアクセスできるようにしたなら、明かに不正アクセスだからね。
自作のCGIにバッファオーバーフローを起こすような攻撃をしかけるようなプログラムを仕組んで、
それに対してリンクを貼って、それ経由で誰でもアクセスできるようにしたなら、明かに不正アクセスだからね。
489 :名無しさん@4周年:04/02/06 16:11 ID:apwcUW0Z
>>484
イメージとしてはスティッキービッドの立ったプログラムを実行したら読めちゃったと。
本来はシェルスクリプトをタッパーにしてそのコードを実行するはずで、
ユーザーが直接実行するのは想定していなかったと。
そういうケースだよね。
ようするにセキュリティホールでもなんでもなくて、単なるミス。
イメージとしてはスティッキービッドの立ったプログラムを実行したら読めちゃったと。
本来はシェルスクリプトをタッパーにしてそのコードを実行するはずで、
ユーザーが直接実行するのは想定していなかったと。
そういうケースだよね。
ようするにセキュリティホールでもなんでもなくて、単なるミス。
490 :名無しさん@4周年:04/02/06 16:12 ID:nt9JROvn
>>485
CGI いじったことあるし、作ったこともあるよ。
でも君の説明ではさっぱり分からない。
「自作のCGIプログラム」って何?
>>488
おお、そういう意味か。やっと分かった。感謝。
当該サーバの CGI をどうやったらいじれるんだ?と不思議でしょうがなかった。
CGI いじったことあるし、作ったこともあるよ。
でも君の説明ではさっぱり分からない。
「自作のCGIプログラム」って何?
>>488
おお、そういう意味か。やっと分かった。感謝。
当該サーバの CGI をどうやったらいじれるんだ?と不思議でしょうがなかった。
>>484
> これは、誤った認識です。
> HTTPサーバーは、受け取ったファイルを表示あるいは実行する機能だけです。
わははは・・・
そのような事実は存在しないぞ。少なくとも最もメジャーなウェブサーバーには、
もっと多彩な機能がある。
それに、サーバーがファイルを実行するのかな? インプロセスのCGI? それとも
サーブレット? うん、確かにサーバーがファイルを実行することもあるかもね。
でも、そうだとすると、まさに、サーバー自身が動的にコンテンツを作って応答する
んだから、470に書いたとおりのことになるぞ。
的はずれにもほどがあるから、オジサン、怒っちゃうぞ。
> これは、誤った認識です。
> HTTPサーバーは、受け取ったファイルを表示あるいは実行する機能だけです。
わははは・・・
そのような事実は存在しないぞ。少なくとも最もメジャーなウェブサーバーには、
もっと多彩な機能がある。
それに、サーバーがファイルを実行するのかな? インプロセスのCGI? それとも
サーブレット? うん、確かにサーバーがファイルを実行することもあるかもね。
でも、そうだとすると、まさに、サーバー自身が動的にコンテンツを作って応答する
んだから、470に書いたとおりのことになるぞ。
的はずれにもほどがあるから、オジサン、怒っちゃうぞ。
492 :名無しさん@4周年:04/02/06 16:13 ID:wOsSrC0m
建設会社の会社員(32)が、被害者が開設した有料掲示板「2ショットチャット」
に対し、認証機能が甘いことに乗じ、CGIプログラムを使用してセキュリティ・
ホールを突き、識別符号を入力することなく接続した。12年6月、不正アクセ
ス禁止法違反で検挙した(北海道、富山)。
いたずら目的でウェブ・サーバのセキュリティ・ホールを突いた不正アクセス禁
止法違反事件 大学生の男(22)が、いたずらの目的で、クラッキング・ツールを
使用して財団法人のウェブ・サーバのセキュリティ・ホールを突いて不正に同サー
バに侵入した。13年7月、不正アクセス禁止法違反事件で検挙した(千葉)。
(おわり)
に対し、認証機能が甘いことに乗じ、CGIプログラムを使用してセキュリティ・
ホールを突き、識別符号を入力することなく接続した。12年6月、不正アクセ
ス禁止法違反で検挙した(北海道、富山)。
いたずら目的でウェブ・サーバのセキュリティ・ホールを突いた不正アクセス禁
止法違反事件 大学生の男(22)が、いたずらの目的で、クラッキング・ツールを
使用して財団法人のウェブ・サーバのセキュリティ・ホールを突いて不正に同サー
バに侵入した。13年7月、不正アクセス禁止法違反事件で検挙した(千葉)。
(おわり)
隠しページで訴えることができるのか。
494 :名無しさん@4周年:04/02/06 16:14 ID:cLJeO5K+
495 :名無しさん@4周年:04/02/06 16:14 ID:apwcUW0Z
>>489のタッパーはラッパーのタイプミス。恥ずかし。
>>494
実行権限は今回、全く関係ない話ではないかなぁ
実行権限は今回、全く関係ない話ではないかなぁ
497 :名無しさん@4周年:04/02/06 16:15 ID:yeH2o1Rp
>>489
実際はそうなりますが、ミスの簡単さや複雑さでセキュリティホールが
どうかの判断は誰にも出来ません。
こんな場合の為に不正アクセスの定義として3−2−2ですかね、
あれがうたわれています。
あとは、この単純なミスに気づかないまま重要な個人情報を扱った
運用側の責任問題は、個人情報保護法によって裁かれる事であって
こんかいの話を一緒にするべきではありません。
実際はそうなりますが、ミスの簡単さや複雑さでセキュリティホールが
どうかの判断は誰にも出来ません。
こんな場合の為に不正アクセスの定義として3−2−2ですかね、
あれがうたわれています。
あとは、この単純なミスに気づかないまま重要な個人情報を扱った
運用側の責任問題は、個人情報保護法によって裁かれる事であって
こんかいの話を一緒にするべきではありません。
498 :名無しさん@4周年:04/02/06 16:15 ID:/zAXEi2R
CGIにS権限!!
ウッホ・ウホウホ・ウッ・ホホ〜♪
ウッホ・ウホウホ・ウッ・ホホ〜♪
"http://www.askaccs.ne.jp/cgi-data/csvmail.log"
と叩いても403 or 404なところを
"POST /cgi/csvmail.cgi HTTP/1.0
Referer: http://www.askaccs.ne.jp/
User-Agent: Mozilla
…
viewfile=csvmail.log"
てな感じでトンネルしたのかなと。あ、この辺の構成は
想像上のものですので。
と叩いても403 or 404なところを
"POST /cgi/csvmail.cgi HTTP/1.0
Referer: http://www.askaccs.ne.jp/
User-Agent: Mozilla
…
viewfile=csvmail.log"
てな感じでトンネルしたのかなと。あ、この辺の構成は
想像上のものですので。
500 :名無しさん@4周年:04/02/06 16:17 ID:ZvIq4Re/
>>490
>>>485
>CGI いじったことあるし、作ったこともあるよ。
>でも君の説明ではさっぱり分からない。
>「自作のCGIプログラム」って何?
>>>488
>おお、そういう意味か。やっと分かった。感謝。
>当該サーバの CGI をどうやったらいじれるんだ?と不思議でしょうがなかった。
その返事を見ると本当に無知なようだな。>>498の意味をgoogleでも
して調べてきなよ。
>>>485
>CGI いじったことあるし、作ったこともあるよ。
>でも君の説明ではさっぱり分からない。
>「自作のCGIプログラム」って何?
>>>488
>おお、そういう意味か。やっと分かった。感謝。
>当該サーバの CGI をどうやったらいじれるんだ?と不思議でしょうがなかった。
その返事を見ると本当に無知なようだな。>>498の意味をgoogleでも
して調べてきなよ。
501 :名無しさん@4周年:04/02/06 16:18 ID:awdS9Wh3
>>498
そんなアホな・・・
そんなアホな・・・
503 :名無しさん@4周年:04/02/06 16:20 ID:apwcUW0Z
>>498
例え話なんで。理解してくれ。
例え話なんで。理解してくれ。
504 :名無しさん@4周年:04/02/06 16:20 ID:nt9JROvn
>>488
しかしバッファオーバーフローを本当に使ったかどうかはこれでは分からんな。
もし本当にそれかそれに近いようなことをしていたら、officeの件とは全然違う。
ただ認証のことが書いてあるんで全然違うことだったんじゃないか?
他の2件は全然違うし、とりあえず俺はofficeの件に近いものは見つけられな
かったということになる。
なお、wOsSrC0m は俺。
しかしバッファオーバーフローを本当に使ったかどうかはこれでは分からんな。
もし本当にそれかそれに近いようなことをしていたら、officeの件とは全然違う。
ただ認証のことが書いてあるんで全然違うことだったんじゃないか?
他の2件は全然違うし、とりあえず俺はofficeの件に近いものは見つけられな
かったということになる。
なお、wOsSrC0m は俺。
>>494
英語圏での話だけなのかもしれませんが、以前読んだ本では
何らかの手段を用いて特定プロセスを本来自分に許可されたより
高い権限で実行するのも権限昇格アタックとみなされるようです。
root奪取目的だけでなく、別目的のアタックの過程で一時的な
権限上昇が起きるのも権限昇格だ、みたいな。
まあこのへんは異論もあるのかもしれませんね。よくわからじ。
英語圏での話だけなのかもしれませんが、以前読んだ本では
何らかの手段を用いて特定プロセスを本来自分に許可されたより
高い権限で実行するのも権限昇格アタックとみなされるようです。
root奪取目的だけでなく、別目的のアタックの過程で一時的な
権限上昇が起きるのも権限昇格だ、みたいな。
まあこのへんは異論もあるのかもしれませんね。よくわからじ。
507 :名無しさん@4周年:04/02/06 16:21 ID:urALGtKP
ACCSはとにかく無駄に態度がでかい。
だから必要以上に恨みを買って
いろいろ攻撃されるんだよ。F5もそう。
行き着くところまで行くとグリーンピースになる。
だから必要以上に恨みを買って
いろいろ攻撃されるんだよ。F5もそう。
行き着くところまで行くとグリーンピースになる。
508 :名無しさん@4周年:04/02/06 16:22 ID:awdS9Wh3
509 :名無しさん@4周年:04/02/06 16:22 ID:yeH2o1Rp
>>491
確かに色んな機能はあるでしょう、しかしHTTPとしての機能は
指定されたファイルの表示と実行だけですよ。
>それに、サーバーがファイルを実行するのかな?
これを含め、何を言いたいのかが理解できません。申し訳ない。
HTTPtpその他の様々な機能をごっちゃにしてませんか?
もう少し整理して話しましょうよ。
確かに色んな機能はあるでしょう、しかしHTTPとしての機能は
指定されたファイルの表示と実行だけですよ。
>それに、サーバーがファイルを実行するのかな?
これを含め、何を言いたいのかが理解できません。申し訳ない。
HTTPtpその他の様々な機能をごっちゃにしてませんか?
もう少し整理して話しましょうよ。
510 :名無しさん@4周年:04/02/06 16:23 ID:emQe6oB8
>492
で、刑は確定したのかな。
そのへんも書いてね。
で、刑は確定したのかな。
そのへんも書いてね。
511 :名無しさん@4周年:04/02/06 16:23 ID:apwcUW0Z
まあ、法律のことはともかく、技術的には、権限の昇格だのバッファオーバーフロー
だのといった技術的にまっとうな(?)問題とは全く何の関係もなく、ただただ、
素人さんがCGIを作りそこなっただけの話だと思いますけどね。
そもそも、権限を昇格する必要なんて全然ないでしょう? だって、ファイルを作った
CGIそれ自身で、そのファイルを読み出したんですから。CGIを実行している権限を
変える必要なんてどこにもありません。
分かっていないなら、妙に技術用語を散りばめるのは避けて欲しいです。
だのといった技術的にまっとうな(?)問題とは全く何の関係もなく、ただただ、
素人さんがCGIを作りそこなっただけの話だと思いますけどね。
そもそも、権限を昇格する必要なんて全然ないでしょう? だって、ファイルを作った
CGIそれ自身で、そのファイルを読み出したんですから。CGIを実行している権限を
変える必要なんてどこにもありません。
分かっていないなら、妙に技術用語を散りばめるのは避けて欲しいです。
513 :名無しさん@4周年:04/02/06 16:25 ID:awdS9Wh3
515 :名無しさん@4周年:04/02/06 16:26 ID:nt9JROvn
>>485 と >>488 の説明をあらためてながめて見て、>>485の説明もようやく
分かってきたが、しかし、そういうことをやった、って情報源ががないから、
実際に 「自作のCGIプログラム」が何かはやっぱり分からない。
逆にそれが分からないのに、類似ケースだとかそうでないとか、
どうしてみんな判断できるんだ?
どっかに詳しい情報源あるの?
分かってきたが、しかし、そういうことをやった、って情報源ががないから、
実際に 「自作のCGIプログラム」が何かはやっぱり分からない。
逆にそれが分からないのに、類似ケースだとかそうでないとか、
どうしてみんな判断できるんだ?
どっかに詳しい情報源あるの?
516 :名無しさん@4周年:04/02/06 16:27 ID:apwcUW0Z
>>512
要するにHTMLでラッパーして実行するはずのCGIを直接実行されただけだよね。
で、隠しページを見られたのと変わらないだろうと。
それがなぜかACCSを通すとHTMLを改竄してCGIに不正な要求を送り……ってなるから不思議だw
要するにHTMLでラッパーして実行するはずのCGIを直接実行されただけだよね。
で、隠しページを見られたのと変わらないだろうと。
それがなぜかACCSを通すとHTMLを改竄してCGIに不正な要求を送り……ってなるから不思議だw
773氏は何している人?
518 :名無しさん@4周年:04/02/06 16:28 ID:awdS9Wh3
>>511
CGIに特定のパラメータを渡す行為が何故「多量のデータを送信したり、あるいは特定のコマンドを入力する」行為に該当しないのか。
なぜ、理由もなくそこまで自身をもって断言できるのか?
頼むから、理由を述べよ。
CGIに特定のパラメータを渡す行為が何故「多量のデータを送信したり、あるいは特定のコマンドを入力する」行為に該当しないのか。
なぜ、理由もなくそこまで自身をもって断言できるのか?
頼むから、理由を述べよ。
519 :470:04/02/06 16:29 ID:wFPj+qLA
>>511
そこんとこを説明していただけるとうれしいのですが
なんで満たされないの? この件ではたぶん利用権者は
ASKACCS運用管理者であるヨセフアンドレオンとなり、
当該ファイルcsvmail.logは「通常なら」ヨセフアンド
レオン担当者が正規ログインしなければ閲覧なり改変
なりできず、webの一般ユーザーには閲覧が許されて
いなかったファイルだ、という解釈では、おかしい?
んで単純に
http://www.askaccs.ne.jp/cgi-data/csvmail.log"
と叩いただけでは403 or 404なところを
"POST /cgi/csvmail.cgi HTTP/1.0
Referer: http://www.askaccs.ne.jp/csvmail.html
User-Agent: Mozilla
…
viewfile=../cgi-data/csvmail.log"
という感じのPOSTリクエストにして流し込んで
表示させたということではないのかな。
そこんとこを説明していただけるとうれしいのですが
なんで満たされないの? この件ではたぶん利用権者は
ASKACCS運用管理者であるヨセフアンドレオンとなり、
当該ファイルcsvmail.logは「通常なら」ヨセフアンド
レオン担当者が正規ログインしなければ閲覧なり改変
なりできず、webの一般ユーザーには閲覧が許されて
いなかったファイルだ、という解釈では、おかしい?
んで単純に
http://www.askaccs.ne.jp/cgi-data/csvmail.log"
と叩いただけでは403 or 404なところを
"POST /cgi/csvmail.cgi HTTP/1.0
Referer: http://www.askaccs.ne.jp/csvmail.html
User-Agent: Mozilla
…
viewfile=../cgi-data/csvmail.log"
という感じのPOSTリクエストにして流し込んで
表示させたということではないのかな。
521 :名無しさん@4周年:04/02/06 16:31 ID:NiipYi81
>>457
激しくループしているのだが、、、
一般の掲示板 CGI でも、データそのものはウェブサーバでサーブされない
ディレクトリに設置されている場合が多い。だから、CGI 経由でデータを
表示させたからといって、それが不正アクセスの根拠にはならない。
セキュリティーホールをついた場合も、不正アクセスとされる場合もあるが、
このCGIの場合は、明らかに品質に大きな問題があり、法律で念頭に置かれて
いるところのセキュリティホールではない。
こんなものをセキュリティーホールと認めるということは、業者のモラルハザードの
原因になるぞ。
激しくループしているのだが、、、
一般の掲示板 CGI でも、データそのものはウェブサーバでサーブされない
ディレクトリに設置されている場合が多い。だから、CGI 経由でデータを
表示させたからといって、それが不正アクセスの根拠にはならない。
セキュリティーホールをついた場合も、不正アクセスとされる場合もあるが、
このCGIの場合は、明らかに品質に大きな問題があり、法律で念頭に置かれて
いるところのセキュリティホールではない。
こんなものをセキュリティーホールと認めるということは、業者のモラルハザードの
原因になるぞ。
ん?何もしてないよ?pc関係サパーリでつ
523 :名無しさん@4周年:04/02/06 16:31 ID:apwcUW0Z
>>522
本職は?
本職は?
525 :名無しさん@4周年:04/02/06 16:32 ID:awdS9Wh3
>「読めるから不正アクセスではない」ってどこの誰が言ってるんだよ…orz
こりゃまた失礼。
そもそも、CGIに特定のパラメータを入れるとアクセスできる、ということがどうして「アクセス制御機能がない」にまでワープしてしまうのか?
こういうこと。
こりゃまた失礼。
そもそも、CGIに特定のパラメータを入れるとアクセスできる、ということがどうして「アクセス制御機能がない」にまでワープしてしまうのか?
こういうこと。
>>516
>要するにHTMLでラッパーして実行するはずのCGIを直接実行されただけだよね。
>で、隠しページを見られたのと変わらないだろうと。
あ、ここ。ここんところが検察側が「不正アクセス禁止法の定める
不正アクセスになる」として押してくるところじゃないんでしょうか?
>要するにHTMLでラッパーして実行するはずのCGIを直接実行されただけだよね。
>で、隠しページを見られたのと変わらないだろうと。
あ、ここ。ここんところが検察側が「不正アクセス禁止法の定める
不正アクセスになる」として押してくるところじゃないんでしょうか?
527 :名無しさん@4周年:04/02/06 16:34 ID:yeH2o1Rp
>>512
470さんは、HTTPサーバーなどを利用したり作ったりはしているけど、原理を判らないで
使っているだけの人に思えます。
>そもそも、権限を昇格する必要なんて全然ないでしょう? だって、ファイルを作った
>CGIそれ自身で、そのファイルを読み出したんですから。CGIを実行している権限を
>変える必要なんてどこにもありません。
その通りですよ、CGI動くファイルが持っているファイルIOの権利を使っただけです。
しかし、HTTPでのアクセスでは表示できないというのを思い出してください。
今回は何度も書きますが、CGIを経由してファイルを表示しているんです。
HTTPからの直接的な表示ではありません。
ユーザー HTTPリクエスト CGIのファイル名とパラメータ
↓
サーバー 指定されたCGI実行 指定されたパラメータを渡す
↓
サーバー CGIが結果を表示
↓
ユーザー データ受け取り表示
これは理解してますか?
470さんは、HTTPサーバーなどを利用したり作ったりはしているけど、原理を判らないで
使っているだけの人に思えます。
>そもそも、権限を昇格する必要なんて全然ないでしょう? だって、ファイルを作った
>CGIそれ自身で、そのファイルを読み出したんですから。CGIを実行している権限を
>変える必要なんてどこにもありません。
その通りですよ、CGI動くファイルが持っているファイルIOの権利を使っただけです。
しかし、HTTPでのアクセスでは表示できないというのを思い出してください。
今回は何度も書きますが、CGIを経由してファイルを表示しているんです。
HTTPからの直接的な表示ではありません。
ユーザー HTTPリクエスト CGIのファイル名とパラメータ
↓
サーバー 指定されたCGI実行 指定されたパラメータを渡す
↓
サーバー CGIが結果を表示
↓
ユーザー データ受け取り表示
これは理解してますか?
528 :名無しさん@4周年:04/02/06 16:34 ID:awdS9Wh3
529 :470:04/02/06 16:35 ID:M1kSIrMf
>>525
特定のパラメーターというのが、パスワードとユーザーIDだったら、
アクセス制御していないどころか、まさにアクセス制御の典型例ですね。
だけど、今回、ファイル名を入れたらファイルが出てきたわけで・・・
特定のパラメーターというのが、パスワードとユーザーIDだったら、
アクセス制御していないどころか、まさにアクセス制御の典型例ですね。
だけど、今回、ファイル名を入れたらファイルが出てきたわけで・・・
530 :名無しさん@4周年:04/02/06 16:35 ID:apwcUW0Z
条文の
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為」
という意味をよく考えて欲しい。
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為」
という意味をよく考えて欲しい。
532 :名無しさん@4周年:04/02/06 16:37 ID:NiipYi81
二 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
当該アクセス制御機能による特定利用の制限を免れることができる情報
(識別符号であるものを除く。)又は指令を入力して当該特定電子計算
機を作動させ、その制限されている特定利用をし得る状態にさせる行為
(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該
アクセス管理者の承諾を得てするものを除く。次号において同じ。)
今回の CGI の場合は、CGI 作動時に CGIがその権限において参照
可能な情報を CGIを作動させてアクセスしているだけなので、「特定
利用の制限を免れることができる情報を入力して当該特定電子計算
機を作動させ」てはいないと思うが?
これが不正アクセスなんだったら、単にCGIに喰わせる情報を適当に
変えただけなのだから、普通のアクセスとの線引き等出来なくなり
ますが?制作者や管理者の意図にそぐわない入力は不正アクセスですか?
こんなレベルの CGI への「制作者の意図せざる入力」が不正アクセスに
なるのならば、おちおちアンケートにも答えられねえよ。
当該アクセス制御機能による特定利用の制限を免れることができる情報
(識別符号であるものを除く。)又は指令を入力して当該特定電子計算
機を作動させ、その制限されている特定利用をし得る状態にさせる行為
(当該アクセス制御機能を付加したアクセス管理者がするもの及び当該
アクセス管理者の承諾を得てするものを除く。次号において同じ。)
今回の CGI の場合は、CGI 作動時に CGIがその権限において参照
可能な情報を CGIを作動させてアクセスしているだけなので、「特定
利用の制限を免れることができる情報を入力して当該特定電子計算
機を作動させ」てはいないと思うが?
これが不正アクセスなんだったら、単にCGIに喰わせる情報を適当に
変えただけなのだから、普通のアクセスとの線引き等出来なくなり
ますが?制作者や管理者の意図にそぐわない入力は不正アクセスですか?
こんなレベルの CGI への「制作者の意図せざる入力」が不正アクセスに
なるのならば、おちおちアンケートにも答えられねえよ。
533 :名無しさん@4周年:04/02/06 16:37 ID:nt9JROvn
534 :名無しさん@4周年:04/02/06 16:38 ID:ZvIq4Re/
>>521
>セキュリティーホールをついた場合も、不正アクセスとされる場合もあるが、
>このCGIの場合は、明らかに品質に大きな問題があり、法律で念頭に置かれて
>いるところのセキュリティホールではない。
どこからそんな解釈が出てくるの? 判例は?
>セキュリティーホールをついた場合も、不正アクセスとされる場合もあるが、
>このCGIの場合は、明らかに品質に大きな問題があり、法律で念頭に置かれて
>いるところのセキュリティホールではない。
どこからそんな解釈が出てくるの? 判例は?
535 :名無しさん@4周年:04/02/06 16:38 ID:awdS9Wh3
536 :名無しさん@4周年:04/02/06 16:39 ID:apwcUW0Z
>>533
図が激しく間違ってるなw
図が激しく間違ってるなw
538 :470:04/02/06 16:40 ID:cElPB0bf
>>527
> 470さんは、HTTPサーバーなどを利用したり作ったりはしているけど、原理を判らないで
> 使っているだけの人に思えます。
はあ、レッテル貼りですか。まあ、サーバーのソースコードなんて読みませんけどね。
でもモジュールくらいは自分で作りますよ。ウェブサーバーそのものを実験的に
いくつかの言語で作ってみたこともないではないですけど、仕事で実際に使うときは
定評のある既製品を使いますしね。
それにしても、527は何を意図した書き込みですかな? 512の内容にそのまま賛成して
いらっしゃるようで嬉しいですが。
> 470さんは、HTTPサーバーなどを利用したり作ったりはしているけど、原理を判らないで
> 使っているだけの人に思えます。
はあ、レッテル貼りですか。まあ、サーバーのソースコードなんて読みませんけどね。
でもモジュールくらいは自分で作りますよ。ウェブサーバーそのものを実験的に
いくつかの言語で作ってみたこともないではないですけど、仕事で実際に使うときは
定評のある既製品を使いますしね。
それにしても、527は何を意図した書き込みですかな? 512の内容にそのまま賛成して
いらっしゃるようで嬉しいですが。
>>532
>制作者や管理者の意図にそぐわない入力は不正アクセスですか?
その可能性あると思いますよ。少なくとも警視庁とかは
そう考えるんじゃないスカね。特にhtmlみたいに正規利用では
特定の引数しか取れないはずのformに意図的に別の引数を
渡すような行為については厳しくみてくるんじゃないでしょうか。
>制作者や管理者の意図にそぐわない入力は不正アクセスですか?
その可能性あると思いますよ。少なくとも警視庁とかは
そう考えるんじゃないスカね。特にhtmlみたいに正規利用では
特定の引数しか取れないはずのformに意図的に別の引数を
渡すような行為については厳しくみてくるんじゃないでしょうか。
540 :名無しさん@4周年:04/02/06 16:40 ID:awdS9Wh3
>>532
>これが不正アクセスなんだったら、単にCGIに喰わせる情報を適当に
>変えただけなのだから、普通のアクセスとの線引き等出来なくなり
>ますが?制作者や管理者の意図にそぐわない入力は不正アクセスですか?
その判断基準が一般常識。
プログラマだけの常識が基準ではない。
>これが不正アクセスなんだったら、単にCGIに喰わせる情報を適当に
>変えただけなのだから、普通のアクセスとの線引き等出来なくなり
>ますが?制作者や管理者の意図にそぐわない入力は不正アクセスですか?
その判断基準が一般常識。
プログラマだけの常識が基準ではない。
541 :名無しさん@4周年:04/02/06 16:41 ID:NiipYi81
542 :名無しさん@4周年:04/02/06 16:41 ID:cLJeO5K+
>>535
それ過去レスで否定されてんじゃないですか?
それ過去レスで否定されてんじゃないですか?
543 :名無しさん@4周年:04/02/06 16:41 ID:yeH2o1Rp
>>521
・・・・
>一般の掲示板 CGI でも、データそのものはウェブサーバでサーブされない
>ディレクトリに設置されている場合が多い。だから、CGI 経由でデータを
一般の掲示板は同じサーバー上にファイルはセーブされますよ。(サーブは知りません)
もちろん、ディレクトリを変える事はありますが、この時にアクセス制御として
ユーザーからのリードライトを禁止します。
そして、それを処理するCGIファイルはそれをリードライトできるようにするのが
一般的です。
そうしないと、せっかくのデータを読めないでしょ?
・・・・
>一般の掲示板 CGI でも、データそのものはウェブサーバでサーブされない
>ディレクトリに設置されている場合が多い。だから、CGI 経由でデータを
一般の掲示板は同じサーバー上にファイルはセーブされますよ。(サーブは知りません)
もちろん、ディレクトリを変える事はありますが、この時にアクセス制御として
ユーザーからのリードライトを禁止します。
そして、それを処理するCGIファイルはそれをリードライトできるようにするのが
一般的です。
そうしないと、せっかくのデータを読めないでしょ?
544 :名無しさん@4周年:04/02/06 16:43 ID:awdS9Wh3
545 :名無しさん@4周年:04/02/06 16:43 ID:awdS9Wh3
773はpc関係に無知といっているが。。。。。
547 :名無しさん@4周年:04/02/06 16:44 ID:NiipYi81
>>540
>その判断基準が一般常識。
あふぉか。法廷で争い、識者が議論し基準は策定されるんだよ。
てめえみてえな愚民にアンケートとってきめる問題じゃねーンだよ。
じゃ、なにか?心臓移植やらに関する法律や法解釈も、「一般常識」で
きめんのか?いいかげんにしろよ、低能。プログラマだけの常識だけでは
確かに決定できないが、専門科の意見が大きく反映されるべき問題なのだ。
>その判断基準が一般常識。
あふぉか。法廷で争い、識者が議論し基準は策定されるんだよ。
てめえみてえな愚民にアンケートとってきめる問題じゃねーンだよ。
じゃ、なにか?心臓移植やらに関する法律や法解釈も、「一般常識」で
きめんのか?いいかげんにしろよ、低能。プログラマだけの常識だけでは
確かに決定できないが、専門科の意見が大きく反映されるべき問題なのだ。
548 :名無しさん@4周年:04/02/06 16:45 ID:apwcUW0Z
549 :名無しさん@4周年:04/02/06 16:45 ID:7vf9HOcN
クロスサイトスプリクティングってのと、どう違うの?
550 :名無しさん@4周年:04/02/06 16:46 ID:NiipYi81
551 :名無しさん@4周年:04/02/06 16:46 ID:awdS9Wh3
>>547
おおっ。こわ。
>法廷で争い、識者が議論し基準は策定
その前提にあるのが一般常識。
>専門科の意見が大きく反映されるべき問題なのだ。
そんな、専門家専制みたいな話にはなりません。
一般常識と専門家の常識を調和させるべきなのです。
おおっ。こわ。
>法廷で争い、識者が議論し基準は策定
その前提にあるのが一般常識。
>専門科の意見が大きく反映されるべき問題なのだ。
そんな、専門家専制みたいな話にはなりません。
一般常識と専門家の常識を調和させるべきなのです。
ああ、>>512さんの文章を読み直してわかりましたよ。cgiの
実行権限の昇格をしてるっていう話と思われてたんですね。
そうでなくて、一般web利用者に与えられたファイルアクセス
権限では開けないファイルにcgiの権限を利用して到達する
ことも一種の権限昇格とみなされる、という話だったんです。
実行権限の昇格をしてるっていう話と思われてたんですね。
そうでなくて、一般web利用者に与えられたファイルアクセス
権限では開けないファイルにcgiの権限を利用して到達する
ことも一種の権限昇格とみなされる、という話だったんです。
555 :名無しさん@4周年:04/02/06 16:48 ID:awdS9Wh3
556 :名無しさん@4周年:04/02/06 16:49 ID:NiipYi81
557 :名無しさん@4周年:04/02/06 16:50 ID:yeH2o1Rp
773さんへ質問です。(他の方でもOKです)
・問題のログファイルへは通常のHTTPアクセス
URLにファイル名を直接指定した場合には、403o404なりのエラーが出て
表示されないようになっていた事はアクセス制御されていたとは考えないの
ですか?
・問題のログファイルへは通常のHTTPアクセス
URLにファイル名を直接指定した場合には、403o404なりのエラーが出て
表示されないようになっていた事はアクセス制御されていたとは考えないの
ですか?
>>549
そんな高級な問題ではないのだ。単なるCGIの設計ミス。
そんな高級な問題ではないのだ。単なるCGIの設計ミス。
漫画喫茶って便利だね(><)
560 :名無しさん@4周年:04/02/06 16:50 ID:apwcUW0Z
>>546
ん。。。どったの?
ん。。。どったの?
562 :名無しさん@4周年:04/02/06 16:51 ID:nt9JROvn
うーん、俺、「2ショットチャット」の事件で「自作のCGIプログラム」とはどういう動作を
するものだったのか知りたいんだけど、誰か情報源持ってない?
するものだったのか知りたいんだけど、誰か情報源持ってない?
563 :名無しさん@4周年:04/02/06 16:51 ID:2gEvJgrP
>>563
あ、ほなら機能で。
あ、ほなら機能で。
566 :名無しさん@4周年:04/02/06 16:54 ID:apwcUW0Z
>>557
たとえばTELNETでアクセスできない場所(つまりはアクセス制御されている)にHTTPでアクセスした場合を考えよう。
あなたの考えだと不正アクセス禁止法違反。
URLを直接うってアクセスできるかできないかは関係ない。
アクセス制御を回避するための特別なデータや命令を送信しているかどうか。
今回はそれがない。
たとえばTELNETでアクセスできない場所(つまりはアクセス制御されている)にHTTPでアクセスした場合を考えよう。
あなたの考えだと不正アクセス禁止法違反。
URLを直接うってアクセスできるかできないかは関係ない。
アクセス制御を回避するための特別なデータや命令を送信しているかどうか。
今回はそれがない。
567 :名無しさん@4周年:04/02/06 16:55 ID:pV0OGNCp
>>557
うん、全く考えない。
万人に公開されている画像ファイルのアップローダーなんかで、CGI経由で
ないと画像を見れないサイトは珍しくないけど、別にアクセス制限されている
わけではないよね。
yeH2o1Rp さんの問題は、「アクセス制御」とか「サーバー」「権限」という言葉
が文脈によって全く異なるものを指しているという点に、かなり無頓着だという
点にあるんじゃないかな。
うん、全く考えない。
万人に公開されている画像ファイルのアップローダーなんかで、CGI経由で
ないと画像を見れないサイトは珍しくないけど、別にアクセス制限されている
わけではないよね。
yeH2o1Rp さんの問題は、「アクセス制御」とか「サーバー」「権限」という言葉
が文脈によって全く異なるものを指しているという点に、かなり無頓着だという
点にあるんじゃないかな。
569 :名無しさん@4周年:04/02/06 16:56 ID:NiipYi81
>>557
考えません。いいですか、掲示板のデータファイルは直接ブラウザからアクセス
出来ない場合がほとんどですが、データは掲示板を通して見放題です。
ですからそれをアクセス制御しているとは一般には認識しません。
考えません。いいですか、掲示板のデータファイルは直接ブラウザからアクセス
出来ない場合がほとんどですが、データは掲示板を通して見放題です。
ですからそれをアクセス制御しているとは一般には認識しません。
かぶりすぎでつw
571 :名無しさん@4周年:04/02/06 16:57 ID:awdS9Wh3
572 :名無しさん@4周年:04/02/06 16:58 ID:ZvIq4Re/
>>548
「特定利用の制限を免れることができる」ような機能の判断に、設計意図の
解釈は欠かせない。designは、仕様・設計という訳し方もあるが、意匠と
いう訳し方もある。これまでさんざん出てきてると思うが、バッファオーバ
ーフロウも、コードを書く者がバッファオーバーフロウを許容するコードを
自分で書いている以上、意図の「適切な」解釈無くしては、バッファオーバー
フロウも意図したもので利用しても問題ないなどという不当な結論が導き出
されてしまう。河合一穂の場合のCGI設計者の意図の「適切な」解釈とは、
「エラー内容以外のファイルをパラメータに与えるつもりは無い」だ。
この点について、河合が、設計者は元々「エラー内容以外のファイルを
パラメータに与えるつもりで」書いたと自分は思っていた、と主張して、
裁判官がうなずくわけがない。何故なら、イベントで抜いた個人情報を
ばらまく等の行為から、河合が脆弱性を脆弱性として認識しておりその上で
それを利用したという故意は明々白々だからだ。
「特定利用の制限を免れることができる」ような機能の判断に、設計意図の
解釈は欠かせない。designは、仕様・設計という訳し方もあるが、意匠と
いう訳し方もある。これまでさんざん出てきてると思うが、バッファオーバ
ーフロウも、コードを書く者がバッファオーバーフロウを許容するコードを
自分で書いている以上、意図の「適切な」解釈無くしては、バッファオーバー
フロウも意図したもので利用しても問題ないなどという不当な結論が導き出
されてしまう。河合一穂の場合のCGI設計者の意図の「適切な」解釈とは、
「エラー内容以外のファイルをパラメータに与えるつもりは無い」だ。
この点について、河合が、設計者は元々「エラー内容以外のファイルを
パラメータに与えるつもりで」書いたと自分は思っていた、と主張して、
裁判官がうなずくわけがない。何故なら、イベントで抜いた個人情報を
ばらまく等の行為から、河合が脆弱性を脆弱性として認識しておりその上で
それを利用したという故意は明々白々だからだ。
573 :名無しさん@4周年:04/02/06 16:59 ID:apwcUW0Z
だからその特別なデータや命令はアクセス制御を免れるために送信されていないだろ。
条文に書いてあるんだよ。
ちゃんと嫁。読んでから聞け。
条文に書いてあるんだよ。
ちゃんと嫁。読んでから聞け。
574 :名無しさん@4周年:04/02/06 16:59 ID:awdS9Wh3
xxx.log (*゚д゚)ノ ミチャイヤーン
xx.cgi (゚∀゚)ノ アッハハ ミセチャウゾー
xx.cgi (゚∀゚)ノ アッハハ ミセチャウゾー
576 :名無しさん@4周年:04/02/06 17:00 ID:awdS9Wh3
>>573
その件については、
あの。
通常アクセスするためのFTPなりTELNETなり何でもいいのだけれども、それらに備わったアクセス制御機能を回避しているのですが・・・
と、申し上げているのですが・・・
その件については、
あの。
通常アクセスするためのFTPなりTELNETなり何でもいいのだけれども、それらに備わったアクセス制御機能を回避しているのですが・・・
と、申し上げているのですが・・・
>>567
それはcgiを経由して公開するという「意図」があり、その意味で
正規のアクセスであるという事例では? もし何らかの方法で
スクリプトを回避して直接データディレクトリの内容を閲覧した
場合、その行為が不法アクセスになる可能性は依然としてあると
思うんですけど。
>>569
こちらも正規利用権者に対して見せようと企図されたデータと
実際のストアデータの間に差があったりしますよね。掲示板の
ログファイルにはIPが記録されているけれどもhtmlとしては出力
されないようなケースがそれで。その場合ログファイルには
アクセス制御が行われていたと考えるのが順当ではないかと思う
のですが。
それはcgiを経由して公開するという「意図」があり、その意味で
正規のアクセスであるという事例では? もし何らかの方法で
スクリプトを回避して直接データディレクトリの内容を閲覧した
場合、その行為が不法アクセスになる可能性は依然としてあると
思うんですけど。
>>569
こちらも正規利用権者に対して見せようと企図されたデータと
実際のストアデータの間に差があったりしますよね。掲示板の
ログファイルにはIPが記録されているけれどもhtmlとしては出力
されないようなケースがそれで。その場合ログファイルには
アクセス制御が行われていたと考えるのが順当ではないかと思う
のですが。
578 :名無しさん@4周年:04/02/06 17:02 ID:zv6+HPX7
>>571
問題は・・・
ただのファイル名を、アクセス制限のかかっているものをあえて見るための
特別なデーターや命令である、と見なせるかどうかですね。
そもそもアクセス制限がかかっていないからこそ、ファイル名の指定で
ファイルが出てきたのでは?
問題は・・・
ただのファイル名を、アクセス制限のかかっているものをあえて見るための
特別なデーターや命令である、と見なせるかどうかですね。
そもそもアクセス制限がかかっていないからこそ、ファイル名の指定で
ファイルが出てきたのでは?
579 :名無しさん@4周年:04/02/06 17:03 ID:apwcUW0Z
>>576
だからアクセス制御機能を回避する「ために」データを送信した場合に、不正アクセスになるわけで、
送信したデータがアクセス制御機能をすりぬけた場合は適用されないんだよ。
わかるか?
ちゃんと頭つかってくれよ。
馬鹿すぎてイライラする。
だからアクセス制御機能を回避する「ために」データを送信した場合に、不正アクセスになるわけで、
送信したデータがアクセス制御機能をすりぬけた場合は適用されないんだよ。
わかるか?
ちゃんと頭つかってくれよ。
馬鹿すぎてイライラする。
580 :名無しさん@4周年:04/02/06 17:04 ID:NiipYi81
>>577
>それはcgiを経由して公開するという「意図」があり、その意味で
「意図」がないデータに関しても、サーバに放置されていれば、
URL 書き換えでアクセスできるかもしれませんね。
今回の事例が不正アクセスなら、これも不正アクセスになりますね?
>それはcgiを経由して公開するという「意図」があり、その意味で
「意図」がないデータに関しても、サーバに放置されていれば、
URL 書き換えでアクセスできるかもしれませんね。
今回の事例が不正アクセスなら、これも不正アクセスになりますね?
個人的にはアクセス制御にあたって「意図」の解釈が介入してくるような
法律がそもそもおかしいのだと思いますが、仮に不正アクセス禁止法という
法律自体を受け入れるのであれば、法廷では>>572さんの言い分が受け入れ
られると思いますねぇ。
法律がそもそもおかしいのだと思いますが、仮に不正アクセス禁止法という
法律自体を受け入れるのであれば、法廷では>>572さんの言い分が受け入れ
られると思いますねぇ。
582 :名無しさん@4周年:04/02/06 17:05 ID:2gEvJgrP
なんでftpやtelnetの話になるのかわからん。
583 :名無しさん@4周年:04/02/06 17:05 ID:zv6+HPX7
584 :名無しさん@4周年:04/02/06 17:06 ID:awdS9Wh3
>>579
それについては、故意がないと原則罰せられないと申し上げています。
つーか、
バッファオーバーフロー=アクセス制御機能を回避する「ために」データを送信
本件CGIに対する特定パラメータの設定=送信したデータがアクセス制御機能をすりぬけた
つーのは・・・
この逆も成り立ちうるのですが・・・
それについては、故意がないと原則罰せられないと申し上げています。
つーか、
バッファオーバーフロー=アクセス制御機能を回避する「ために」データを送信
本件CGIに対する特定パラメータの設定=送信したデータがアクセス制御機能をすりぬけた
つーのは・・・
この逆も成り立ちうるのですが・・・
585 :名無しさん@4周年:04/02/06 17:06 ID:ZvIq4Re/
>>569
>出来ない場合がほとんどですが、データは掲示板を通して見放題です。
それは、そのデータを見るためのURIを管理者が公開しているからだろ。
そりゃ制限された特定利用ではない一般利用だ。阿呆か?
>>578
見なせるでしょ。逆に、見なせない根拠を挙げられる?
>出来ない場合がほとんどですが、データは掲示板を通して見放題です。
それは、そのデータを見るためのURIを管理者が公開しているからだろ。
そりゃ制限された特定利用ではない一般利用だ。阿呆か?
>>578
見なせるでしょ。逆に、見なせない根拠を挙げられる?
586 :名無しさん@4周年:04/02/06 17:06 ID:NiipYi81
>>571
貴殿の理屈ならば、こうやって掲示板に、
cat ../../../1215457487887878.dat
と書き込んで、表示されちゃっても不正アクセスということに
なるのですが?それでいいのですか?
貴殿の理屈ならば、こうやって掲示板に、
cat ../../../1215457487887878.dat
と書き込んで、表示されちゃっても不正アクセスということに
なるのですが?それでいいのですか?
587 :名無しさん@4周年:04/02/06 17:07 ID:apwcUW0Z
588 :名無しさん@4周年:04/02/06 17:07 ID:zv6+HPX7
>>582
「FTPやTELNETでアクセスするときにはパスワードが必要なんだから、
パスワードなしでHTTPでアクセスするのは不正アクセスだ」という主張なのかも。
地球上にあるほとんどすべてのウェブサーバーは、たぶんブラウザでアクセス
すると不正アクセスということになるのかもね。
「FTPやTELNETでアクセスするときにはパスワードが必要なんだから、
パスワードなしでHTTPでアクセスするのは不正アクセスだ」という主張なのかも。
地球上にあるほとんどすべてのウェブサーバーは、たぶんブラウザでアクセス
すると不正アクセスということになるのかもね。
>>576
計算機にアクセスする方法は多々あります
また、それぞれの方法について個々にアクセス制御機能があります
それぞれ違う機構でアクセス制御をしている以上、各々にアクセス制御する必要があり
それがなされていない計算機はアクセス制御しているとは言えないのではないですか?
今回はそのうちの一つであるHTTPにアクセス機能が備わっていなかったということで
計算機にアクセスする方法は多々あります
また、それぞれの方法について個々にアクセス制御機能があります
それぞれ違う機構でアクセス制御をしている以上、各々にアクセス制御する必要があり
それがなされていない計算機はアクセス制御しているとは言えないのではないですか?
今回はそのうちの一つであるHTTPにアクセス機能が備わっていなかったということで
590 :名無しさん@4周年:04/02/06 17:08 ID:awdS9Wh3
>>584
>本件CGIに対する特定パラメータの設定=送信したデータがアクセス制御機能をすりぬけた
この認識むちゃくちゃ杉です。
cgi自体にアクセス制御機能がないので、どんなパラメータを与えても制御回避にはなりまてん。
だから、鯖全体の制御とcgi単体の制御を分けて考えようよ。。。
>本件CGIに対する特定パラメータの設定=送信したデータがアクセス制御機能をすりぬけた
この認識むちゃくちゃ杉です。
cgi自体にアクセス制御機能がないので、どんなパラメータを与えても制御回避にはなりまてん。
だから、鯖全体の制御とcgi単体の制御を分けて考えようよ。。。
>>580
この件で使われたのはURL書き換えじゃないですが、まあ、アクセス
可能なケースは当然あるでしょう。それは不正アクセスになるかと
言われれば、裁判所が「なる」と判断する可能性は充分あると思います。
この件で使われたのはURL書き換えじゃないですが、まあ、アクセス
可能なケースは当然あるでしょう。それは不正アクセスになるかと
言われれば、裁判所が「なる」と判断する可能性は充分あると思います。
593 :名無しさん@4周年:04/02/06 17:09 ID:awdS9Wh3
CGIがパラメータを受け取ってる時点で与えられるであろうパラメータは意図してるんでしょ?
595 :名無しさん@4周年:04/02/06 17:09 ID:vlWvcFR0
>9
(゚д゚)ウマー
(゚д゚)ウマー
596 :名無しさん@4周年:04/02/06 17:09 ID:apwcUW0Z
>>584
そこの「ために」ってのは意図じゃなくて実際の機能の話だよ。
言い直すぞ。
アクセス制御機能を回避する「働きをする」データを送信した場合はアウトだ。
送信したデータがアクセス制御機能に関係なく動作した場合はセーフ。
そこの「ために」ってのは意図じゃなくて実際の機能の話だよ。
言い直すぞ。
アクセス制御機能を回避する「働きをする」データを送信した場合はアウトだ。
送信したデータがアクセス制御機能に関係なく動作した場合はセーフ。
597 :名無しさん@4周年:04/02/06 17:10 ID:NiipYi81
>>585
>そりゃ制限された特定利用ではない一般利用だ。阿呆か?
あほうは、お前だ、低学歴。お前も何か、隠しファイルとか隠しデータをかいって
リンクさえはらなければデータは覗かれないと思い込んで、サーバに
エクセルファイルとかおいてあるまぬけなのか?
リンクが公開されているされていないは本質的ではないのだ。
公開されていない URI を叩くと不正アクセスならば、google も不正アクセスだね(笑
>そりゃ制限された特定利用ではない一般利用だ。阿呆か?
あほうは、お前だ、低学歴。お前も何か、隠しファイルとか隠しデータをかいって
リンクさえはらなければデータは覗かれないと思い込んで、サーバに
エクセルファイルとかおいてあるまぬけなのか?
リンクが公開されているされていないは本質的ではないのだ。
公開されていない URI を叩くと不正アクセスならば、google も不正アクセスだね(笑
598 :名無しさん@4周年:04/02/06 17:10 ID:ZvIq4Re/
>>591
>cgi自体にアクセス制御機能がないので、どんなパラメータを与えても制御回避にはなりまてん。
>だから、鯖全体の制御とcgi単体の制御を分けて考えようよ。。。
分ける根拠は? 外部から見れば、cgiはサーバの一部に過ぎない。cgiって
単にサーバのweb向けI/Oのフィルタだから。
>cgi自体にアクセス制御機能がないので、どんなパラメータを与えても制御回避にはなりまてん。
>だから、鯖全体の制御とcgi単体の制御を分けて考えようよ。。。
分ける根拠は? 外部から見れば、cgiはサーバの一部に過ぎない。cgiって
単にサーバのweb向けI/Oのフィルタだから。
599 :名無しさん@4周年:04/02/06 17:10 ID:awdS9Wh3
600 :名無しさん@4周年:04/02/06 17:11 ID:awdS9Wh3
みなさんありがとう。
>>565
経路とは違います、完全にアプリケーションプロトコルの話です。
>>556
今回の場合はTELNET、FTPからの匿名アクセスは禁止です。
回答をいただいてませんね、HTTPで直接入力した場合に制限されていた
事について教えてください。
>>567
なぜですか? HTTPからのアクセスを制限されているとはいえないの
ですか?
CGIを動かすプロセスがPerlと仮定したときに、Perlがオーナー権限を
持っているから、CGIを使うことでファイルへのアクセスが出来るんでは?
>>568
それは、CGIを動かす命令を受信しただけですよ。
>>569
>>557さんへの回答と同じです。
>>565
経路とは違います、完全にアプリケーションプロトコルの話です。
>>556
今回の場合はTELNET、FTPからの匿名アクセスは禁止です。
回答をいただいてませんね、HTTPで直接入力した場合に制限されていた
事について教えてください。
>>567
なぜですか? HTTPからのアクセスを制限されているとはいえないの
ですか?
CGIを動かすプロセスがPerlと仮定したときに、Perlがオーナー権限を
持っているから、CGIを使うことでファイルへのアクセスが出来るんでは?
>>568
それは、CGIを動かす命令を受信しただけですよ。
>>569
>>557さんへの回答と同じです。
602 :名無しさん@4周年:04/02/06 17:13 ID:LlO4nQt1
>>590
提供しているサービス内容が違う。
で、2ちゃんねるのサーバーにTELNETでアクセスするにはパスワードが必要なのに
(まさかパスワードなしでログインできるとは思えん)、パスワードなしで2ちゃんねるを
CGI経由で利用しているあなたは不正アクセス犯として警察に捕まるわけっすか?
提供しているサービス内容が違う。
で、2ちゃんねるのサーバーにTELNETでアクセスするにはパスワードが必要なのに
(まさかパスワードなしでログインできるとは思えん)、パスワードなしで2ちゃんねるを
CGI経由で利用しているあなたは不正アクセス犯として警察に捕まるわけっすか?
603 :名無しさん@4周年:04/02/06 17:15 ID:2gEvJgrP
>>599
もしこのサーバにftpもtelnetも無かったら
何のアクセス制限を破った事になるんですか?
それとも、http以外のプロトコルが立ち上がってたら、
無条件にそれらのアクセス制限を全て破った事になるんですか?
あなたの言ってる事はこのぐらい変なんですけど。
もしこのサーバにftpもtelnetも無かったら
何のアクセス制限を破った事になるんですか?
それとも、http以外のプロトコルが立ち上がってたら、
無条件にそれらのアクセス制限を全て破った事になるんですか?
あなたの言ってる事はこのぐらい変なんですけど。
604 :名無しさん@4周年:04/02/06 17:15 ID:ZvIq4Re/
>>597
>公開されていない URI を叩くと不正アクセスならば、google も不正アクセスだね(笑
あのね。さんざんHTTPdの制限の話が上で出てるのだが。
URIにも、
>http://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm
>(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作
>CGIプログラムを使用してセキュリティホールを突き、パスワードを入力
>することなく不正アクセスした。また、不特定多数の者が当該掲示板にアク
>セスできるようなリンクを自分の管理するホームページ上に作成した。
>(平成12年6月検挙。北海道、富山)
これの「不特定多数の者が当該掲示板にアクセスできるようなリンク」
みたいなのもある。これをgoogleがたどれば不正アクセスとなるように
見えるが、故意が無いので犯罪は成立しない。
>公開されていない URI を叩くと不正アクセスならば、google も不正アクセスだね(笑
あのね。さんざんHTTPdの制限の話が上で出てるのだが。
URIにも、
>http://www.npa.go.jp/hightech/arrest_repo/kenkyo_2000.htm
>(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、自作
>CGIプログラムを使用してセキュリティホールを突き、パスワードを入力
>することなく不正アクセスした。また、不特定多数の者が当該掲示板にアク
>セスできるようなリンクを自分の管理するホームページ上に作成した。
>(平成12年6月検挙。北海道、富山)
これの「不特定多数の者が当該掲示板にアクセスできるようなリンク」
みたいなのもある。これをgoogleがたどれば不正アクセスとなるように
見えるが、故意が無いので犯罪は成立しない。
605 :名無しさん@4周年:04/02/06 17:15 ID:emQe6oB8
しかしこのHTTPってバージョン1.1から進化してないなぁ。
606 :名無しさん@4周年:04/02/06 17:15 ID:awdS9Wh3
>>598 んー、ちょいちゃうのよ。
>>584の人はそこんとこ混同してるから議論が空転しちゃうのね。
犯罪性が問われるのはアクセスした当人の認識の問題であって、
当人が「このcgiはファイルサーバなんだな」と認識していれば、
鯖総体のアクセス制御機能を回避したことにならなくなるのですよ。
>>584の人はそこんとこ混同してるから議論が空転しちゃうのね。
犯罪性が問われるのはアクセスした当人の認識の問題であって、
当人が「このcgiはファイルサーバなんだな」と認識していれば、
鯖総体のアクセス制御機能を回避したことにならなくなるのですよ。
608 :名無しさん@4周年:04/02/06 17:17 ID:NiipYi81
773はpcに詳しくないのに、ファイルサーバでつか><
>>607
それは>>773の見解として、前スレからその言い抜け方は「アリ」だと
思ってるんですけど、この場合はoffice氏が「ホール見つけた!」て
大々的に発表しちゃったわけですからダメなんじゃないでしょうか。
それは>>773の見解として、前スレからその言い抜け方は「アリ」だと
思ってるんですけど、この場合はoffice氏が「ホール見つけた!」て
大々的に発表しちゃったわけですからダメなんじゃないでしょうか。
611 :名無しさん@4周年:04/02/06 17:20 ID:ZvIq4Re/
>>607
>当人が「このcgiはファイルサーバなんだな」と認識していれば、
>鯖総体のアクセス制御機能を回避したことにならなくなるのですよ。
で、あなたはイベントで脆弱なサーバの例として問題の所を挙げ、
個人情報を取得する手口をわざわざ行った河合容疑者が、そんな
「このcgiはファイルサーバなんだな」と認識するようなエキセン
トリックな感覚の持ち主だと主張するわけだ。つまり、河合容疑者は、
精神に異常を来した人間だから責任がないと言いたいわけですね?
>当人が「このcgiはファイルサーバなんだな」と認識していれば、
>鯖総体のアクセス制御機能を回避したことにならなくなるのですよ。
で、あなたはイベントで脆弱なサーバの例として問題の所を挙げ、
個人情報を取得する手口をわざわざ行った河合容疑者が、そんな
「このcgiはファイルサーバなんだな」と認識するようなエキセン
トリックな感覚の持ち主だと主張するわけだ。つまり、河合容疑者は、
精神に異常を来した人間だから責任がないと言いたいわけですね?
612 :名無しさん@4周年:04/02/06 17:20 ID:awdS9Wh3
>>603
本件と関係のない仮定を持ち出しても、価値が有りませんが何か?
ちにみに、本件サーバには、当該個人情報にアクセスするために、実際にFTPやTELNETもしくはそれに相当する機能が有るのですが?
そういったアクセス制御機能があるサーバを適正に経由した場合のみ、本件個人情報にアクセスできるとする本件管理者の意図が有る以上、不正アクセスです。
あとは、被疑者の故意の問題。
本件と関係のない仮定を持ち出しても、価値が有りませんが何か?
ちにみに、本件サーバには、当該個人情報にアクセスするために、実際にFTPやTELNETもしくはそれに相当する機能が有るのですが?
そういったアクセス制御機能があるサーバを適正に経由した場合のみ、本件個人情報にアクセスできるとする本件管理者の意図が有る以上、不正アクセスです。
あとは、被疑者の故意の問題。
613 :名無しさん@4周年:04/02/06 17:20 ID:apwcUW0Z
615 :名無しさん@4周年:04/02/06 17:21 ID:sw9hLghh
本日のダウソ厨はapwcUW0Zですか?(w
616 :名無しさん@4周年:04/02/06 17:22 ID:awdS9Wh3
617 :名無しさん@4周年:04/02/06 17:23 ID:apwcUW0Z
618 :名無しさん@4周年:04/02/06 17:24 ID:nt9JROvn
>>601
あのー 技術的にデタラメなんですけど???
> HTTPからのアクセスを制限されているとはいえないのですか?
それどころか、ほとんどの画像掲示板はHTTPプロトコルによってのみ
アクセス可能ですね。
> CGIを動かすプロセスがPerlと仮定したときに、Perlがオーナー権限を
> 持っているから、CGIを使うことでファイルへのアクセスが出来るんでは?
Perl がオーナー権限を持っているというような奇怪な話を、私は知りませんが、
どこかのサーバーでは、Perlさんという名前のユーザーがいて、CGIは
そのユーザー権限で実行するのですか? 多人数で使用しているウェブサイト
だと、深刻なセキュリティホールを作ってしまいそうですね。
一連の yeH2o1Rp さんの発言を読んでいて思うのですが、他人に対して
おまえ技術を知らないと言っているわりには、ご自身はごくごく基本的な知識さえなく、
専門用語を正しくつかうさえできないというのは、いかがなものでしょう。HTTP
とは何か? という基本的なことさえ、まともに理解できていないように思えます。
あなたが、おそらく遊びでどこかのウェブサイトを借りてCGIでなにやら楽しんで
いる程度には、ウェブサーバーの使い方を知っているとしても、その程度で
専門家を気取ってもらっては困ります。
あのー 技術的にデタラメなんですけど???
> HTTPからのアクセスを制限されているとはいえないのですか?
それどころか、ほとんどの画像掲示板はHTTPプロトコルによってのみ
アクセス可能ですね。
> CGIを動かすプロセスがPerlと仮定したときに、Perlがオーナー権限を
> 持っているから、CGIを使うことでファイルへのアクセスが出来るんでは?
Perl がオーナー権限を持っているというような奇怪な話を、私は知りませんが、
どこかのサーバーでは、Perlさんという名前のユーザーがいて、CGIは
そのユーザー権限で実行するのですか? 多人数で使用しているウェブサイト
だと、深刻なセキュリティホールを作ってしまいそうですね。
一連の yeH2o1Rp さんの発言を読んでいて思うのですが、他人に対して
おまえ技術を知らないと言っているわりには、ご自身はごくごく基本的な知識さえなく、
専門用語を正しくつかうさえできないというのは、いかがなものでしょう。HTTP
とは何か? という基本的なことさえ、まともに理解できていないように思えます。
あなたが、おそらく遊びでどこかのウェブサイトを借りてCGIでなにやら楽しんで
いる程度には、ウェブサーバーの使い方を知っているとしても、その程度で
専門家を気取ってもらっては困ります。
>>610
おそらく昨年7月のアクセスはクリアできると思う。
しかしセミナーの時点ではそれがホールであることを認識してたわけですよね。
警視庁はこっち限定で責めてくるんじゃないでしょうか。
>>611
何を言いたいのか分からない。。。
おそらく昨年7月のアクセスはクリアできると思う。
しかしセミナーの時点ではそれがホールであることを認識してたわけですよね。
警視庁はこっち限定で責めてくるんじゃないでしょうか。
>>611
何を言いたいのか分からない。。。
621 :名無しさん@4周年:04/02/06 17:25 ID:in424gwe
>>601
とりあえずレス先6つ中2つまで指し間違えるのはどうか
とりあえずレス先6つ中2つまで指し間違えるのはどうか
622 :名無しさん@4周年:04/02/06 17:25 ID:ZvIq4Re/
623 :名無しさん@4周年:04/02/06 17:26 ID:apwcUW0Z
>>616
もう一回書くぞ。
アクセス制御機能を回避する「働きをする」データを送信した場合はアウトだ。
送信したデータがアクセス制御機能に関係なく動作した場合はセーフ。
これは3-2-2の
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して」
って文言が根拠だ。
わかったか。
もう一回書くぞ。
アクセス制御機能を回避する「働きをする」データを送信した場合はアウトだ。
送信したデータがアクセス制御機能に関係なく動作した場合はセーフ。
これは3-2-2の
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して」
って文言が根拠だ。
わかったか。
624 :名無しさん@4周年:04/02/06 17:26 ID:awdS9Wh3
>>617
では、リクエストにお答えして。
>アクセス制御機能を回避する「働きをする」データを送信した場合はアウトだ。
>送信したデータがアクセス制御機能に関係なく動作した場合はセーフ
本件個人情報にアクセスさせたくないから、管理者はTELNETやFTP若しくはそれに相当する機能にアクセス制御機能を設けているわけであって、
本件CGIに送ったパラメータは見事にこれらアクセス制御機能を回避する結果を生みだしているのですが何か?
では、リクエストにお答えして。
>アクセス制御機能を回避する「働きをする」データを送信した場合はアウトだ。
>送信したデータがアクセス制御機能に関係なく動作した場合はセーフ
本件個人情報にアクセスさせたくないから、管理者はTELNETやFTP若しくはそれに相当する機能にアクセス制御機能を設けているわけであって、
本件CGIに送ったパラメータは見事にこれらアクセス制御機能を回避する結果を生みだしているのですが何か?
625 :名無しさん@4周年:04/02/06 17:27 ID:yeH2o1Rp
今回の件のように掲示板の事にかぎるとつぎのように考えられます。
ログファイル(個人情報が保存)
これは通常のHTTPリクエスト(ようするにURLでファイル指定)では
アクセス出来ないように制御されています。
多くの場合は、htsccessなどで拡張子毎に表示するのか実行するのか
などを定義してます。
だから、datやlogのファイルの中身を見ることが出来ません。
CGIファイル(掲示板の動かすファイル)
ユーザーからはファイル名の指定とパラメータで実行を指示するだけ
です。
このファイル自信はスクリプトなのでこれを実際に実行するのはPerlなどの
CGIを判断して動かすプログラムです。
ログファイルには権限(パーミッション)が設定されており、ユーザーからは
HTTPでは読み書きできないファイルですが、Perlはオーナー扱いですので
パーミッションでオーナーに対して読み書き権限が与えられている場合は
それが可能になります。
皆さん、この辺を理解して話を進めませんか?
ログファイル(個人情報が保存)
これは通常のHTTPリクエスト(ようするにURLでファイル指定)では
アクセス出来ないように制御されています。
多くの場合は、htsccessなどで拡張子毎に表示するのか実行するのか
などを定義してます。
だから、datやlogのファイルの中身を見ることが出来ません。
CGIファイル(掲示板の動かすファイル)
ユーザーからはファイル名の指定とパラメータで実行を指示するだけ
です。
このファイル自信はスクリプトなのでこれを実際に実行するのはPerlなどの
CGIを判断して動かすプログラムです。
ログファイルには権限(パーミッション)が設定されており、ユーザーからは
HTTPでは読み書きできないファイルですが、Perlはオーナー扱いですので
パーミッションでオーナーに対して読み書き権限が与えられている場合は
それが可能になります。
皆さん、この辺を理解して話を進めませんか?
>>606
不正アクセスかどうかということと、個人情報かどうかということの間には、
何の関係もないですよ。
どうでもいい日常的な雑談をするだけの掲示板であっても、そこがパスワード
などでアクセス制限がかかっている場所であって、それに対してパスワードを
クラックしてアクセスすれば、不正アクセスですよ。
不正アクセスかどうかということと、個人情報かどうかということの間には、
何の関係もないですよ。
どうでもいい日常的な雑談をするだけの掲示板であっても、そこがパスワード
などでアクセス制限がかかっている場所であって、それに対してパスワードを
クラックしてアクセスすれば、不正アクセスですよ。
>>614
それだと侵入発生・発覚以前にホールの認識を持ってないケース
(普通はそれが大多数だと思う)をこの法律で救済できないですよ。
AD2003での発表やACCSへのホール報告から言っても、当時アクセス
していたoffice氏が「通常のブラウザ操作では閲覧不能な状態に
置かれたファイルをcgiを利用して表示させる行為」として認知して
いたことは確かでしょう。
「普通なら手の届かないところに置いてあるお宝を取る方法を見つけた
けど、そのお宝への接触が自分には許可されておらず、そのように
手の届かないところに置かれていることが自分に対するアクセス禁止の
意図を持ってなされていたということには気がつかなかった」という
かなり無理な想定をしないと、その抗弁は通らないような。
それだと侵入発生・発覚以前にホールの認識を持ってないケース
(普通はそれが大多数だと思う)をこの法律で救済できないですよ。
AD2003での発表やACCSへのホール報告から言っても、当時アクセス
していたoffice氏が「通常のブラウザ操作では閲覧不能な状態に
置かれたファイルをcgiを利用して表示させる行為」として認知して
いたことは確かでしょう。
「普通なら手の届かないところに置いてあるお宝を取る方法を見つけた
けど、そのお宝への接触が自分には許可されておらず、そのように
手の届かないところに置かれていることが自分に対するアクセス禁止の
意図を持ってなされていたということには気がつかなかった」という
かなり無理な想定をしないと、その抗弁は通らないような。
628 :名無しさん@4周年:04/02/06 17:28 ID:sw9hLghh
630 :名無しさん@4周年:04/02/06 17:29 ID:apwcUW0Z
631 :名無しさん@4周年:04/02/06 17:29 ID:2gEvJgrP
>>612
>本件サーバには、当該個人情報にアクセスするために、実際にFTPやTELNETもしくはそれに相当する機能が有るのですが?
officeはftpもtelnetも利用してないのに、なんでftpやtelnetのアクセス制限を破った事になるのですか?
officeはftpやtelnetのアクセス制限を破っていません。
利用していませんから。
>本件サーバには、当該個人情報にアクセスするために、実際にFTPやTELNETもしくはそれに相当する機能が有るのですが?
officeはftpもtelnetも利用してないのに、なんでftpやtelnetのアクセス制限を破った事になるのですか?
officeはftpやtelnetのアクセス制限を破っていません。
利用していませんから。
632 :名無しさん@4周年:04/02/06 17:29 ID:awdS9Wh3
633 :名無しさん@4周年:04/02/06 17:30 ID:awdS9Wh3
634 :名無しさん@4周年:04/02/06 17:31 ID:fEkQ3UXp
ACCSの自作自演ならぬ、『自作他演』なわけか・・・・
635 :名無しさん@4周年:04/02/06 17:32 ID:sw9hLghh
犯罪者 京都大学研究員河合一穂(40)のために
法廷で証言してあげなよw
法廷で証言してあげなよw
636 :名無しさん@4周年:04/02/06 17:33 ID:awdS9Wh3
>>631
アクセス制限機能は何のために有るのか?
アクセスさせたくないファイルをアクセスさせない為にあるのであろう。
なぜ、出入り口にこだわる。
通常の出入り口の戸締まりがきついからって、秘密の抜け道を発見したら、出入りして問題ないのか?
アクセス制限機能は何のために有るのか?
アクセスさせたくないファイルをアクセスさせない為にあるのであろう。
なぜ、出入り口にこだわる。
通常の出入り口の戸締まりがきついからって、秘密の抜け道を発見したら、出入りして問題ないのか?
637 :名無しさん@4周年:04/02/06 17:33 ID:J/yBaa1V
>>624
> 本件個人情報にアクセスさせたくないから、管理者はTELNETやFTP若しくはそれに
> 相当する機能にアクセス制御機能を設けているわけであって、
そんな事実はないのでは????? 警察だってそんなことは言っておらんかったと
思うし。
個人情報にアクセスさせたくないなら、なぜゆえにCGIにパスワードをかけないのだ?
いったいのどこのウェブサーバーなら、TELENTやFTPにパスワードをかけると、
ウェブサーバーのアクセス制御が可能になるのかい?
> 本件個人情報にアクセスさせたくないから、管理者はTELNETやFTP若しくはそれに
> 相当する機能にアクセス制御機能を設けているわけであって、
そんな事実はないのでは????? 警察だってそんなことは言っておらんかったと
思うし。
個人情報にアクセスさせたくないなら、なぜゆえにCGIにパスワードをかけないのだ?
いったいのどこのウェブサーバーなら、TELENTやFTPにパスワードをかけると、
ウェブサーバーのアクセス制御が可能になるのかい?
638 :名無しさん@4周年:04/02/06 17:33 ID:emQe6oB8
>628
犯人ではありません。
容疑者ですのでそこのところよろしく。
犯人ではありません。
容疑者ですのでそこのところよろしく。
>>627
ホールの認識がなければたまたま入ってしまっても仕方ないです〜
彼は日ごろホール暴きを盛んにしていたようなので、
当時の意図を推測することはできますが、それだけでは犯罪性の証明にならないかと。
あと事後の行為をもって、過去の行為を判断するのもちょっと疑問です。
ホールの認識がなければたまたま入ってしまっても仕方ないです〜
彼は日ごろホール暴きを盛んにしていたようなので、
当時の意図を推測することはできますが、それだけでは犯罪性の証明にならないかと。
あと事後の行為をもって、過去の行為を判断するのもちょっと疑問です。
640 :名無しさん@4周年:04/02/06 17:33 ID:ZvIq4Re/
>>629
>彼が意図的にアクセスしたとしても、
>検察側にそれを立証する術がないって話なんだが…
何で無いと言えるの? 河合容疑者がAD200Xや自分の連載記事で紹介する
ためにネタ探しをしていたのは周知のことだ。でなければ、わざわざ
AD200Xが終わった次の日にACCSへ報告する説明が付かない。
>彼が意図的にアクセスしたとしても、
>検察側にそれを立証する術がないって話なんだが…
何で無いと言えるの? 河合容疑者がAD200Xや自分の連載記事で紹介する
ためにネタ探しをしていたのは周知のことだ。でなければ、わざわざ
AD200Xが終わった次の日にACCSへ報告する説明が付かない。
641 :名無しさん@4周年:04/02/06 17:34 ID:awdS9Wh3
642 :名無しさん@4周年:04/02/06 17:34 ID:yeH2o1Rp
>>619
すいませんおかしいですか?
CGIファイルはPerlが処理する。
Perlはオーナー権限(ルートではないですよ)を持っているから
CGIファイルを読み込み処理でき、尚且つパーミッションでオーナーだけが
持っている読み書きが可能。
すいませんおかしいですか?
CGIファイルはPerlが処理する。
Perlはオーナー権限(ルートではないですよ)を持っているから
CGIファイルを読み込み処理でき、尚且つパーミッションでオーナーだけが
持っている読み書きが可能。
「Officeって何様のつもり?」スレからコピペ持ってきた。
------------------------------
276 :名無しさん@お腹いっぱい。 :sage :04/02/06 16:48
不正アクセスとは
(1)アクセス制御されたコンピュータに他人の識別符号を使ってアクセスする
(2)アクセス制御されたコンピュータにアクセス制御機能を回避してアクセスする
この2つ
今回のCGI経由でアクセスするのも、オーバーフローでrootを奪って
アクセスするのも同じ(2)の方法
277 :名無しさん@お腹いっぱい。 :sage :04/02/06 17:02
>>276
どこにも認証がない状態でget methodを使ってアクセスできる場合は(2)には当てはまらないはずだよ。
以前、ガンホーオンラインエンタテイメントって会社が同じ穴を作っていてクラックされた時、
警察に泣きついたたら「アクセス制御もしないで何が不正アクセスだゴラァ」
と警察に怒られたって話が残ってる。
278 :名無しさん@お腹いっぱい。 :sage :04/02/06 17:15
>>277
そりゃその場合(1)、(2)の「アクセス制御されたコンピュータに」ってのが
成立しなくなるから当然不正アクセスじゃないだろ
今回アクセスされたログファイルは少なくともWebroot配下には
おいてなかった。つまりアクセスするにはユーザ権限でloginして、
つまりID、パスを入れた上でアクセスしないと見れなかった
ところが糞CGIを経由すると誰でも任意のファイルにアクセス
できたってこと
言い換えればCGIを経由することによりアクセス制御が回避できた
ってこと
------------------------------
276 :名無しさん@お腹いっぱい。 :sage :04/02/06 16:48
不正アクセスとは
(1)アクセス制御されたコンピュータに他人の識別符号を使ってアクセスする
(2)アクセス制御されたコンピュータにアクセス制御機能を回避してアクセスする
この2つ
今回のCGI経由でアクセスするのも、オーバーフローでrootを奪って
アクセスするのも同じ(2)の方法
277 :名無しさん@お腹いっぱい。 :sage :04/02/06 17:02
>>276
どこにも認証がない状態でget methodを使ってアクセスできる場合は(2)には当てはまらないはずだよ。
以前、ガンホーオンラインエンタテイメントって会社が同じ穴を作っていてクラックされた時、
警察に泣きついたたら「アクセス制御もしないで何が不正アクセスだゴラァ」
と警察に怒られたって話が残ってる。
278 :名無しさん@お腹いっぱい。 :sage :04/02/06 17:15
>>277
そりゃその場合(1)、(2)の「アクセス制御されたコンピュータに」ってのが
成立しなくなるから当然不正アクセスじゃないだろ
今回アクセスされたログファイルは少なくともWebroot配下には
おいてなかった。つまりアクセスするにはユーザ権限でloginして、
つまりID、パスを入れた上でアクセスしないと見れなかった
ところが糞CGIを経由すると誰でも任意のファイルにアクセス
できたってこと
言い換えればCGIを経由することによりアクセス制御が回避できた
ってこと
644 :名無しさん@4周年:04/02/06 17:35 ID:2gEvJgrP
645 :名無しさん@4周年:04/02/06 17:36 ID:ZvIq4Re/
>>639
>当時の意図を推測することはできますが、それだけでは犯罪性の証明にならないかと。
>あと事後の行為をもって、過去の行為を判断するのもちょっと疑問です。
どこが変なわけ? 何か手紙に書かれたことをもって、後から手紙を書いた時点
の意思を推測するのが変なんだ(笑)
>当時の意図を推測することはできますが、それだけでは犯罪性の証明にならないかと。
>あと事後の行為をもって、過去の行為を判断するのもちょっと疑問です。
どこが変なわけ? 何か手紙に書かれたことをもって、後から手紙を書いた時点
の意思を推測するのが変なんだ(笑)
646 :名無しさん@4周年:04/02/06 17:36 ID:awdS9Wh3
>>639
じゃあそのへんも弁護側の論点に加えときますー。
じゃあそのへんも弁護側の論点に加えときますー。
648 :名無しさん@4周年:04/02/06 17:38 ID:sw9hLghh
ダウソ厨もっとがんばれよ(w
649 :名無しさん@4周年:04/02/06 17:38 ID:m9zh0krX
>>632
だから何? 602には、「ログファイル」なんて限定はしてないぞ。話をコロコロ
変えて逃げ回るのはよくない。
2ちゃんねるのサーバーにTELNETでアクセスするときはパスワードが必要。
だから、あなたの理屈では2ちゃんねるにパスワードなしでアクセスして
掲示板を読むのは、不正アクセスじゃん。
だから何? 602には、「ログファイル」なんて限定はしてないぞ。話をコロコロ
変えて逃げ回るのはよくない。
2ちゃんねるのサーバーにTELNETでアクセスするときはパスワードが必要。
だから、あなたの理屈では2ちゃんねるにパスワードなしでアクセスして
掲示板を読むのは、不正アクセスじゃん。
650 :名無しさん@4周年:04/02/06 17:40 ID:sw9hLghh
>>647
ぶっちゃけ「弁護側」っつうか「詭弁側」っていう印象を受けますな
ぶっちゃけ「弁護側」っつうか「詭弁側」っていう印象を受けますな
651 :名無しさん@4周年:04/02/06 17:40 ID:m9zh0krX
654 :名無しさん@4周年:04/02/06 17:42 ID:uloYvN0+
>>648
あんな程度の低い奴等と一緒にするのはどうかと・・・
あんな程度の低い奴等と一緒にするのはどうかと・・・
>>654
そのシトは荒らしの方ですよ
そのシトは荒らしの方ですよ
>>652
あたしもそれ疑問ではありましたが、基本的には自己申告の環境変数だから
telnetとかで流し込んだりブラウザいじったりすればreferer偽装は簡単ですよね。
もしそのへんもやってたら、3-2-1絡みでもヤバい雰囲気が出てきたりして?
あたしもそれ疑問ではありましたが、基本的には自己申告の環境変数だから
telnetとかで流し込んだりブラウザいじったりすればreferer偽装は簡単ですよね。
もしそのへんもやってたら、3-2-1絡みでもヤバい雰囲気が出てきたりして?
>>642
かなり、おかしい・・・・ 言葉をたくさん補えば、意味が通らないこともないけど、
やっぱりかなり無茶だと思うなぁ。
yeH2o1Rp さん、もしかして本気? それとも強烈な釣り? もし釣りや悪意じゃ
ないんなら、ウェブ関連の板かUNIXの板に行って質問してみるといいかも。
(うっかり聞くといじめられるかも知れないけど)
かなり、おかしい・・・・ 言葉をたくさん補えば、意味が通らないこともないけど、
やっぱりかなり無茶だと思うなぁ。
yeH2o1Rp さん、もしかして本気? それとも強烈な釣り? もし釣りや悪意じゃ
ないんなら、ウェブ関連の板かUNIXの板に行って質問してみるといいかも。
(うっかり聞くといじめられるかも知れないけど)
658 :名無しさん@4周年:04/02/06 17:46 ID:awdS9Wh3
659 :名無しさん@4周年:04/02/06 17:46 ID:sw9hLghh
ふむふむ、どうやら京都大学研究員河合一穂容疑者(40)は
htmlをローカルに保存していじったかもしくはProxomitronで改造したようだな。
こりゃ擁護派の意見もむなしく法廷で再現したときのイメージ悪そうだぞw
htmlをローカルに保存していじったかもしくはProxomitronで改造したようだな。
こりゃ擁護派の意見もむなしく法廷で再現したときのイメージ悪そうだぞw
660 :名無しさん@4周年:04/02/06 17:48 ID:Nvq3MjQw
661 :名無しさん@4周年:04/02/06 17:49 ID:eE0xwJsL
久保○と西村めが相討ちとなり、両者滅ぶ展開が望ましい。
二虎競食の計だ
二虎競食の計だ
662 :名無しさん@4周年:04/02/06 17:49 ID:awdS9Wh3
>>660
アクセス制限機能のない鯖は入っていいんですよ
アクセス制限機能のない鯖は入っていいんですよ
664 :名無しさん@4周年:04/02/06 17:50 ID:sw9hLghh
なんかさー「釣りですか」とか「UNIXや法律の勉強してこい」っていうやつほど
オマエガナって言いたくなるような感じですよねえ
オマエガナって言いたくなるような感じですよねえ
665 :名無しさん@4周年:04/02/06 17:52 ID:rD649T6/
>>660
それは入っていいでしょ・・・
それは入っていいでしょ・・・
>>658
で? 肝心のウェブサーバーのプロセスに対してはアクセス制御しないと?
おそらく、あなた、「ウェブサーバー」という言葉の多義性を意図的に混同して
いるんだよね。
インターネットからブラウザ経由でアクセスしに来る人に対するアクセス制御を、
TELNETの設定によって実現することが万が一可能なら、是非とも専門誌なり
学会なりに公開してくださいな。
で? 肝心のウェブサーバーのプロセスに対してはアクセス制御しないと?
おそらく、あなた、「ウェブサーバー」という言葉の多義性を意図的に混同して
いるんだよね。
インターネットからブラウザ経由でアクセスしに来る人に対するアクセス制御を、
TELNETの設定によって実現することが万が一可能なら、是非とも専門誌なり
学会なりに公開してくださいな。
667 :名無しさん@4周年:04/02/06 17:53 ID:Nvq3MjQw
>>663
それが IISの脆弱性をつくような侵入方法でもか?
それが IISの脆弱性をつくような侵入方法でもか?
668 :名無しさん@4周年:04/02/06 17:54 ID:eE0xwJsL
2ch上の違法情報は、どんどん警察、その他当局、被害者個人に通報しよう!
669 :名無しさん@4周年:04/02/06 17:54 ID:sw9hLghh
通常ならアクセスできないがCGIの不備を突けばアクセスできる、
というのをアクセス制限機能なしといえるかねえ
というのをアクセス制限機能なしといえるかねえ
670 :名無しさん@4周年:04/02/06 17:55 ID:jhEdiftC
>>667
最初からアクセス制御機能がないんだったら脆弱性も何もないでそ
最初からアクセス制御機能がないんだったら脆弱性も何もないでそ
672 :名無しさん@4周年:04/02/06 17:56 ID:awdS9Wh3
>>666
「TELNETの設定」は「インターネットからブラウザ経由でアクセスしに来る人に対するアクセス制御」の「一環」として存在し得るでしょうね。
何故、同じ電子計算機上のデータなのに、プロトコルごとに分けて考える?
「TELNETの設定」は「インターネットからブラウザ経由でアクセスしに来る人に対するアクセス制御」の「一環」として存在し得るでしょうね。
何故、同じ電子計算機上のデータなのに、プロトコルごとに分けて考える?
673 :名無しさん@4周年:04/02/06 17:56 ID:+keEzk6h
この記事書いた奴は日本語勉強しなおした方がいいよ
文法滅茶苦茶
文法滅茶苦茶
674 :名無しさん@4周年:04/02/06 17:56 ID:uGXwE1V4
【大学】入学試験中「ピッチャーデニー!!」と叫び受験生が教室から飛び出す
http://news2.2ch.net/test/read.cgi/news7/1070570654/l50
/ ̄ ̄ ̄ ̄ ̄\
/ \
/ ヽ
/ ̄\ l \,, ,,/ |
,┤ ト | (●) (●) |
| \_/ ヽ \___/ | ピッチャーデニー!!
| __( ̄ | \/ ノ
| __)_ノ
ヽ___) ノ
http://news2.2ch.net/test/read.cgi/news7/1070570654/l50
/ ̄ ̄ ̄ ̄ ̄\
/ \
/ ヽ
/ ̄\ l \,, ,,/ |
,┤ ト | (●) (●) |
| \_/ ヽ \___/ | ピッチャーデニー!!
| __( ̄ | \/ ノ
| __)_ノ
ヽ___) ノ
675 :名無しさん@4周年:04/02/06 17:57 ID:PD03ZM6X
これWebに個人情報そのまんま公開してたやつだろ。
なんで不正アクセスなんだ?
なんで不正アクセスなんだ?
676 :名無しさん@4周年:04/02/06 17:57 ID:sw9hLghh
>通常の出入り口の戸締まりがきついからって、秘密の抜け道を発見したら、出入りして問題ないのか?
この質問って擁護派には痛すぎたんじゃねえ?
だからftpだのtelnetだの関係ないところに話をそらそうとしてる
この質問って擁護派には痛すぎたんじゃねえ?
だからftpだのtelnetだの関係ないところに話をそらそうとしてる
677 :名無しさん@4周年:04/02/06 17:57 ID:jhEdiftC
>>669
CGIの不備とCGIの仕様を見分けられますか?
CGIの不備とCGIの仕様を見分けられますか?
678 :名無しさん@4周年:04/02/06 17:58 ID:Nvq3MjQw
>>671
うわー、痛いな、おまい
うわー、痛いな、おまい
679 :名無しさん@4周年:04/02/06 17:58 ID:yeH2o1Rp
>>657
簡単でいいので訂正してください。
別につりではないですよ、HTTPサーバー上でどうやって
HTMLファイルやCGIファイルが処理されているのか整理しないと
話が永久にループしますよ。
URLに文字列を記述するだけでアクセスできるから、アクセス制御
されていないと思っている人が多すぎますからね。
簡単でいいので訂正してください。
別につりではないですよ、HTTPサーバー上でどうやって
HTMLファイルやCGIファイルが処理されているのか整理しないと
話が永久にループしますよ。
URLに文字列を記述するだけでアクセスできるから、アクセス制御
されていないと思っている人が多すぎますからね。
680 :名無しさん@4周年:04/02/06 17:58 ID:z1VwIp8b
>>646
> 個人情報を取り出している時点で、FTPやTELNETのアクセス制御機能を開始しているわけだが・・・
それ、ホント??? 初耳なんだけど、ACCSのウェブサーバーのCGIは、
ちゃんとユーザー認証機能を使っていたんですか?
そんな話はACCSは一切やっていませんでしたし、これどころかACCS自身が
認めている説明とも大きく異なるんですが。
> 個人情報を取り出している時点で、FTPやTELNETのアクセス制御機能を開始しているわけだが・・・
それ、ホント??? 初耳なんだけど、ACCSのウェブサーバーのCGIは、
ちゃんとユーザー認証機能を使っていたんですか?
そんな話はACCSは一切やっていませんでしたし、これどころかACCS自身が
認めている説明とも大きく異なるんですが。
>>677
そのシトは荒らしの方ですよ
そのシトは荒らしの方ですよ
684 :名無しさん@4周年:04/02/06 18:00 ID:sw9hLghh
じゃ京都大学研究員河合一穂容疑者(40)は
「このCGIは個人情報を表示するために用意されているものだと思っていた」
と言い張ればいいんだ。
法廷でそう主張し続けられたら尊敬するねw
「このCGIは個人情報を表示するために用意されているものだと思っていた」
と言い張ればいいんだ。
法廷でそう主張し続けられたら尊敬するねw
>>677
少なくとも、わざわざ手元で投稿用htmlのhidden属性を書き換えて
本来formに入ってない(つまり通常のwebからのアクセスでは
絶対にありえない)引数をPOSTメソッドで渡してwebのルート
階層外にあるデータにアクセスする行為は、CGIの仕様からは逸脱
してるでしょう。
少なくとも、わざわざ手元で投稿用htmlのhidden属性を書き換えて
本来formに入ってない(つまり通常のwebからのアクセスでは
絶対にありえない)引数をPOSTメソッドで渡してwebのルート
階層外にあるデータにアクセスする行為は、CGIの仕様からは逸脱
してるでしょう。
686 :名無しさん@4周年:04/02/06 18:01 ID:awdS9Wh3
687 :http:// htknzw005160.adsl.ppp.infoweb.ne.jp.2ch.net/:04/02/06 18:02 ID:V+ZbCkgN
guest guest
688 :名無しさん@4周年:04/02/06 18:03 ID:PD03ZM6X
http://www.itmedia.co.jp/news/0311/12/nj00_accs.html
これだろ?ACCSが平謝りするほどの脆弱性+修正されたスクリプトも放置で3年間じゃ
不正アクセスどころか鯖管のミス。
こんなんで不正アクセス逮捕ってありえなさすぎ。
これだろ?ACCSが平謝りするほどの脆弱性+修正されたスクリプトも放置で3年間じゃ
不正アクセスどころか鯖管のミス。
こんなんで不正アクセス逮捕ってありえなさすぎ。
689 :名無しさん@4周年:04/02/06 18:04 ID:awdS9Wh3
690 :名無しさん@4周年:04/02/06 18:05 ID:uH35cUFL
>>672
なるほど、では一例でもいいのでの、TELNETの設定によって
「インターネットからブラウザ経由でアクセスしに来る人に対するアクセス制御」
を実現している事例を教えてくださいませ。
どうすれば可能なのか、非常に興味があります。私の知る範囲では、
ウェブサーバーのプロセスが、/etc/passwd などのユーザー認証機能を呼び出すように
設定されている場合に、telnetでログインするときのパスワードと、CGIでアクセスする
ときのパスワードが連動するというような例なら知っていますが、それは、
「telnet の設定」ではないですね。
なるほど、では一例でもいいのでの、TELNETの設定によって
「インターネットからブラウザ経由でアクセスしに来る人に対するアクセス制御」
を実現している事例を教えてくださいませ。
どうすれば可能なのか、非常に興味があります。私の知る範囲では、
ウェブサーバーのプロセスが、/etc/passwd などのユーザー認証機能を呼び出すように
設定されている場合に、telnetでログインするときのパスワードと、CGIでアクセスする
ときのパスワードが連動するというような例なら知っていますが、それは、
「telnet の設定」ではないですね。
>>683
なんの話か訳わからん。。w
なんの話か訳わからん。。w
692 :名無しさん@4周年:04/02/06 18:05 ID:sw9hLghh
河合一穂の意図的な犯罪>>>>(越えられない壁)>>>>鯖管のミス(ごめんねで済んじゃうレベル)
>>685
Hidden属性なんてHiddenでも何でもないんだが。
こんなものでセキュリティが保てると勘違いしたり、
Hiddenされた情報を読んでナニかしたから不正アクセス
だと騒ぐなんて、ちょとね。
少なくともプルグラマとかIT関係の仕事しててこんなこと
主張したら、その日に失業だな...
Hidden属性なんてHiddenでも何でもないんだが。
こんなものでセキュリティが保てると勘違いしたり、
Hiddenされた情報を読んでナニかしたから不正アクセス
だと騒ぐなんて、ちょとね。
少なくともプルグラマとかIT関係の仕事しててこんなこと
主張したら、その日に失業だな...
695 :名無しさん@4周年:04/02/06 18:08 ID:5gHsiAae
不正アクセスっていうより
鯖管の想定外アクセスなんだろうなぁ・・・。
なんだか鯖管の想定外のアクセスをするとみんな不正アクセスになりそうで怖い。
つーかこの人脆弱性を指摘してくれたいい人じゃん
逮捕なんかしたら誰も教えてくれなくなるぞ>ACCS
鯖管の想定外アクセスなんだろうなぁ・・・。
なんだか鯖管の想定外のアクセスをするとみんな不正アクセスになりそうで怖い。
つーかこの人脆弱性を指摘してくれたいい人じゃん
逮捕なんかしたら誰も教えてくれなくなるぞ>ACCS
696 :名無しさん@4周年:04/02/06 18:08 ID:awdS9Wh3
ぶっちゃけ今来てる擁護派にIT関連の本職はいない。
ハイ!\u0p5dcBT消えた!
ハイ!\u0p5dcBT消えた!
699 :名無しさん@4周年:04/02/06 18:09 ID:nt9JROvn
だから >>686 の解釈だと、すべてのファイルが GET できるようにしている
サーバでも、telnet などでアクセス制御していたら、アクセス制御している
ことになって、そのサーバからデータ取ってきたら違法になるだろう?
と何度も指摘されてるだろう?
なのにその質問には答えずに、同じことをさっきから何度も書いて。。。
サーバでも、telnet などでアクセス制御していたら、アクセス制御している
ことになって、そのサーバからデータ取ってきたら違法になるだろう?
と何度も指摘されてるだろう?
なのにその質問には答えずに、同じことをさっきから何度も書いて。。。
700 :名無しさん@4周年:04/02/06 18:10 ID:jhEdiftC
701 :名無しさん@4周年:04/02/06 18:10 ID:awdS9Wh3
702 :名無しさん@4周年:04/02/06 18:10 ID:uloYvN0+
703 :名無しさん@4周年:04/02/06 18:10 ID:1EW70mZc
>>685
そこ、ちょっと微妙な気がする。
そんなもんはCGI作成者や設置者が想定して回避するべきだと思うし、
どっちが正しいとは言い切れないと思う。
「formを改造してのリクエストは禁止」みたいな利用規約が、
このformの利用者(一般ユーザ)に知りえる形で提示されていたなら別だけど。
そこ、ちょっと微妙な気がする。
そんなもんはCGI作成者や設置者が想定して回避するべきだと思うし、
どっちが正しいとは言い切れないと思う。
「formを改造してのリクエストは禁止」みたいな利用規約が、
このformの利用者(一般ユーザ)に知りえる形で提示されていたなら別だけど。
>>698
だから最初っから素人だって言ってるだろw
だから最初っから素人だって言ってるだろw
705 :名無しさん@4周年:04/02/06 18:11 ID:fA4MSLV4
awdS9Wh3って人の言ってることがさっぱりわかりません
707 :名無しさん@4周年:04/02/06 18:12 ID:PD03ZM6X
つか、こんなんで逮捕ならWebサイトのごり押しで簡単に犯罪者が作れてしまう。
使ったことの無いWebサイトの利用料なんて詐欺よりも簡単に
知らぬまの不正アクセスで脅迫なんて事が簡単になるぞ。
管理者より利用者に非のあるシステムは利用者である誰でも犯罪者に出来てしまうシステムだろ。
使ったことの無いWebサイトの利用料なんて詐欺よりも簡単に
知らぬまの不正アクセスで脅迫なんて事が簡単になるぞ。
管理者より利用者に非のあるシステムは利用者である誰でも犯罪者に出来てしまうシステムだろ。
708 :名無しさん@4周年:04/02/06 18:12 ID:awdS9Wh3
>>699
一般的なURLの指定されたのファイル名を書き換えれば、別のファイルを読み出せる「かもしれない」というのは、一般にも周知の事実ですが何か?
上記行為が「本件CGIに特定のパラメータを送る」ことと等しい行為だと、おまえは信じているのか問いつめたい。
一般的なURLの指定されたのファイル名を書き換えれば、別のファイルを読み出せる「かもしれない」というのは、一般にも周知の事実ですが何か?
上記行為が「本件CGIに特定のパラメータを送る」ことと等しい行為だと、おまえは信じているのか問いつめたい。
709 :名無しさん@4周年:04/02/06 18:13 ID:NRbQWUpm
>>696
つまり、ACCSはWebminをつかっていて、今回の犯人はログインパスワードを
クラックしたと? もしそうなら、観念に明白な不正アクセスだね。
でも、パスワード制限のかかっているサイトに勝手にアクセスした場合でも
十分不正アクセスなんだから、わざわざtelnetやwebminを持ち出す必要ないぞ。
つまり、ACCSはWebminをつかっていて、今回の犯人はログインパスワードを
クラックしたと? もしそうなら、観念に明白な不正アクセスだね。
でも、パスワード制限のかかっているサイトに勝手にアクセスした場合でも
十分不正アクセスなんだから、わざわざtelnetやwebminを持ち出す必要ないぞ。
710 :名無しさん@4周年:04/02/06 18:13 ID:awdS9Wh3
>>701
なんでそこでそう逃げるかな。。。だから話が進まないんだよ
なんでそこでそう逃げるかな。。。だから話が進まないんだよ
712 :名無しさん@4周年:04/02/06 18:14 ID:awdS9Wh3
713 :名無しさん@4周年:04/02/06 18:14 ID:sw9hLghh
714 :名無しさん@4周年:04/02/06 18:15 ID:Nvq3MjQw
擁護派が技術論で逃げ出してるように聞こえる。
773、脆弱性って言葉の実際って知ってる?
773、脆弱性って言葉の実際って知ってる?
716 :名無しさん@4周年:04/02/06 18:16 ID:jhEdiftC
>>712
故意かどうかは自由心証主義によって裁判官の一存できまるのだが
故意かどうかは自由心証主義によって裁判官の一存できまるのだが
717 :名無しさん@4周年:04/02/06 18:16 ID:awdS9Wh3
718 :名無しさん@4周年:04/02/06 18:17 ID:awdS9Wh3
719 :699:04/02/06 18:18 ID:wOsSrC0m
>>708
周知の事実がどう条文にどう関係するかも、もうさんざん聞いた
んだが。。。もういいや。
「本件 CGI に office が入力したパラメータを送る」ことと等しい行為だ
と思ってるよ。問い詰めなくても分かってるだろ?
周知の事実がどう条文にどう関係するかも、もうさんざん聞いた
んだが。。。もういいや。
「本件 CGI に office が入力したパラメータを送る」ことと等しい行為だ
と思ってるよ。問い詰めなくても分かってるだろ?
720 :名無しさん@4周年:04/02/06 18:19 ID:awdS9Wh3
721 :名無しさん@4周年:04/02/06 18:19 ID:NRbQWUpm
うん、言ってないな。
ACCSの件は、Webmin とも TELNET とも全く関係ない。もちろんFTPとも関係ない。
ACCSの件は、Webmin とも TELNET とも全く関係ない。もちろんFTPとも関係ない。
722 :名無しさん@4周年:04/02/06 18:19 ID:sw9hLghh
>>707
安心しろ。河合容疑者はブラウザのアドレス欄いじっただけのレベルよりは
もうちょっと工夫してるから[知らぬ間に]ってことはない。
彼は意図的な犯罪者。
>>711
素人で薄識だって逃げてる割には人には結構言うねえu0p5dcBTクン。
安心しろ。河合容疑者はブラウザのアドレス欄いじっただけのレベルよりは
もうちょっと工夫してるから[知らぬ間に]ってことはない。
彼は意図的な犯罪者。
>>711
素人で薄識だって逃げてる割には人には結構言うねえu0p5dcBTクン。
>>693
>>703
いや、漏れは個人的心証としては鯖側の管理はひでぇもんだなと思いますよ。
こんな状態にしておいて真っ赤な顔で「不正アクセスだ!」もないもんだろと。
でも条文を読んでいて思うのは、不正アクセス禁止法はこういうおバカな
鯖管もすら守る(自己責任原則以上の保護を与える)ためのもののようだと
思うようになってきました。別スレでちょっと法的なことにお詳しいらしい
人が言うには、個人情報保護法とセットで考えるものだということです。
ACCS・ヨセフアンドレオン・ファーストサーバの側は個人情報保護法の
違反で攻められるけれども、その「守りが甘かった」という事実自体は
office氏が不正アクセス禁止法での処罰対象となることを何ら軽減しない
ようなのです。
だから理解してほしいのは、漏れはこの不正アクセス禁止法というゲームに
乗ること自体を拒否したいのだってことです。このゲームに乗ってしまうと
おそらくoffice氏の将来のみならず日本のネットワークセキュリティ業界の
セキュリティ向上への動機付けが著しく失われてしまうだろうから。いじょ
>>703
いや、漏れは個人的心証としては鯖側の管理はひでぇもんだなと思いますよ。
こんな状態にしておいて真っ赤な顔で「不正アクセスだ!」もないもんだろと。
でも条文を読んでいて思うのは、不正アクセス禁止法はこういうおバカな
鯖管もすら守る(自己責任原則以上の保護を与える)ためのもののようだと
思うようになってきました。別スレでちょっと法的なことにお詳しいらしい
人が言うには、個人情報保護法とセットで考えるものだということです。
ACCS・ヨセフアンドレオン・ファーストサーバの側は個人情報保護法の
違反で攻められるけれども、その「守りが甘かった」という事実自体は
office氏が不正アクセス禁止法での処罰対象となることを何ら軽減しない
ようなのです。
だから理解してほしいのは、漏れはこの不正アクセス禁止法というゲームに
乗ること自体を拒否したいのだってことです。このゲームに乗ってしまうと
おそらくoffice氏の将来のみならず日本のネットワークセキュリティ業界の
セキュリティ向上への動機付けが著しく失われてしまうだろうから。いじょ
725 :名無しさん@4周年:04/02/06 18:21 ID:awdS9Wh3
>>719
>周知の事実がどう条文にどう関係するかも、もうさんざん聞いた
条文だけ見ててもダメなのれす。
>「本件 CGI に office が入力したパラメータを送る」ことと等しい行為だと思ってるよ。問い詰めなくても分かってるだろ?
おまえは、本件CGIに特定のパラメータを入れれば情報が入手可能であることが、周知の事実であると本気で信じているのか?
>周知の事実がどう条文にどう関係するかも、もうさんざん聞いた
条文だけ見ててもダメなのれす。
>「本件 CGI に office が入力したパラメータを送る」ことと等しい行為だと思ってるよ。問い詰めなくても分かってるだろ?
おまえは、本件CGIに特定のパラメータを入れれば情報が入手可能であることが、周知の事実であると本気で信じているのか?
726 :名無しさん@4周年:04/02/06 18:22 ID:NRbQWUpm
>>701
あなたの理屈だと、2ちゃんねるの文章を読むと、
FTPやTELNETのアクセス制御機能を回避したことになるんだが。
繰り返し出てくるこの指摘に対して、一切知らぬ存ぜぬで
解答しないのはなぜ?
あなたの理屈だと、2ちゃんねるの文章を読むと、
FTPやTELNETのアクセス制御機能を回避したことになるんだが。
繰り返し出てくるこの指摘に対して、一切知らぬ存ぜぬで
解答しないのはなぜ?
727 :名無しさん@4周年:04/02/06 18:22 ID:jhEdiftC
>>720
そう、しかし、警察が圧力をかけるのは簡単になる。
そう、しかし、警察が圧力をかけるのは簡単になる。
728 :名無しさん@4周年:04/02/06 18:23 ID:sw9hLghh
つか773って「脆弱性」の英訳とかスッと出てくる?
こういう問題に関わる人間なら英文で毎日何十回も見てる単語だよな。
こういう問題に関わる人間なら英文で毎日何十回も見てる単語だよな。
729 :699:04/02/06 18:24 ID:wOsSrC0m
730 :名無しさん@4周年:04/02/06 18:24 ID:awdS9Wh3
>>724
>だから理解してほしいのは、漏れはこの不正アクセス禁止法というゲームに
>乗ること自体を拒否したいのだってことです。このゲームに乗ってしまうと
>おそらくoffice氏の将来のみならず日本のネットワークセキュリティ業界の
>セキュリティ向上への動機付けが著しく失われてしまうだろうから。いじょ
物事には両面が有ります。
言いたいことは分かるし、納得もできるのだが、だからといって不正アクセスを野放しにすれば別の面で不都合が生じます。
要はバランスです。
>だから理解してほしいのは、漏れはこの不正アクセス禁止法というゲームに
>乗ること自体を拒否したいのだってことです。このゲームに乗ってしまうと
>おそらくoffice氏の将来のみならず日本のネットワークセキュリティ業界の
>セキュリティ向上への動機付けが著しく失われてしまうだろうから。いじょ
物事には両面が有ります。
言いたいことは分かるし、納得もできるのだが、だからといって不正アクセスを野放しにすれば別の面で不都合が生じます。
要はバランスです。
このスレの途中で csvmail.logって出てきたので googleやったら 1件引っかかった。
そこ見たら、不正に呼び出したとか、パス突破したとか、知り得ないファイル名とか、
とてもで無いけど、そう言う事を言えるような使い方はされてなかった。
私が思うに、IDと passの入力画面が出てきたけど、リターン押したら通った。って感じか?
今回の件と同じなのかは分からないけどさ。
そこ見たら、不正に呼び出したとか、パス突破したとか、知り得ないファイル名とか、
とてもで無いけど、そう言う事を言えるような使い方はされてなかった。
私が思うに、IDと passの入力画面が出てきたけど、リターン押したら通った。って感じか?
今回の件と同じなのかは分からないけどさ。
732 :名無しさん@4周年:04/02/06 18:25 ID:NRbQWUpm
733 :名無しさん@4周年:04/02/06 18:25 ID:9ivDWCML
【中国】英紙「中国、鳥インフルエンザで数十人死亡」[02/06]
http://news2.2ch.net/test/read.cgi/news4plus/1076026407/l50
英紙タイムズは5日までに、中国当局が人への高病原性鳥インフルエンザ感染例が大量発生
している事実を組織的に隠ぺいしており、最大で数十人が既に死亡している可能性があると
伝えた。報道が事実とすれば、昨年の新型肺炎(SARS)発生時と同様の「患者隠し」を
していることになる。しかし、中国政府は同紙の報道について「根拠がなく無責任だ」と
国営新華社通信を通じて反論、「中国本土ではこれまで1人も感染者はいない」と全面的に
否定している。
2日付のタイムズ紙によると、鳥インフルエンザによる死者は中国南部の家禽(かきん)取引
業者らを中心に、推定で「数人から数十人」に達する。このほかにも治療中の患者が多くいるが、
病名は鳥インフルエンザとして扱われておらず、世界保健機関(WHO)にも報告していないと
いう。同紙はまた、中国人記者の話として「当局が(鳥インフルエンザに関する)取材をすべて
やめるよう命じる通達を出した」と指摘。鳥インフルエンザによる死者発生を報道すれば、解職の
恐れがあると伝えた。
http://www.nikkei.co.jp/news/kaigai/20040205AT3K0503O05022004.html
734 :名無しさん@4周年:04/02/06 18:25 ID:awdS9Wh3
>>728
733は「表面的な言葉」をそのまま中身がどんなことを意味しているか
理解せずに、言葉の組み合わせで理屈を作り上げているだけなのです。
だから、つっこむと知ったかぶりがみえる。
ただ、773を見習うべきところは、法を起点としてその語句を正確に
「表面的な言葉」に置き換えることが出来ているところ。
なので警察、裁判の側からみてどんな判断をするかを考える上では
正しいことを言ってる。
さっすがー
733は「表面的な言葉」をそのまま中身がどんなことを意味しているか
理解せずに、言葉の組み合わせで理屈を作り上げているだけなのです。
だから、つっこむと知ったかぶりがみえる。
ただ、773を見習うべきところは、法を起点としてその語句を正確に
「表面的な言葉」に置き換えることが出来ているところ。
なので警察、裁判の側からみてどんな判断をするかを考える上では
正しいことを言ってる。
さっすがー
736 :名無しさん@4周年:04/02/06 18:28 ID:jhEdiftC
>>734
2chブラウザって2chのdatを直読みしてるんじゃない?
2chブラウザって2chのdatを直読みしてるんじゃない?
737 :名無しさん@4周年:04/02/06 18:28 ID:awdS9Wh3
738 :名無しさん@4周年:04/02/06 18:28 ID:NRbQWUpm
>>735
言っとくけど法律関係はもっと素人だよ
言っとくけど法律関係はもっと素人だよ
740 :名無しさん@4周年:04/02/06 18:28 ID:awdS9Wh3
741 :名無しさん@4周年:04/02/06 18:29 ID:sw9hLghh
>>724
そのあたりは少しずつ変わっていくとおもうね。
また、今回ももしかしたら情状酌量はあるかもね。
でも基本的には鯖側は別問題として裁かれればいい。
ただ、こんなこと(鯖の怠慢)日常茶飯事だし、
オヒスのようなあほな接触の仕方をしなければ
感謝されて終わることも多い。
先日もあったな。swsoftとかいうところだっけ。
そのあたりは少しずつ変わっていくとおもうね。
また、今回ももしかしたら情状酌量はあるかもね。
でも基本的には鯖側は別問題として裁かれればいい。
ただ、こんなこと(鯖の怠慢)日常茶飯事だし、
オヒスのようなあほな接触の仕方をしなければ
感謝されて終わることも多い。
先日もあったな。swsoftとかいうところだっけ。
742 :名無しさん@4周年:04/02/06 18:29 ID:9ivDWCML
【朝鮮総連】外為法改正案可決で総聯中央代表、民主党に抗議[02/05]
http://news2.2ch.net/test/read.cgi/news4plus/1075999003/l50
先月外為法改正案が衆議院本会議で可決されたことに対し、総聯中央国際統一局局長らが
3日、法案の共同提出者である民主党本部を訪れた。
局長らは同党政調会長代理の中川正春衆議院議員、渡辺周衆議院議員と面談し、この法案が
在日同胞の人権と生活権を脅かす行為であると主張し、「法案」が成立されないよう求めた。
記事全文:朝鮮新報
http://210.145.168.243/sinboj/j-2004/01/0401j0205-00001.htm
【総連】対北朝鮮経済制裁 総連が阻止工作 国会議員への働きかけ指示[01/31]
http://news2.2ch.net/test/read.cgi/news4plus/1075507645/l50
【政治】民主党、参院選で朝鮮日報支社長の白氏を擁立へ
http://news2.2ch.net/test/read.cgi/news4plus/1075715719/l50
>>736
それにしたってひろゆきがイヤだって言ってないからOKだろ
それにしたってひろゆきがイヤだって言ってないからOKだろ
744 :名無しさん@4周年:04/02/06 18:30 ID:awdS9Wh3
745 :名無しさん@4周年:04/02/06 18:30 ID:/zAXEi2R
まあ、ドッチに転ぶかは難しいな、被告人を始めから犯罪者とみなすことは出来ない。
コレが犯罪になると、この先、個人情報を扱う上でこの様な管理が許される
ってことになるのか。でそれは何を意味するかって国もこの様なズサンな管理を
行っても良い、ってことになっちゃうかなぁ、でも見たら犯罪!!(国内法)
まあ、ACCSがタイホでもされれば別だがって誰がタイホされるんだよ?????
される訳ないなぁ
組織、企業、団体の攻めどことして何処を攻めれば改善されるんだ??法律ないだろ
欠陥住宅を作成しる人、欠陥住宅と判ってて住む人ってまあ難しいよなよぁ
ACCSも個人情報を聞き出してこの様な管理状態で運営を行ってる組織で
あることは紛れもない事実だったってことでしょ、まあ、今はしてないみたいだが・・・
コレが犯罪になると、この先、個人情報を扱う上でこの様な管理が許される
ってことになるのか。でそれは何を意味するかって国もこの様なズサンな管理を
行っても良い、ってことになっちゃうかなぁ、でも見たら犯罪!!(国内法)
まあ、ACCSがタイホでもされれば別だがって誰がタイホされるんだよ?????
される訳ないなぁ
組織、企業、団体の攻めどことして何処を攻めれば改善されるんだ??法律ないだろ
欠陥住宅を作成しる人、欠陥住宅と判ってて住む人ってまあ難しいよなよぁ
ACCSも個人情報を聞き出してこの様な管理状態で運営を行ってる組織で
あることは紛れもない事実だったってことでしょ、まあ、今はしてないみたいだが・・・
747 :名無しさん@4周年:04/02/06 18:32 ID:awdS9Wh3
748 :名無しさん@4周年:04/02/06 18:32 ID:jhEdiftC
>>743
アクセス制御機構を回避してるかどうか?
アクセス制御機構を回避してるかどうか?
749 :699:04/02/06 18:32 ID:wOsSrC0m
>>737
私の誤解かも知れないが
>「周知の事実であるかは関係ない。 」で犯罪か否か判断されると、チト怖いぞ。
これが、周知だから無罪、周知でないから有罪って意味だったら
……果てしなくズレてますよ
私の誤解かも知れないが
>「周知の事実であるかは関係ない。 」で犯罪か否か判断されると、チト怖いぞ。
これが、周知だから無罪、周知でないから有罪って意味だったら
……果てしなくズレてますよ
751 :名無しさん@4周年:04/02/06 18:33 ID:1EW70mZc
>>724
>「守りが甘かった」という事実自体はoffice氏が不正アクセス禁止法での処罰対象となることを
>何ら軽減しないようなのです。
それは分かります。
ただ、「formをいじってcgiを呼び出す」という方法そのものに関して、
裁判所はその善悪を判断できないと思ったので。
>「守りが甘かった」という事実自体はoffice氏が不正アクセス禁止法での処罰対象となることを
>何ら軽減しないようなのです。
それは分かります。
ただ、「formをいじってcgiを呼び出す」という方法そのものに関して、
裁判所はその善悪を判断できないと思ったので。
752 :名無しさん@4周年:04/02/06 18:34 ID:awdS9Wh3
753 :名無しさん@4周年:04/02/06 18:35 ID:NRbQWUpm
>>744
つまり、ファイル全部を読むのではなく、一部分でも不正アクセスは
不正アクセスということでよろしいか?
ならば、なぜゆえに >>734 のような的外れなことを書くのか?
しかも、>>747 では、
> 手元のDATファイルが2チャンネルのログファイル本体そのものであるとは恐れ入りました。
と、ふたたび「ログファイル本体」と言い出しているね。どういうつもり?
つまり、ファイル全部を読むのではなく、一部分でも不正アクセスは
不正アクセスということでよろしいか?
ならば、なぜゆえに >>734 のような的外れなことを書くのか?
しかも、>>747 では、
> 手元のDATファイルが2チャンネルのログファイル本体そのものであるとは恐れ入りました。
と、ふたたび「ログファイル本体」と言い出しているね。どういうつもり?
>>748
しらん
しらん
755 :名無しさん@4周年:04/02/06 18:35 ID:awdS9Wh3
比喩禁止だとは思うが鍵かけてなくても窃盗の罪は云々ってことだな
757 :名無しさん@4周年:04/02/06 18:38 ID:awdS9Wh3
758 :名無しさん@4周年:04/02/06 18:38 ID:sw9hLghh
擁護派ダウソ厨はすでに本旨に対する反論が全くないですね
759 :名無しさん@4周年:04/02/06 18:40 ID:/zAXEi2R
URLの指定で読み出し可能だったと言う事でファイナルアンサー
760 :名無しさん@4周年:04/02/06 18:40 ID:jhEdiftC
>>757
結局httpに要求して返ってきたファイルを読むのはいいんだろ?
結局httpに要求して返ってきたファイルを読むのはいいんだろ?
761 :699:04/02/06 18:42 ID:wOsSrC0m
>>752
そう、なら訂正の必要はなかったな。
officeがやったことは、何ら特殊なことでい。
そりゃ一般人は知らんだろうけど、ちょっとCGI技術が分かっている
人にとっては簡単な作業だった。
ADで発表したことで、特殊なことだと主張したい人がいるのかもしれ
んが、office はよく知られている方法でアクセスできることを発表
しただけ。
議論しても話進まないんで、もうやめとく。
そう、なら訂正の必要はなかったな。
officeがやったことは、何ら特殊なことでい。
そりゃ一般人は知らんだろうけど、ちょっとCGI技術が分かっている
人にとっては簡単な作業だった。
ADで発表したことで、特殊なことだと主張したい人がいるのかもしれ
んが、office はよく知られている方法でアクセスできることを発表
しただけ。
議論しても話進まないんで、もうやめとく。
762 :名無しさん@4周年:04/02/06 18:43 ID:awdS9Wh3
763 :名無しさん@4周年:04/02/06 18:44 ID:NiipYi81
764 :名無しさん@4周年:04/02/06 18:45 ID:sw9hLghh
765 :名無しさん@4周年:04/02/06 18:45 ID:Nvq3MjQw
>>762
「通常」かどうかを一般の周知があったかどうかで判断しないでねw
「通常」かどうかを一般の周知があったかどうかで判断しないでねw
767 :名無しさん@4周年:04/02/06 18:46 ID:awdS9Wh3
>>761
>そりゃ一般人は知らんだろうけど、ちょっとCGI技術が分かっている人にとっては簡単な作業だった。
マジ?
>office はよく知られている方法でアクセスできることを発表しただけ
マジ?
よくぞ言い切ったとほめてやりたいのもやまやまであるが、おそらくそれは「特殊な知識」。
officeの違法性を阻却するには、チト弱い。
お疲れであった。
>そりゃ一般人は知らんだろうけど、ちょっとCGI技術が分かっている人にとっては簡単な作業だった。
マジ?
>office はよく知られている方法でアクセスできることを発表しただけ
マジ?
よくぞ言い切ったとほめてやりたいのもやまやまであるが、おそらくそれは「特殊な知識」。
officeの違法性を阻却するには、チト弱い。
お疲れであった。
768 :名無しさん@4周年:04/02/06 18:47 ID:sw9hLghh
769 :名無しさん@4周年:04/02/06 18:50 ID:NiipYi81
>>768
しつけえんだよ、電波。じゃあ、きっちりどこが不正アクセスなのかいってみろよ、基地外。
しつけえんだよ、電波。じゃあ、きっちりどこが不正アクセスなのかいってみろよ、基地外。
770 :名無しさん@4周年:04/02/06 18:50 ID:awdS9Wh3
771 :名無しさん@4周年:04/02/06 18:50 ID:sw9hLghh
「index.htmlを置いていないディレクトリにアクセスした場合は・・」
とか言い出すの禁止な(ワララ
関係ないからね、京都大学研究員河合一穂容疑者(40)のした犯罪とは。
とか言い出すの禁止な(ワララ
関係ないからね、京都大学研究員河合一穂容疑者(40)のした犯罪とは。
772 :名無しさん@4周年:04/02/06 18:51 ID:awdS9Wh3
773 :名無しさん@4周年:04/02/06 18:53 ID:sw9hLghh
774 :名無しさん@4周年:04/02/06 18:54 ID:uloYvN0+
>>769
マターリまたーりヽ( ´ー`)ノ
マターリまたーりヽ( ´ー`)ノ
776 :名無しさん@4周年:04/02/06 18:56 ID:Nvq3MjQw
スレが沈む
誰か勝利宣言でも汁w
誰か勝利宣言でも汁w
777 :名無しさん@4周年:04/02/06 18:56 ID:awdS9Wh3
778 :名無しさん@4周年:04/02/06 18:58 ID:jhEdiftC
>>762
そこが問題だ。httpをしゃべるのはブラウザだけじゃなくてtelnetでもしゃべれる。
用意されたCGIのとおりにhttpをしゃべるのが通常とは限らない。
普通は、通常じゃないのは鯖がはじくだけなのだが。
そこが問題だ。httpをしゃべるのはブラウザだけじゃなくてtelnetでもしゃべれる。
用意されたCGIのとおりにhttpをしゃべるのが通常とは限らない。
普通は、通常じゃないのは鯖がはじくだけなのだが。
>>757
> おまいは、いつも2ちゃんのログをダウンロードして読んでいるのか! と問いつめたい。
わははは。で、それは不正アクセスなんですかい?
おっと、しつこくてすまんかった。今回でやめる。読んでいる人もうんざりだろうし。
あんまり同じ話でギャーギャー騒ぎたくもないし。
問題のページにはパスワードこそかかっていなかったものの、ファイル名を閲覧者に
知らしめるようなものが掲示されていたわけでもない。秘密のファイル名を何らかの
手段で探り当てリクエストを組み立ててデータを読み出すというのは不正アクセスだ。
というのが、ACCSの主張では?
なぜって、当該ウェブサイトを見に来る人はみんなHTTPプロトコルでアクセスしに
来るのだから。サイトは、HTTPプロトコルでやってくるリクエストに対して適切な
アクセス制限をしていたかどうかが問われる。なにしろ、ウェブサイトなんだもの。
主たるサービスの対象はHTTPだ。正面玄関に鍵をかけないってのはマズイ。
で、警察なりACCSなりは、HTTPプロトコルに対してアクセス制限(のようなもの)が
一応かかっていたという立場を取っているのであって、FTPやらTELNETやらの話は
しておらんでしょう?
今回の件、容疑者が個人情報を公開したのはケシカランと強い憤りも感じるけど、
FTPやTELNETを論拠にアクセス制限されていたと主張するのは、どだい無理があるよ。
くどくどと、正直すまんかった。ワタシは、ここで退散する。
> おまいは、いつも2ちゃんのログをダウンロードして読んでいるのか! と問いつめたい。
わははは。で、それは不正アクセスなんですかい?
おっと、しつこくてすまんかった。今回でやめる。読んでいる人もうんざりだろうし。
あんまり同じ話でギャーギャー騒ぎたくもないし。
問題のページにはパスワードこそかかっていなかったものの、ファイル名を閲覧者に
知らしめるようなものが掲示されていたわけでもない。秘密のファイル名を何らかの
手段で探り当てリクエストを組み立ててデータを読み出すというのは不正アクセスだ。
というのが、ACCSの主張では?
なぜって、当該ウェブサイトを見に来る人はみんなHTTPプロトコルでアクセスしに
来るのだから。サイトは、HTTPプロトコルでやってくるリクエストに対して適切な
アクセス制限をしていたかどうかが問われる。なにしろ、ウェブサイトなんだもの。
主たるサービスの対象はHTTPだ。正面玄関に鍵をかけないってのはマズイ。
で、警察なりACCSなりは、HTTPプロトコルに対してアクセス制限(のようなもの)が
一応かかっていたという立場を取っているのであって、FTPやらTELNETやらの話は
しておらんでしょう?
今回の件、容疑者が個人情報を公開したのはケシカランと強い憤りも感じるけど、
FTPやTELNETを論拠にアクセス制限されていたと主張するのは、どだい無理があるよ。
くどくどと、正直すまんかった。ワタシは、ここで退散する。
disp.cgi ってファイル名からしても任意のファイルを表示するCGIってわかるからなー
アクセス制御も何もないだろ。
アクセス制御も何もないだろ。
782 :名無しさん@4周年:04/02/06 19:01 ID:NiipYi81
783 :名無しさん@4周年:04/02/06 19:02 ID:awdS9Wh3
>>780
>HTTPプロトコルに対してアクセス制限(のようなもの)が一応かかっていたという立場を取っている
実際そうだったのですが何か?
誰か言ってたでしょう?
HTTPで直接ファイルを指定してもアクセスできないって。
つーか、何故そこにばかりこだわる?
>HTTPプロトコルに対してアクセス制限(のようなもの)が一応かかっていたという立場を取っている
実際そうだったのですが何か?
誰か言ってたでしょう?
HTTPで直接ファイルを指定してもアクセスできないって。
つーか、何故そこにばかりこだわる?
784 :名無しさん@4周年:04/02/06 19:04 ID:r5LDRHzz
>>783
おまえバカだけどしつこさは凄いな。
おまえバカだけどしつこさは凄いな。
786 :名無しさん@4周年:04/02/06 19:05 ID:awdS9Wh3
787 :名無しさん@4周年:04/02/06 19:05 ID:sw9hLghh
勤務先にガサ入れか!
やるな警視庁!
ここまで迷惑掛ければ、たとえ証拠不十分で釈放でももう京大には
戻れまい
やるな警視庁!
ここまで迷惑掛ければ、たとえ証拠不十分で釈放でももう京大には
戻れまい
789 :改鼠 ◆9YLawNEZMI :04/02/06 19:05 ID:xBOJXho+
そいえば、これ↑ちゃんとみんな直したのかなー。直さず使ってる人が多いかもしれづ・・
791 :名無しさん@4周年:04/02/06 19:07 ID:sw9hLghh
もはやPOSTとGETの違いを理解しているかすら疑わしい
奴ばかりになってきたぞw
奴ばかりになってきたぞw
792 :名無しさん@4周年:04/02/06 19:07 ID:awdS9Wh3
794 :名無しさん@4周年:04/02/06 19:08 ID:r5LDRHzz
>>786
違法性を阻却するまでもなく構成要件に該当しないだろw
違法性を阻却するまでもなく構成要件に該当しないだろw
796 :名無しさん@4周年:04/02/06 19:10 ID:awdS9Wh3
797 :名無しさん@4周年:04/02/06 19:11 ID:sw9hLghh
擁護派ダウソ厨の落としどころが見えなくなってきたよw
>>731はセーフでいいんじゃねーの。見てねーけど。
でも
関 係 な い か ら ね 、
京 都 大 学 研 究 員 河 合 一 穂 容 疑 者 ( 4 0 ) の し た 犯 罪 とは。
>>731はセーフでいいんじゃねーの。見てねーけど。
でも
関 係 な い か ら ね 、
京 都 大 学 研 究 員 河 合 一 穂 容 疑 者 ( 4 0 ) の し た 犯 罪 とは。
不正アクセスにプロトコルなんか関係ないよ
Webroot配下にないファイル
=アクセスするには認証がいるファイル
=アクセス制御されているファイルに
CGIプログラムの引数の洗浄不足という脆弱性を利用して
アクセスした
よって不正アクセスである
もし今回のケースが不正アクセスでないなら
Webroot配下にないファイル
=アクセスするには認証がいるファイル
=アクセス制御されているファイルに
あるプログラムのバッファの境界検証不足(バッファオーバーフロー)
という脆弱性を利用してアクセスした
も当然不正アクセスではないことになる
Webroot配下にないファイル
=アクセスするには認証がいるファイル
=アクセス制御されているファイルに
CGIプログラムの引数の洗浄不足という脆弱性を利用して
アクセスした
よって不正アクセスである
もし今回のケースが不正アクセスでないなら
Webroot配下にないファイル
=アクセスするには認証がいるファイル
=アクセス制御されているファイルに
あるプログラムのバッファの境界検証不足(バッファオーバーフロー)
という脆弱性を利用してアクセスした
も当然不正アクセスではないことになる
799 :名無しさん@4周年:04/02/06 19:13 ID:sw9hLghh
>794
難しい話についてこれなくなりまちたか?
難しい話についてこれなくなりまちたか?
801 :名無しさん@4周年:04/02/06 19:14 ID:Nvq3MjQw
802 :名無しさん@4周年:04/02/06 19:16 ID:r5LDRHzz
>>796
それは違うな。
構成要件に該当しないのは、
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
その制限されている特定利用をし得る状態にさせる行為」をしていないからだ。
制限を免れる情報を入力するまでもなく制限を回避してしまうCGIが設置されていたのだ。
容疑者がおくったPOSTのリクエストは「定利用をし得る状態にさせる行為」ではなく利用する行為にあたるということも付記しておく。
それは違うな。
構成要件に該当しないのは、
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
その制限されている特定利用をし得る状態にさせる行為」をしていないからだ。
制限を免れる情報を入力するまでもなく制限を回避してしまうCGIが設置されていたのだ。
容疑者がおくったPOSTのリクエストは「定利用をし得る状態にさせる行為」ではなく利用する行為にあたるということも付記しておく。
>>801
そんくらいなら分かってるよ……
そんくらいなら分かってるよ……
804 :名無しさん@4周年:04/02/06 19:18 ID:r5LDRHzz
805 :名無しさん@4周年:04/02/06 19:20 ID:yeH2o1Rp
>>780
私もそこに拘ります。
実際にURLでファイル名を指定してどうだったかは、それでは出来なかったという
又聞きです。
拘る理由は
問題のログファイルの置かれていたディレクトリに対する拡張子datは参照不能と
いう設定としていたと考えられます。
もし、これがhtaccessファイルの記述などで残っていた場合は、サーバーへ
対するHTTPからのリクエストは制限されていたと言えるからです。
私もそこに拘ります。
実際にURLでファイル名を指定してどうだったかは、それでは出来なかったという
又聞きです。
拘る理由は
問題のログファイルの置かれていたディレクトリに対する拡張子datは参照不能と
いう設定としていたと考えられます。
もし、これがhtaccessファイルの記述などで残っていた場合は、サーバーへ
対するHTTPからのリクエストは制限されていたと言えるからです。
806 :名無しさん@4周年:04/02/06 19:21 ID:awdS9Wh3
>>802
それも3回くらい聞いた。
>構成要件に該当しないのは、
>「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
>その制限されている特定利用をし得る状態にさせる行為」をしていないからだ。
なぜ、そういいきれるのかこれも3回ぐらい聞いたが、返事がない。
>制限を免れる情報を入力するまでもなく制限を回避してしまうCGIが設置されていたのだ。
>容疑者がおくったPOSTのリクエストは「定利用をし得る状態にさせる行為」ではなく利用する行為にあたるということも付記しておく。
ちなみに、特定利用を制限する主体はサーバ管理者若しくはACCSであって、CGIではないということも指摘済みなのれす。
それも3回くらい聞いた。
>構成要件に該当しないのは、
>「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
>その制限されている特定利用をし得る状態にさせる行為」をしていないからだ。
なぜ、そういいきれるのかこれも3回ぐらい聞いたが、返事がない。
>制限を免れる情報を入力するまでもなく制限を回避してしまうCGIが設置されていたのだ。
>容疑者がおくったPOSTのリクエストは「定利用をし得る状態にさせる行為」ではなく利用する行為にあたるということも付記しておく。
ちなみに、特定利用を制限する主体はサーバ管理者若しくはACCSであって、CGIではないということも指摘済みなのれす。
>>798
> =アクセスするには認証がいるファイル
ACCSのサイト、認証ありましたっけ?
認証があったなら、このスレ、こんなに続かないと思うんですけど。
認証なんて一切なくて、どんなファイル名でも、もしその名前のファイルが存在したなら
CGIはさくっと送り出していたんじゃないの?
> =アクセスするには認証がいるファイル
ACCSのサイト、認証ありましたっけ?
認証があったなら、このスレ、こんなに続かないと思うんですけど。
認証なんて一切なくて、どんなファイル名でも、もしその名前のファイルが存在したなら
CGIはさくっと送り出していたんじゃないの?
808 :名無しさん@4周年:04/02/06 19:21 ID:sw9hLghh
>>802
その断言口調は裁判長ですか?w
その断言口調は裁判長ですか?w
ID:ake5QoO0まだいる?
810 :名無しさん@4周年:04/02/06 19:26 ID:sw9hLghh
811 :名無しさん@4周年:04/02/06 19:26 ID:Nvq3MjQw
>>806
だから鯖総体とcgi単体をごちゃまぜにするなと…
だから鯖総体とcgi単体をごちゃまぜにするなと…
813 :名無しさん@4周年:04/02/06 19:27 ID:awdS9Wh3
さて、腹が減ったから飯を食べに行く! 文句有るか?
文句有るなら言ってもいいんだぞ! 俺が許す。
文句有るなら言ってもいいんだぞ! 俺が許す。
>>807
だからそれはCGIというプログラムに引数を洗浄していないという
脆弱性があるから
あのCGIが無ければアクセスできないところにファイルは置いてあった
あのCGIが置いてあればアクセス制御はされていないというのは
セキュリティーホールがあるプログラムがおいてあれば
アクセス制御はされていないというのと同じことだって書いただろ
だからそれはCGIというプログラムに引数を洗浄していないという
脆弱性があるから
あのCGIが無ければアクセスできないところにファイルは置いてあった
あのCGIが置いてあればアクセス制御はされていないというのは
セキュリティーホールがあるプログラムがおいてあれば
アクセス制御はされていないというのと同じことだって書いただろ
815 :名無しさん@4周年:04/02/06 19:28 ID:r5LDRHzz
>>806
条文に書いてあるので断言できる。
>ちなみに、特定利用を制限する主体はサーバ管理者若しくはACCSであって、CGIではないということも指摘済みなのれす。
ここでは全く関係ない。
構成要件に該当するという為には、
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
その制限されている特定利用をし得る状態にさせる行為」
をしている必要があるんだけど、この場合はどういった行為がこれに該当するの?
先ほども指摘したようにCGIに対してファイルを指定して出した要求は利用行為であって、「利用をし得る状態にさせる行為」ではない。
あえていえば、アホなサーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる。
よって構成要件に該当しない。
条文に書いてあるので断言できる。
>ちなみに、特定利用を制限する主体はサーバ管理者若しくはACCSであって、CGIではないということも指摘済みなのれす。
ここでは全く関係ない。
構成要件に該当するという為には、
「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
その制限されている特定利用をし得る状態にさせる行為」
をしている必要があるんだけど、この場合はどういった行為がこれに該当するの?
先ほども指摘したようにCGIに対してファイルを指定して出した要求は利用行為であって、「利用をし得る状態にさせる行為」ではない。
あえていえば、アホなサーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる。
よって構成要件に該当しない。
816 :名無しさん@4周年:04/02/06 19:28 ID:sw9hLghh
もう99%有罪は妥当だってわかってるのに
1%の可能性にすがりついてごねてる擁護派ダウソ厨が痛々しくて・・・
1%の可能性にすがりついてごねてる擁護派ダウソ厨が痛々しくて・・・
>>805
> HTTPからのリクエスト
cgi をPOSTメソッドで呼び出すのは、HTTPプロトコル以外の何物ではない。
HTTP以外のどんな方法で、ACCSのサイトのCGIを実行するのかなぁ?
ブラウザでGETメソッドでファイルを指定することだけがHTTPというわけでは
ないんで、どうも、HTTPという言葉の使い方が変じゃないかと思うんだが・・・
> HTTPからのリクエスト
cgi をPOSTメソッドで呼び出すのは、HTTPプロトコル以外の何物ではない。
HTTP以外のどんな方法で、ACCSのサイトのCGIを実行するのかなぁ?
ブラウザでGETメソッドでファイルを指定することだけがHTTPというわけでは
ないんで、どうも、HTTPという言葉の使い方が変じゃないかと思うんだが・・・
818 :名無しさん@4周年:04/02/06 19:32 ID:yeH2o1Rp
>>814
同意します。
管理側がhtaccessなんかで明示的にdatファイルへのアクセス制限をしていたら
アクセス制限されていた事は立証できると思います。(多分これがあるのでは?)
ここの人たちは、HTTPによるアクセスとcgiの動きを理解していない人が多すぎです。
同意します。
管理側がhtaccessなんかで明示的にdatファイルへのアクセス制限をしていたら
アクセス制限されていた事は立証できると思います。(多分これがあるのでは?)
ここの人たちは、HTTPによるアクセスとcgiの動きを理解していない人が多すぎです。
ID:ake5QoO0いないのか…orz
820 :名無しさん@4周年:04/02/06 19:34 ID:sw9hLghh
>>815
ローカルに置いたHTMLを改造して通常のブラウジングでは不可能な
POSTデータを送って個人情報を表示させるという行為が
想定された通りの「利用行為」であるという主張になるわけだよね?
いやあっぱれな弁護士だww
ローカルに置いたHTMLを改造して通常のブラウジングでは不可能な
POSTデータを送って個人情報を表示させるという行為が
想定された通りの「利用行為」であるという主張になるわけだよね?
いやあっぱれな弁護士だww
>>820
合ってるんだが。
合ってるんだが。
822 :名無しさん@4周年:04/02/06 19:35 ID:awdS9Wh3
何だだれも勝利宣言しないのか?
そんな冷静に反論されたら、飯いけないじゃないの。
>構成要件に該当するという為には、
>「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
>その制限されている特定利用をし得る状態にさせる行為」
>をしている必要があるんだけど、
ここまではヨシ。
>この場合はどういった行為がこれに該当するの?
>先ほども指摘したようにCGIに対してファイルを指定して出した要求は利用行為であって、「利用をし得る状態にさせる行為」ではない。
ここが致命的。
特定利用であるか否かはCGIの造りによってのみ決定されるわけではない。
管理者が想定しない、また一般人が通常思いつかない方法で個人情報が流出した事実があるのであるから、たとえその瞬間だけであろうと「利用をし得る状態」
が発生しておる。
>あえていえば、アホなサーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる。
因果関係を検討するに当たって、風が吹けば桶屋が儲かる状態になっておる。
やり直し。
>よって構成要件に該当しない。
俺が飯食って帰ってくるまでに、やり直し!
そんな冷静に反論されたら、飯いけないじゃないの。
>構成要件に該当するという為には、
>「当該アクセス制御機能による特定利用の制限を免れることができる情報又は指令を入力して、
>その制限されている特定利用をし得る状態にさせる行為」
>をしている必要があるんだけど、
ここまではヨシ。
>この場合はどういった行為がこれに該当するの?
>先ほども指摘したようにCGIに対してファイルを指定して出した要求は利用行為であって、「利用をし得る状態にさせる行為」ではない。
ここが致命的。
特定利用であるか否かはCGIの造りによってのみ決定されるわけではない。
管理者が想定しない、また一般人が通常思いつかない方法で個人情報が流出した事実があるのであるから、たとえその瞬間だけであろうと「利用をし得る状態」
が発生しておる。
>あえていえば、アホなサーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる。
因果関係を検討するに当たって、風が吹けば桶屋が儲かる状態になっておる。
やり直し。
>よって構成要件に該当しない。
俺が飯食って帰ってくるまでに、やり直し!
823 :名無しさん@4周年:04/02/06 19:35 ID:N6/WL4zH
デレィクトリにindexを置き忘れてたに1000ギコ
>>815
>アホなサーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる。
これはつまりアホな鯖管がセキュリティーホールのあるプログラムを設置した場合
「利用をし得る状態にさせる行為」という解釈だな
つまりセキュリティーホールによるアクセス制御の回避をうたった2条2項は
いかなる場合も成立しないってことだな
無理だってw
>アホなサーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる。
これはつまりアホな鯖管がセキュリティーホールのあるプログラムを設置した場合
「利用をし得る状態にさせる行為」という解釈だな
つまりセキュリティーホールによるアクセス制御の回避をうたった2条2項は
いかなる場合も成立しないってことだな
無理だってw
825 :名無しさん@4周年:04/02/06 19:37 ID:r5LDRHzz
>>820
想定しているかどうかは不正アクセス防止法の処罰においては全く考慮されない。
なんらなのデータを送って、、不正な「利用をし得る状態にさせる行為」が処罰の対象になる行為。
不正な「利用をした」こと自体は3-2-2の処罰の対象ではない。
常駐するなら条文くらいぐぐって読めよ。
想定しているかどうかは不正アクセス防止法の処罰においては全く考慮されない。
なんらなのデータを送って、、不正な「利用をし得る状態にさせる行為」が処罰の対象になる行為。
不正な「利用をした」こと自体は3-2-2の処罰の対象ではない。
常駐するなら条文くらいぐぐって読めよ。
826 :名無しさん@4周年:04/02/06 19:37 ID:sw9hLghh
つか
>サーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる
を立証するのが限りなく不可能に近い。
能動的なもんじゃねーし、未必の故意にもなってない。
>サーバ管理者のCGI設置行為が「利用をし得る状態にさせる行為」にあたる
を立証するのが限りなく不可能に近い。
能動的なもんじゃねーし、未必の故意にもなってない。
827 :名無しさん@4周年:04/02/06 19:37 ID:yeH2o1Rp
>>817
ご自分でも書いてるようにcgiを呼び出す命令ですよね。
postでは、指定したCGIファイルに指定たパラメーターを渡すという命令では
ないんですか?
その時点で、HTTPから離れていますよ。
そして、datファイルを直接指定した場合に404とか403でエラーが表示された
場合に、実際にファイルがあるのにそれが表示されないのは、HTTPからの
アクセスを制限しているからと考えないのですか?
だから、それらを記述するファイルの名称がhtaccessと言うのではないですか?
ご自分でも書いてるようにcgiを呼び出す命令ですよね。
postでは、指定したCGIファイルに指定たパラメーターを渡すという命令では
ないんですか?
その時点で、HTTPから離れていますよ。
そして、datファイルを直接指定した場合に404とか403でエラーが表示された
場合に、実際にファイルがあるのにそれが表示されないのは、HTTPからの
アクセスを制限しているからと考えないのですか?
だから、それらを記述するファイルの名称がhtaccessと言うのではないですか?
>>814
うーん、
CGIにアクセス制御の機能が盛り込まれていて、それをすり抜けた
という場合なら、文句なしに不正アクセスだと思うんですけど、
CGIにはそういう制御が盛り込まれていなかったみたいですし・・・
アクセス制御をしているCGIのセキュリティホールを付いて、なら
不正アクセスでしょうけど、今回、アクセス制御をやっていない
CGIなんですよね。
うーん、
CGIにアクセス制御の機能が盛り込まれていて、それをすり抜けた
という場合なら、文句なしに不正アクセスだと思うんですけど、
CGIにはそういう制御が盛り込まれていなかったみたいですし・・・
アクセス制御をしているCGIのセキュリティホールを付いて、なら
不正アクセスでしょうけど、今回、アクセス制御をやっていない
CGIなんですよね。
829 :名無しさん@4周年:04/02/06 19:40 ID:r5LDRHzz
>>826
サーバ管理者を不正アクセス防止法で処罰しろといっているわけではないよ。
あえて構成要件に該当する行為を指摘すればそうなるというだけ。
故意がないなら責任が阻却されるので、管理者も処罰されない。
サーバ管理者を不正アクセス防止法で処罰しろといっているわけではないよ。
あえて構成要件に該当する行為を指摘すればそうなるというだけ。
故意がないなら責任が阻却されるので、管理者も処罰されない。
830 :名無しさん@4周年:04/02/06 19:41 ID:jhEdiftC
>>820
それで、通常のブラウジングって何だ?
それで、通常のブラウジングって何だ?
831 :名無しさん@4周年:04/02/06 19:41 ID:NiipYi81
832 :名無しさん@4周年:04/02/06 19:42 ID:/2EfRzN5
835 :名無しさん@4周年:04/02/06 19:45 ID:sw9hLghh
>>829
では、バッファーオーバーランを突く類の攻撃も一切処罰されなくなると言いたいわけだ。
では、バッファーオーバーランを突く類の攻撃も一切処罰されなくなると言いたいわけだ。
836 :名無しさん@4周年:04/02/06 19:46 ID:yeH2o1Rp
>>831
私が言ってるのは、制御がという意味ですよ。
POSTを含んだリクエストを受けるまでは、httpdが制御し、その後は
CGIを実行する為のPerlに移るでしょ?
なんで、通常こういったログファイルのパーミッションを644などにしてるか
また、htaccssなどの中でアクセス禁止にしているかを判っていますか?
私が言ってるのは、制御がという意味ですよ。
POSTを含んだリクエストを受けるまでは、httpdが制御し、その後は
CGIを実行する為のPerlに移るでしょ?
なんで、通常こういったログファイルのパーミッションを644などにしてるか
また、htaccssなどの中でアクセス禁止にしているかを判っていますか?
>>835 それはない。
838 :名無しさん@4周年:04/02/06 19:47 ID:NiipYi81
今回の案件は、管理人の不始末で、アクセス制御すべき場所のアクセス制御を
怠っており、そのために個人情報が漏えいしてしまったわけだろ?
漏洩に加担したおひすは不法行為を行ったと解釈できるが、なんらかの
責任はあるが、不正アクセスではないと思うんだが?
って、何度書けばいんだ。
怠っており、そのために個人情報が漏えいしてしまったわけだろ?
漏洩に加担したおひすは不法行為を行ったと解釈できるが、なんらかの
責任はあるが、不正アクセスではないと思うんだが?
って、何度書けばいんだ。
839 :名無しさん@4周年:04/02/06 19:48 ID:kB168sxb
なんで、そないにみんな、河合のボンを悪者にしはるのどすか。
へんな、いちびりの兄さんがおった、でよろしゅおますやろ。
うちら、しもじものもんには、なあーーんの被害もあらへんのやさかい。
河合のボン、くじけたらあかんでえ、負けたらあかん。
40にもなって、
年収200万そこそこで生きてきたあんたは、えらいんやさかい。
へんな、いちびりの兄さんがおった、でよろしゅおますやろ。
うちら、しもじものもんには、なあーーんの被害もあらへんのやさかい。
河合のボン、くじけたらあかんでえ、負けたらあかん。
40にもなって、
年収200万そこそこで生きてきたあんたは、えらいんやさかい。
840 :名無しさん@4周年:04/02/06 19:49 ID:qaD8NRas
841 :名無しさん@4周年:04/02/06 19:50 ID:sw9hLghh
842 :名無しさん@4周年:04/02/06 19:50 ID:yeH2o1Rp
843 :名無しさん@4周年:04/02/06 19:51 ID:eM5zQz4i
323 名前:名無しさん@お腹いっぱい。 投稿日:04/02/06 18:31
ACCSさん家の扉は錠前がついていて、ACCSさんやACCSさんに鍵を渡された人以外には入れないようになっていました。
ところがオヒスは、ACCSさんの家の構造に詳しかったので、扉でない壁の部分のどこかを叩くと隠し扉が出て、その隠し扉から
ACCSさんの中に入れる事を知っていました。そこで、お節介なオヒスは、ACCSさんの家が危ないと思って、壁を叩いて
隠し扉を出現させ、隠し扉を開いてACCSさんの家に無断で入り、家の中にあったACCSさんの日記を持ち出して、
その日記を公衆の面前に晒して、ACCSさん家は危ないと吹聴して回りました。
こう書けば、オヒスが有罪なのは間違いが無いことが分かるだろう
有体物の家屋が不法侵入罪によって無断侵入されない保護法益がある構造と、
不正アクセス禁止法によってサーバー等の内部に無断侵入アクセスされない保護法益がある構造とは
全く同種の構造である。
よってオヒスは有罪
324 名前:名無しさん@お腹いっぱい。 投稿日:04/02/06 18:38
>>323
>>62
>>(河)このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
>>相談したが、不正アクセスではないと思う。
ACCSさん家は(隠し扉があるため)外部からの侵入を防ぐ工夫がなく、家全体が公道に放置されているような状態だった。
弁護士にも相談したが、不法侵入罪ではないと思う。
と言ってるのと同じですね。オヒスもその担当弁護士も致傷と言うことです。
ACCSさん家の扉は錠前がついていて、ACCSさんやACCSさんに鍵を渡された人以外には入れないようになっていました。
ところがオヒスは、ACCSさんの家の構造に詳しかったので、扉でない壁の部分のどこかを叩くと隠し扉が出て、その隠し扉から
ACCSさんの中に入れる事を知っていました。そこで、お節介なオヒスは、ACCSさんの家が危ないと思って、壁を叩いて
隠し扉を出現させ、隠し扉を開いてACCSさんの家に無断で入り、家の中にあったACCSさんの日記を持ち出して、
その日記を公衆の面前に晒して、ACCSさん家は危ないと吹聴して回りました。
こう書けば、オヒスが有罪なのは間違いが無いことが分かるだろう
有体物の家屋が不法侵入罪によって無断侵入されない保護法益がある構造と、
不正アクセス禁止法によってサーバー等の内部に無断侵入アクセスされない保護法益がある構造とは
全く同種の構造である。
よってオヒスは有罪
324 名前:名無しさん@お腹いっぱい。 投稿日:04/02/06 18:38
>>323
>>62
>>(河)このCGIには外部からの侵入を防ぐ工夫がなく、全ての情報が公道に放置されているような状態だった。弁護士にも
>>相談したが、不正アクセスではないと思う。
ACCSさん家は(隠し扉があるため)外部からの侵入を防ぐ工夫がなく、家全体が公道に放置されているような状態だった。
弁護士にも相談したが、不法侵入罪ではないと思う。
と言ってるのと同じですね。オヒスもその担当弁護士も致傷と言うことです。
844 :名無しさん@4周年:04/02/06 19:51 ID:r5LDRHzz
>>835
バッファオーバーランは不正な「利用をし得る状態にさせる行為」なので処罰の対象になる。
バッファオーバーランは不正な「利用をし得る状態にさせる行為」なので処罰の対象になる。
846 :名無しさん@4周年:04/02/06 19:52 ID:NiipYi81
大体、サニタイズもせず、入力される開こうとするデータファイル名について
なんら制限も加えないソフトウェアを書き設置している段階で、管理者は、
コンピュータのアクセス制御を解除しちゃってるわけですが?
その行為が「コンピュータのアクセス制御を解除」にあたらないと、管理者が
解釈したのは、その管理者が無能であるからで、不正アクセス禁止法の精神は、
明らかにこのような無能な管理者が無能な管理をすることを認めては
いないんだけど?
なんら制限も加えないソフトウェアを書き設置している段階で、管理者は、
コンピュータのアクセス制御を解除しちゃってるわけですが?
その行為が「コンピュータのアクセス制御を解除」にあたらないと、管理者が
解釈したのは、その管理者が無能であるからで、不正アクセス禁止法の精神は、
明らかにこのような無能な管理者が無能な管理をすることを認めては
いないんだけど?
847 :名無しさん@4周年:04/02/06 19:52 ID:quW0uvu0
338 名前:名無しさん@お腹いっぱい。 投稿日:04/02/06 19:08
>>324
2ちゃんで貼られている変なURLをクリックして情報盗み出したら逮捕される
こともあり得るってこった
良く注意することが必要だな
>>324
2ちゃんで貼られている変なURLをクリックして情報盗み出したら逮捕される
こともあり得るってこった
良く注意することが必要だな
848 :名無しさん@4周年:04/02/06 19:54 ID:qaD8NRas
>>842
cgiが.htaccessの指定に従うかどうかは自由なんですよ。
cgiが.htaccessの指定に従うかどうかは自由なんですよ。
850 :名無しさん@4周年:04/02/06 19:55 ID:1EW70mZc
結局、3-2-2の条文だけでは、今回の方法そのものの違法性は問えないと思う。
officeの目的や公の利益とか法の精神にのっとった解釈を加えて有罪かな?
でも、これじゃ個人情報保護法案とダブ気もする。
officeの目的や公の利益とか法の精神にのっとった解釈を加えて有罪かな?
でも、これじゃ個人情報保護法案とダブ気もする。
851 :名無しさん@4周年:04/02/06 19:55 ID:DnUko0gn
852 :名無しさん@4周年:04/02/06 19:55 ID:NiipYi81
俺もたとえ話で申し訳ないが、
「玄関の鍵は掛けといたけど、通りからちょっと手を伸ばせば届く居間の窓が全開だった」
くらいに間抜けな話だろ?
その窓のサッシに財布が置いてあって、勝手に持っていってしまったら泥棒には違いないが、
窓が全開なんだから「空き巣に入られた」と言って家主の責任が問われないのではおかしいよ。
彼は犯罪者には違いなかろうが、これを不正アクセスとして片付けるのだけは止めてくれ。
「玄関の鍵は掛けといたけど、通りからちょっと手を伸ばせば届く居間の窓が全開だった」
くらいに間抜けな話だろ?
その窓のサッシに財布が置いてあって、勝手に持っていってしまったら泥棒には違いないが、
窓が全開なんだから「空き巣に入られた」と言って家主の責任が問われないのではおかしいよ。
彼は犯罪者には違いなかろうが、これを不正アクセスとして片付けるのだけは止めてくれ。
854 :名無しさん@4周年:04/02/06 19:57 ID:sw9hLghh
>>844
ちょっとまてよ。
あんたの根拠の起点として
提供側が
【不正な「利用をし得る状態にさせる行為」をしていたか否か】
が重要なんじゃないか。
利用者側でなく。
もう一度聞くが
セキュリティーホールの放置も
不正な「利用をし得る状態にさせる行為」
になるじゃろ?
ちょっとまてよ。
あんたの根拠の起点として
提供側が
【不正な「利用をし得る状態にさせる行為」をしていたか否か】
が重要なんじゃないか。
利用者側でなく。
もう一度聞くが
セキュリティーホールの放置も
不正な「利用をし得る状態にさせる行為」
になるじゃろ?
856 :名無しさん@4周年:04/02/06 19:57 ID:r5LDRHzz
>>842
しかし不正アクセス禁止法で禁止されているのは、不正な「利用をし得る状態にさせる行為」なので、単に不正なアクセスをしただけでは処罰されないんだよ。
不正なアクセスができるようなCGIを設置した人が処罰の対象。
だけどこの場合それは管理者で、知らずにやっちゃったんだから処罰されない。
しかし不正アクセス禁止法で禁止されているのは、不正な「利用をし得る状態にさせる行為」なので、単に不正なアクセスをしただけでは処罰されないんだよ。
不正なアクセスができるようなCGIを設置した人が処罰の対象。
だけどこの場合それは管理者で、知らずにやっちゃったんだから処罰されない。
857 :名無しさん@4周年:04/02/06 19:59 ID:85qXcPei
僕のシークレットホールも情報公開されるのでしょうか?
まとめると
不正アクセス否定派はCGIの引数がサニタイズされていないのは「仕様」と主張
不正アクセス肯定派はCGIの引数がサニタイズされていないのは「脆弱性」と主張
こういうことだな
つかプロトコルとかまったく関係ないからやめろw
不正アクセス否定派はCGIの引数がサニタイズされていないのは「仕様」と主張
不正アクセス肯定派はCGIの引数がサニタイズされていないのは「脆弱性」と主張
こういうことだな
つかプロトコルとかまったく関係ないからやめろw
859 :名無しさん@4周年:04/02/06 20:00 ID:r5LDRHzz
>>854
セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
860 :名無しさん@4周年:04/02/06 20:01 ID:FmoCtUNZ
とどのつまり、WindowsでAdministratorのログインパスワードを設定してれば(パスワード空の場合を除く)
アクセス制御機構があるPCと言うことになる。
そのPCをネットに繋いだ時点で、特定電子計算機がその特定利用が制御されている状態になるわけだから、
PCをネットに繋いだ香具師すなわちアクセス管理者は、Administratorとパスワードを識別符号として特定利用を制御している
つもりになっている。そしてそれは法的には正しい事とされる。
そしてその後は、ネットに繋いだPCのNetBIOSがオンになってるとかドライブ共有がオンになってるとかで
サルでもそのPCのフォルダの中身が見れるようになっていたとしても、
そのPCのフォルダの中身にネット経由で無断でアクセスするなどして特定利用した香具師は、
不正アクセス禁止法違反で処罰される。
アクセス制御機構があるPCと言うことになる。
そのPCをネットに繋いだ時点で、特定電子計算機がその特定利用が制御されている状態になるわけだから、
PCをネットに繋いだ香具師すなわちアクセス管理者は、Administratorとパスワードを識別符号として特定利用を制御している
つもりになっている。そしてそれは法的には正しい事とされる。
そしてその後は、ネットに繋いだPCのNetBIOSがオンになってるとかドライブ共有がオンになってるとかで
サルでもそのPCのフォルダの中身が見れるようになっていたとしても、
そのPCのフォルダの中身にネット経由で無断でアクセスするなどして特定利用した香具師は、
不正アクセス禁止法違反で処罰される。
862 :名無しさん@4周年:04/02/06 20:03 ID:sw9hLghh
863 :名無しさん@4周年:04/02/06 20:03 ID:xQPXG08h
不正アクセス違反よりも、個人情報保護法違反の方が妥当だと思う。
ACCS馬鹿すぎ。
ACCS馬鹿すぎ。
>>860
アクセス制御機能があるならそうなりますねー
アクセス制御機能があるならそうなりますねー
865 :名無しさん@4周年:04/02/06 20:05 ID:r5LDRHzz
>>864
ならないよw
ならないよw
866 :名無しさん@4周年:04/02/06 20:06 ID:NiipYi81
>>858
バッファオーバーフローのバグだとならともかく、今回の事例はCGI 作成者の
明らかな無知と無能に端を発していて、あれが脆弱性というのは明らかに
無理があると思う。
一般的な能力があるプログラマなら、当該事例の CGI がどういうものなのか
即座に理解できるわけで、今回の事例を不正アクセスとするのは、いかがな
ものかと思う。
バッファオーバーフローのバグだとならともかく、今回の事例はCGI 作成者の
明らかな無知と無能に端を発していて、あれが脆弱性というのは明らかに
無理があると思う。
一般的な能力があるプログラマなら、当該事例の CGI がどういうものなのか
即座に理解できるわけで、今回の事例を不正アクセスとするのは、いかがな
ものかと思う。
868 :名無しさん@4周年:04/02/06 20:07 ID:FmoCtUNZ
重要なのは、「玄関の鍵」=ログインIDとパスワードで「家」=サーバーやクライアントPC等が管理されている状態になってれば、
「刑法の不法侵入罪」=不正アクセス禁止法違反罪で保護される対象PC等になると言うことであり、
バックドアや隠し扉を意図的に知っているなどして見つけて中に侵入=PC等の内部にアクセスした場合には、
構成要件該当性があると言うことだ。
そんでもって、隠し扉があからさまだからと言っても、通常の一般人にはその隠し扉は見えない(現に漏れも知らない)わけだから、
隠し扉を知っている香具師が、隠し扉に鍵が掛かっていない事をもって保護される「家」PC等ではないとすることはできない。
だから、単に2ちゃんに置かれている変なURLをクリックした場合でも、それが当該アクセス先のPC等のアクセス管理者の
「通常一般人が期待するレベルで」意図しないPC等内部へのアクセスを発生させるような場合には、
不正アクセス禁止法違反罪の構成要件該当性があると言うことになる。
隠し扉が空いているからと言って、玄関の鍵が掛かっていないと言うことにはならない。
「刑法の不法侵入罪」=不正アクセス禁止法違反罪で保護される対象PC等になると言うことであり、
バックドアや隠し扉を意図的に知っているなどして見つけて中に侵入=PC等の内部にアクセスした場合には、
構成要件該当性があると言うことだ。
そんでもって、隠し扉があからさまだからと言っても、通常の一般人にはその隠し扉は見えない(現に漏れも知らない)わけだから、
隠し扉を知っている香具師が、隠し扉に鍵が掛かっていない事をもって保護される「家」PC等ではないとすることはできない。
だから、単に2ちゃんに置かれている変なURLをクリックした場合でも、それが当該アクセス先のPC等のアクセス管理者の
「通常一般人が期待するレベルで」意図しないPC等内部へのアクセスを発生させるような場合には、
不正アクセス禁止法違反罪の構成要件該当性があると言うことになる。
隠し扉が空いているからと言って、玄関の鍵が掛かっていないと言うことにはならない。
もう不正アクセスとかどうでもいいからさ、声明文の会社とACCSをギャフンと言わせる方法を・・
871 :名無しさん@4周年:04/02/06 20:09 ID:sw9hLghh
>>867
オヒスは今回のCGIを「個人情報表示CGIと考えていた」と主張したいのか?w
オヒスは今回のCGIを「個人情報表示CGIと考えていた」と主張したいのか?w
872 :名無しさん@4周年:04/02/06 20:09 ID:r5LDRHzz
>>866
その言い分はまぁ理解できるんだが
あるプログラム脆弱性を利用するのが簡単か難しいかは
不正アクセス禁止法的には本質的に関係ないんだよ
最大の問題点は不正アクセス禁止法が糞鯖管に
圧倒的に有利にできてるってこと
その言い分はまぁ理解できるんだが
あるプログラム脆弱性を利用するのが簡単か難しいかは
不正アクセス禁止法的には本質的に関係ないんだよ
最大の問題点は不正アクセス禁止法が糞鯖管に
圧倒的に有利にできてるってこと
いいかげん眠くなってキタ━━━━(゚∀゚)━━━━!!
876 :名無しさん@4周年:04/02/06 20:11 ID:sw9hLghh
878 :名無しさん@4周年:04/02/06 20:12 ID:FmoCtUNZ
>>853
でもって、ちゃんと不正アクセス禁止法には規定がある
(不正アクセス行為を助長する行為の禁止)
第四条 何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らか
にして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者
に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、こ
の限りでない。
要するにちゃんと窓の鍵も閉めろ、錠前は玄関も窓もより安全な奴に取り替えろ、って規定だが、
これに違反しても罰則はない
あくまでも侵入する香具師が悪いのであって、侵入された側に罰則をもってまで強制することは無いし、
また侵入された側が努力規定に違反しているからと言ってその事が直ちに侵入した側を無罪にするわけでもない。
泥棒は取られる香具師が悪いと言うが、その事をもって泥棒が無罪とすることは出来ないと言うことだ
でもって、ちゃんと不正アクセス禁止法には規定がある
(不正アクセス行為を助長する行為の禁止)
第四条 何人も、アクセス制御機能に係る他人の識別符号を、その識別符号がどの特定電子計算機の特定利用に係るものであるかを明らか
にして、又はこれを知っている者の求めに応じて、当該アクセス制御機能に係るアクセス管理者及び当該識別符号に係る利用権者以外の者
に提供してはならない。ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、こ
の限りでない。
要するにちゃんと窓の鍵も閉めろ、錠前は玄関も窓もより安全な奴に取り替えろ、って規定だが、
これに違反しても罰則はない
あくまでも侵入する香具師が悪いのであって、侵入された側に罰則をもってまで強制することは無いし、
また侵入された側が努力規定に違反しているからと言ってその事が直ちに侵入した側を無罪にするわけでもない。
泥棒は取られる香具師が悪いと言うが、その事をもって泥棒が無罪とすることは出来ないと言うことだ
玄関に鍵がかかっていないといって他人のうちにはいればドロボーだよ
こんな簡単なことを文化庁長官は身内に教えないのかな?
こんな簡単なことを文化庁長官は身内に教えないのかな?
880 :名無しさん@4周年:04/02/06 20:14 ID:sw9hLghh
881 :名無しさん@4周年:04/02/06 20:14 ID:r5LDRHzz
>>876
>>859への返事がないんだがね。必死なのはお前。
>>877
>>859読んでね。不正競争防止法の3-2-2で禁止されているのは不正な「利用をし得る状態にさせる行為」だよ。
不正な利用そのものは禁止されていない。
>>859への返事がないんだがね。必死なのはお前。
>>877
>>859読んでね。不正競争防止法の3-2-2で禁止されているのは不正な「利用をし得る状態にさせる行為」だよ。
不正な利用そのものは禁止されていない。
882 :名無しさん@4周年:04/02/06 20:15 ID:FmoCtUNZ
>>873
>>管理者がドライブ共有などのサービスをしてるんなら不正ではありませぬ。
重要なのは管理者の意図。
管理者が過失でサービス共有が放置状態にされていたのであれば、そのドライブ共有は不正アクセス禁止法の保護対象になる。
>>管理者がドライブ共有などのサービスをしてるんなら不正ではありませぬ。
重要なのは管理者の意図。
管理者が過失でサービス共有が放置状態にされていたのであれば、そのドライブ共有は不正アクセス禁止法の保護対象になる。
>>874
そうですね。「セキュリティボロボロの状態なんだから
何されたって文句なんか言えないだろーが、アホ」てな
言い方はこの法律の下では通らないという気がする。
「つもりセキュリティ」もセキュリティのうち、つう
ことですかねぇ。
そうですね。「セキュリティボロボロの状態なんだから
何されたって文句なんか言えないだろーが、アホ」てな
言い方はこの法律の下では通らないという気がする。
「つもりセキュリティ」もセキュリティのうち、つう
ことですかねぇ。
884 :名無しさん@4周年:04/02/06 20:15 ID:ZvIq4Re/
ニュース板なんでとりあえず燃料投下。
http://www.asahi.com/special/hacking/TKY200402060218.html
>ハイテク犯罪対策総合センターによると、河合容疑者は雑談に応じるが、
>調べには黙秘しているという。
なんで黙秘してるんだろ〜な〜
http://www.asahi.com/special/hacking/TKY200402060218.html
>ハイテク犯罪対策総合センターによると、河合容疑者は雑談に応じるが、
>調べには黙秘しているという。
なんで黙秘してるんだろ〜な〜
885 :名無しさん@4周年:04/02/06 20:16 ID:awdS9Wh3
そりゃファーストサーバの森川が
「あのCGIは鯖内の全てのファイルを表示する目的で作ったもので
もともとサニタイズなどするつもりはありませんでした」
って証言すれば「仕様」ってことになるだろうけどなw
間違いなく
「あのCGIは特定のフォームでの特定の利用を想定して作成したもので
サニタイズしなかったのはCGI設計上の脆弱性です」
っていうな
ほんと不正アクセス防止法って糞鯖管有利にできてるなぁ
「あのCGIは鯖内の全てのファイルを表示する目的で作ったもので
もともとサニタイズなどするつもりはありませんでした」
って証言すれば「仕様」ってことになるだろうけどなw
間違いなく
「あのCGIは特定のフォームでの特定の利用を想定して作成したもので
サニタイズしなかったのはCGI設計上の脆弱性です」
っていうな
ほんと不正アクセス防止法って糞鯖管有利にできてるなぁ
887 :名無しさん@4周年:04/02/06 20:17 ID:sw9hLghh
773宿題はまだー?
889 :名無しさん@4周年:04/02/06 20:17 ID:r5LDRHzz
>>884
ってか最初の報道では事実は認めているが容疑は否認だったはずだけど。
変な自供書類にサインさせられそうになって拒否しているうちに面倒になって、「もう黙秘ってことにします」と告げただけではw
結構よくある話。
ってか最初の報道では事実は認めているが容疑は否認だったはずだけど。
変な自供書類にサインさせられそうになって拒否しているうちに面倒になって、「もう黙秘ってことにします」と告げただけではw
結構よくある話。
890 :名無しさん@4周年:04/02/06 20:18 ID:1EW70mZc
>>881
個人的には、対策される前に公表してしまった事は
「利用をし得る状態にさせる行為」にあたるかも?と思ったり。
ちょっと拡大しすぎかな。
formの改造やらビューアcgiの直接利用はなんら問題ないと思うけど。
個人的には、対策される前に公表してしまった事は
「利用をし得る状態にさせる行為」にあたるかも?と思ったり。
ちょっと拡大しすぎかな。
formの改造やらビューアcgiの直接利用はなんら問題ないと思うけど。
891 :名無しさん@4周年:04/02/06 20:18 ID:awdS9Wh3
892 :名無しさん@4周年:04/02/06 20:19 ID:ZvIq4Re/
893 :名無しさん@4周年:04/02/06 20:19 ID:FmoCtUNZ
ようするに
CGIの脆弱性を知っていて(=知情)
脆弱性を利用する(故意)があって(→URLクリックすれば内部にアクセスできると言う認識と意志)
内部にアクセスする(故意)があって(→同上)
脆弱性を利用して(故意)
内部にアクセスすれば(故意)
構成要件の一部に該当性がある。
CGIの脆弱性を知っていて(=知情)
脆弱性を利用する(故意)があって(→URLクリックすれば内部にアクセスできると言う認識と意志)
内部にアクセスする(故意)があって(→同上)
脆弱性を利用して(故意)
内部にアクセスすれば(故意)
構成要件の一部に該当性がある。
でも個人情報保護法だと、今回のACCS側は努力義務違反で
ゴルァされることはあっても罰則はないんですよねぇ。
ゴルァされることはあっても罰則はないんですよねぇ。
896 :名無しさん@4周年:04/02/06 20:21 ID:sw9hLghh
>>884
わざわざ/hacking/などという仰々しいディレクトリまで作られてしまったのか…。
わざわざ/hacking/などという仰々しいディレクトリまで作られてしまったのか…。
899 :名無しさん@4周年:04/02/06 20:22 ID:r5LDRHzz
>>870,878
その財布が家主(サーバ管理者)のものではなくて、下宿人(利用者)の物だったとしてもそれで済むのか?
もちろん一番悪いのは泥棒だが、家主が勝手に下宿人の財布をサッシなんぞに置いといたり、
その結果盗まれた責任もとらないのでは変じゃないか?
その財布が家主(サーバ管理者)のものではなくて、下宿人(利用者)の物だったとしてもそれで済むのか?
もちろん一番悪いのは泥棒だが、家主が勝手に下宿人の財布をサッシなんぞに置いといたり、
その結果盗まれた責任もとらないのでは変じゃないか?
>cgiが.htaccessの指定に従うかどうかは自由なんですよ。
これをいっておいてpcは知らないか、、、pcという表現も面白いけど。
おとなしく”あっちのおべんきょう”しとこうや、(><)
これをいっておいてpcは知らないか、、、pcという表現も面白いけど。
おとなしく”あっちのおべんきょう”しとこうや、(><)
902 :名無しさん@4周年:04/02/06 20:24 ID:Nvq3MjQw
「利用をし得る状態にさせる行為」とは、一般に脆弱性をついて、
管理者権限を取得するような準備行動を言う。
今回は、通常利用されないPOSTリクエストを送る行為の中に含まれるだろ
管理者権限を取得するような準備行動を言う。
今回は、通常利用されないPOSTリクエストを送る行為の中に含まれるだろ
904 :名無しさん@4周年:04/02/06 20:26 ID:r5LDRHzz
>>901
いや…だから何なん?
いや…だから何なん?
>>905
なんで知らないふりをして、何を得ようとしているのか、だ。
なんで知らないふりをして、何を得ようとしているのか、だ。
907 :名無しさん@4周年:04/02/06 20:29 ID:sw9hLghh
>>899
後段云々ではなく。
今回の管理側の状態だって
【不正な「利用をし得る状態にさせる行為」である可能性がある】
程度にとどめるのが普通だろ。
お前の主張ではすでに黒で確定のようだけど。
俺の意見としては
セキュリティーホールの怠慢による放置も
アフォなcgiの怠慢による放置も一緒。
そして、白だと思う。
後段云々ではなく。
今回の管理側の状態だって
【不正な「利用をし得る状態にさせる行為」である可能性がある】
程度にとどめるのが普通だろ。
お前の主張ではすでに黒で確定のようだけど。
俺の意見としては
セキュリティーホールの怠慢による放置も
アフォなcgiの怠慢による放置も一緒。
そして、白だと思う。
>>904
おけおけ、言わんとするところ了解。
ただ「不正な利用は禁止されてない」ってのは問題ありかな、と。
>>906
何を得るのん?
つなみにperlで糞みたいな掲示板作ることくらいならできるけど
おけおけ、言わんとするところ了解。
ただ「不正な利用は禁止されてない」ってのは問題ありかな、と。
>>906
何を得るのん?
つなみにperlで糞みたいな掲示板作ることくらいならできるけど
910 :名無しさん@4周年:04/02/06 20:31 ID:jhEdiftC
泥棒に例えるより、閉架式の図書館に例えたほうがいい。
図書館は公開する意図がなかった本があるのだが、
司書にそれを伝えていなかったため、
ある人が閲覧の要求をしたらその本が出てきてしまった。
図書館は公開する意図がなかった本があるのだが、
司書にそれを伝えていなかったため、
ある人が閲覧の要求をしたらその本が出てきてしまった。
911 :名無しさん@4周年:04/02/06 20:31 ID:ZvIq4Re/
912 :名無しさん@4周年:04/02/06 20:31 ID:awdS9Wh3
913 :名無しさん@4周年:04/02/06 20:32 ID:Nvq3MjQw
なんでXSSと勘違いしている輩が多いかと思ったら朝日新聞が原因だったか。
http://www.asahi.com/special/hacking/
http://www.asahi.com/special/hacking/
915 :名無しさん@4周年:04/02/06 20:33 ID:r5LDRHzz
>>907
その点に関しては「今回の件においてあえて不正な『利用をし得る状態にさせる行為』を指摘すれば」という前フリをしている。
漏れが前段といったのは、cgiを通したアクセスは『利用行為そのものであって「利用をし得る状態にさせる行為」ではない』という指摘のこと。
そっちの書き込みを誤読したかもしれんね。失礼。
白ではなくて、構成要件には該当するが故意がないので処罰されないというのが正しいけどな。
その点に関しては「今回の件においてあえて不正な『利用をし得る状態にさせる行為』を指摘すれば」という前フリをしている。
漏れが前段といったのは、cgiを通したアクセスは『利用行為そのものであって「利用をし得る状態にさせる行為」ではない』という指摘のこと。
そっちの書き込みを誤読したかもしれんね。失礼。
白ではなくて、構成要件には該当するが故意がないので処罰されないというのが正しいけどな。
916 :名無しさん@4周年:04/02/06 20:34 ID:fP8cHZX/
____
/ \
| lヽ___ノ
| | ■■ ■
| / <・) <・)
| (6:. .:/(´ヽ >
| ||:::::((━━) < うちの馬の流出だけは阻止します。
|/\::::::::::::ノ
/ \
| lヽ___ノ
| | ■■ ■
| / <・) <・)
| (6:. .:/(´ヽ >
| ||:::::((━━) < うちの馬の流出だけは阻止します。
|/\::::::::::::ノ
いろいろ議論されてるが
>>858で書いた内容がすべてだろ
不正アクセス否定派はCGIの引数がサニタイズされていないのは「仕様」と主張
つまり管理者によるアクセス制御はなされていなかった
不正アクセス肯定派はCGIの引数がサニタイズされていないのは「脆弱性」と主張
つまり管理者によるアクセス制御の回避にあたる
ここの認識が違ってるかぎりたぶん平行線
一部を除いてほとんどのヤシは下の認識だと思うが
>>858で書いた内容がすべてだろ
不正アクセス否定派はCGIの引数がサニタイズされていないのは「仕様」と主張
つまり管理者によるアクセス制御はなされていなかった
不正アクセス肯定派はCGIの引数がサニタイズされていないのは「脆弱性」と主張
つまり管理者によるアクセス制御の回避にあたる
ここの認識が違ってるかぎりたぶん平行線
一部を除いてほとんどのヤシは下の認識だと思うが
918 :名無しさん@4周年:04/02/06 20:36 ID:awdS9Wh3
>>904
うむ。では、>>859を検討しよう。
>セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
共謀が必要です。
>バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
おまいは、俺が>>822で言っていることを、すこーしも理解しとらん、つーかさけてるな。
うむ。では、>>859を検討しよう。
>セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
共謀が必要です。
>バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
おまいは、俺が>>822で言っていることを、すこーしも理解しとらん、つーかさけてるな。
919 :名無しさん@4周年:04/02/06 20:36 ID:ZvIq4Re/
てか>>915は無作為も違法と断定してる時点で終わってるよ。もっとましな
擁護意見はないのか?
擁護意見はないのか?
920 :名無しさん@4周年:04/02/06 20:36 ID:r5LDRHzz
>>913
>>859を読んでくれ。
859 :名無しさん@4周年 :04/02/06 20:00 ID:r5LDRHzz
>>854
セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
>>859を読んでくれ。
859 :名無しさん@4周年 :04/02/06 20:00 ID:r5LDRHzz
>>854
セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
922 :名無しさん@4周年:04/02/06 20:36 ID:wOsSrC0m
>>889
そういう複雑なことではなく、報道か警察発表が間違ってただけだろう。
そういう複雑なことではなく、報道か警察発表が間違ってただけだろう。
923 :名無しさん@4周年:04/02/06 20:37 ID:ktULvTJX
>>908
そうかなwww
そうかなwww
925 :名無しさん@4周年:04/02/06 20:39 ID:awdS9Wh3
>>920
>バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
おまいは、鍵を壊すのだけが犯罪で、その後に家の中に侵入することは犯罪でないと言っているのだが・・・
>バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
おまいは、鍵を壊すのだけが犯罪で、その後に家の中に侵入することは犯罪でないと言っているのだが・・・
>>924
訳わかんねwww
訳わかんねwww
927 :名無しさん@4周年:04/02/06 20:41 ID:Nvq3MjQw
928 :名無しさん@4周年:04/02/06 20:41 ID:sw9hLghh
929 :名無しさん@4周年:04/02/06 20:42 ID:ZvIq4Re/
>921 :773 :04/02/06 20:36 ID:u0p5dcBT
>>>917
> 今回の一件では客観的に後者の見方が妥当だと思う。
> ただ裁判となると、office氏の故意性が問題になりそう…
全然問題になりませんけどー。「脆弱性を指摘する意図でした」という
言い訳は不正アクセス禁止法が禁止する行為を行う故意の成立には何ら
関係しない。もういい加減世迷い言並べ立てるのやめて巣に帰れ。
>>925
いや、後段が不正アクセス禁止法に違反しないというのは正しい。
刑法の電子計算機損壊等業務妨害に当たるけどなw
>>>917
> 今回の一件では客観的に後者の見方が妥当だと思う。
> ただ裁判となると、office氏の故意性が問題になりそう…
全然問題になりませんけどー。「脆弱性を指摘する意図でした」という
言い訳は不正アクセス禁止法が禁止する行為を行う故意の成立には何ら
関係しない。もういい加減世迷い言並べ立てるのやめて巣に帰れ。
>>925
いや、後段が不正アクセス禁止法に違反しないというのは正しい。
刑法の電子計算機損壊等業務妨害に当たるけどなw
930 :名無しさん@4周年:04/02/06 20:42 ID:wOsSrC0m
>>917
一応書いとく。俺は上な。
一応書いとく。俺は上な。
931 :名無しさん@4周年:04/02/06 20:43 ID:awdS9Wh3
>>929
激しく勘違いしてないか?おちつけ。
激しく勘違いしてないか?おちつけ。
933 :名無しさん@4周年:04/02/06 20:45 ID:wOsSrC0m
議論が平行線なのはしょうがねーべ。法律の専門家が議論したって平行線
なんだろうから。
もう新しい観点でてきてないし、後は行方を見守ろう。
なんだろうから。
もう新しい観点でてきてないし、後は行方を見守ろう。
>>917
故意性は問題にならんだろ
POSTを弄ったりとか発表したりとか
あきらかに故意にやってる
偶然CGIの引数をまちがえたとかじゃない
問題になるのは悪意性だと思うが
不正アクセス禁止法では悪意は
(俗にいうハックかクラックか)
考慮されていないし
情状酌量にはなると思うが
故意性は問題にならんだろ
POSTを弄ったりとか発表したりとか
あきらかに故意にやってる
偶然CGIの引数をまちがえたとかじゃない
問題になるのは悪意性だと思うが
不正アクセス禁止法では悪意は
(俗にいうハックかクラックか)
考慮されていないし
情状酌量にはなると思うが
935 :名無しさん@4周年:04/02/06 20:46 ID:r5LDRHzz
>>918
>共謀が必要です。
刑法総論から読み直せw
>>822でまともに反論を試みている部分は
>特定利用であるか否かはCGIの造りによってのみ決定されるわけではない。
>管理者が想定しない、また一般人が通常思いつかない方法で個人情報が流出した事実があるのであるから、
>たとえその瞬間だけであろうと「利用をし得る状態」が発生しておる。
管理者の想定も個人情報流出も関係ない。あると主張するなら条文もしくは判例を引いて来い。
アホなので無視していたのだが……
>共謀が必要です。
刑法総論から読み直せw
>>822でまともに反論を試みている部分は
>特定利用であるか否かはCGIの造りによってのみ決定されるわけではない。
>管理者が想定しない、また一般人が通常思いつかない方法で個人情報が流出した事実があるのであるから、
>たとえその瞬間だけであろうと「利用をし得る状態」が発生しておる。
管理者の想定も個人情報流出も関係ない。あると主張するなら条文もしくは判例を引いて来い。
アホなので無視していたのだが……
936 :名無しさん@4周年:04/02/06 20:48 ID:awdS9Wh3
937 :名無しさん@4周年:04/02/06 20:48 ID:sw9hLghh
有罪であることは間違いないけど
罪状をネタに遊んでるだけなんだよねw
罪状をネタに遊んでるだけなんだよねw
938 :名無しさん@4周年:04/02/06 20:49 ID:r5LDRHzz
>>932
勘違いしているのはあなたですよw
勘違いしているのはあなたですよw
939 :名無しさん@4周年:04/02/06 20:49 ID:9iIlPUEH
一条の(目的)「電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電気通信に関する秩序の維持を図り、もって高度情報通信社会の健全な発展に寄与することを目的とする。」
っての読むと、ACCSも河合も両方有罪だボケっ!って気になる。
っての読むと、ACCSも河合も両方有罪だボケっ!って気になる。
942 :名無しさん@4周年:04/02/06 20:51 ID:Nvq3MjQw
故意
ACCSその他=意図してなかった
office=意図してやった
悪意性は別だけども
ACCSその他=意図してなかった
office=意図してやった
悪意性は別だけども
944 :名無しさん@4周年:04/02/06 20:52 ID:r5LDRHzz
>>937
いや、ファイルの閲覧だけでは「電子計算機損壊等業務妨害」には当たらないから。
今回は完璧に無罪。
>>942
だから利用し得る状態にする行為はサーバー管理者のCGI設置行為であって、今回の容疑者の行為ではない。
だから容疑者は処罰されない。
またサーバー管理者にも故意がないので処罰されない。
結局検察は起訴までもちこめない。
以上。
いや、ファイルの閲覧だけでは「電子計算機損壊等業務妨害」には当たらないから。
今回は完璧に無罪。
>>942
だから利用し得る状態にする行為はサーバー管理者のCGI設置行為であって、今回の容疑者の行為ではない。
だから容疑者は処罰されない。
またサーバー管理者にも故意がないので処罰されない。
結局検察は起訴までもちこめない。
以上。
さあ、盛り上がってまいりました。
732がリングに追い詰められております。
ところで、一般的な基本となる法律を理解している人はいるのか?
部分的に聞きかじっただけではなく。
おれは、法哲学とこの不正アクセス禁止法しか実はしらない。
732がリングに追い詰められております。
ところで、一般的な基本となる法律を理解している人はいるのか?
部分的に聞きかじっただけではなく。
おれは、法哲学とこの不正アクセス禁止法しか実はしらない。
946 :名無しさん@4周年:04/02/06 20:52 ID:sw9hLghh
「悪意」「善意」の使い方は気を付けろ!
947 :名無しさん@4周年:04/02/06 20:54 ID:sw9hLghh
948 :名無しさん@4周年:04/02/06 20:55 ID:awdS9Wh3
>>935
officeとサーバ会社に共謀の事実が有れば、「可能性」は有りますが何か?
>管理者の想定も個人情報流出も関係ない。あると主張するなら条文もしくは判例を引いて来い。
「刑法総論から読み直せw」と仰るにもかかわらず、なんと乱暴な立論を・・・。
管理者の想定 ← 正当な手続きに則って情報を得たか否かの判断材料の一つ。
個人情報流出 ← 個人情報にアクセスした事実の疎明資料
>アホなので無視していたのだが……
私がアホである事実は、不正アクセスに該当するか否かの判断に影響は及ぼしませんが何か?
つーか、宿題云々という冗談を真に受けるな。
ネタにマジレスだぞ。
officeとサーバ会社に共謀の事実が有れば、「可能性」は有りますが何か?
>管理者の想定も個人情報流出も関係ない。あると主張するなら条文もしくは判例を引いて来い。
「刑法総論から読み直せw」と仰るにもかかわらず、なんと乱暴な立論を・・・。
管理者の想定 ← 正当な手続きに則って情報を得たか否かの判断材料の一つ。
個人情報流出 ← 個人情報にアクセスした事実の疎明資料
>アホなので無視していたのだが……
私がアホである事実は、不正アクセスに該当するか否かの判断に影響は及ぼしませんが何か?
つーか、宿題云々という冗談を真に受けるな。
ネタにマジレスだぞ。
951 :名無しさん@4周年:04/02/06 20:56 ID:awdS9Wh3
ID:sw9hLghh って、中川だろ。
953 :名無しさん@4周年:04/02/06 20:59 ID:ZvIq4Re/
>>944
>ファイルの閲覧だけでは「電子計算機損壊等業務妨害」には当たらないから。
少なくとも使用目的に反しているので適用しようと思えばできるよ。
CPU時間が有限な資源なのを知らんのか?
ただ、「ファイルの閲覧」という行為単体では可罰性が著しく低いので
実際には有罪には出来ないだろう。
しかし、個人情報ファイルの価値を念頭に置くと、話が違ってくる。
売ったりできるようなデータを、正当なパスワードを持った内部の人間が
不正なコードを実行して取り出すというのはよくあることだ。
>ファイルの閲覧だけでは「電子計算機損壊等業務妨害」には当たらないから。
少なくとも使用目的に反しているので適用しようと思えばできるよ。
CPU時間が有限な資源なのを知らんのか?
ただ、「ファイルの閲覧」という行為単体では可罰性が著しく低いので
実際には有罪には出来ないだろう。
しかし、個人情報ファイルの価値を念頭に置くと、話が違ってくる。
売ったりできるようなデータを、正当なパスワードを持った内部の人間が
不正なコードを実行して取り出すというのはよくあることだ。
954 :名無しさん@4周年:04/02/06 20:59 ID:k4G+A/Q/
Webサーバからブラウザで表示できる情報、これすなわち公開情報
955 :名無しさん@4周年:04/02/06 20:59 ID:3dggJfGb
CGI 作者の意図どおりの動作
管理者の意図しない動作
攻撃者が想定できる動作
通常の操作ではアクセスできない領域にログがあれば、アクセス制御機能を有する領域
になり、これを回避したことにより不正アクセスの疑いがある。
CGIによる操作が通常の操作範囲内であるかどうかが争点。
予想できる動作であれば、URLのディレクトリをさかのぼる行為やファイル連番予想も
該当し、これにより有罪であることになれば、影響は大きすぎることが心配。
該当ログファイルを発見する行為は、CGI作者の意図どおりだが、管理者の意図しない
行為でありグレーゾーンに入る。
ログファイル名を見つけた行為と、ログファイル名から情報を取得した行為はそれぞれ、
グレー、白になる。
管理者の意図しない動作
攻撃者が想定できる動作
通常の操作ではアクセスできない領域にログがあれば、アクセス制御機能を有する領域
になり、これを回避したことにより不正アクセスの疑いがある。
CGIによる操作が通常の操作範囲内であるかどうかが争点。
予想できる動作であれば、URLのディレクトリをさかのぼる行為やファイル連番予想も
該当し、これにより有罪であることになれば、影響は大きすぎることが心配。
該当ログファイルを発見する行為は、CGI作者の意図どおりだが、管理者の意図しない
行為でありグレーゾーンに入る。
ログファイル名を見つけた行為と、ログファイル名から情報を取得した行為はそれぞれ、
グレー、白になる。
957 :名無しさん@4周年:04/02/06 21:00 ID:awdS9Wh3
958 :名無しさん@4周年:04/02/06 21:00 ID:r5LDRHzz
>>947
逮捕時点の容疑に「電子計算機損壊等業務妨害」が含まれないことを考えれば自明だが。
業務妨害は業務妨害でも「威力業務妨害」しか入っていない。
>>948
だからこっちは実際の条文を引いて説明しているのに、そっちが脳内法律だからお話にならんのよ。
出直してきてね。
逮捕時点の容疑に「電子計算機損壊等業務妨害」が含まれないことを考えれば自明だが。
業務妨害は業務妨害でも「威力業務妨害」しか入っていない。
>>948
だからこっちは実際の条文を引いて説明しているのに、そっちが脳内法律だからお話にならんのよ。
出直してきてね。
>>952
どこの中川だーーー!?
どこの中川だーーー!?
961 :名無しさん@4周年:04/02/06 21:01 ID:awdS9Wh3
962 :名無しさん@4周年:04/02/06 21:02 ID:ZvIq4Re/
>>956 :773 :04/02/06 20:59 ID:u0p5dcBT
> >>950-951
> だからoffice氏がcgiを利用してファイルを閲覧したことは合法行為であって、
> それを鯖総体から見て不正アクセスに見えてもoffice氏の知らないことなんだよ
ID:u0p5dcBTが金星語を喋り始めたぞw
>>960
中川家
> >>950-951
> だからoffice氏がcgiを利用してファイルを閲覧したことは合法行為であって、
> それを鯖総体から見て不正アクセスに見えてもoffice氏の知らないことなんだよ
ID:u0p5dcBTが金星語を喋り始めたぞw
>>960
中川家
963 :名無しさん@4周年:04/02/06 21:03 ID:jhEdiftC
>>955
通常の操作って何だよ
通常の操作って何だよ
964 :名無しさん@4周年:04/02/06 21:03 ID:awdS9Wh3
>>958
おかしいなあ、私は確かに日本の法律を引いているのだが・・・
>だからこっちは実際の条文を引いて説明しているのに、そっちが脳内法律だからお話にならんのよ。出直してきてね。
あきらめずに、ガンガレ。
世の中「理屈」が大事だよ。
おかしいなあ、私は確かに日本の法律を引いているのだが・・・
>だからこっちは実際の条文を引いて説明しているのに、そっちが脳内法律だからお話にならんのよ。出直してきてね。
あきらめずに、ガンガレ。
世の中「理屈」が大事だよ。
965 :名無しさん@4周年:04/02/06 21:03 ID:3dggJfGb
966 :名無しさん@4周年:04/02/06 21:03 ID:r5LDRHzz
>>956
officeは通常ではアクセスできない場所にあるファイルに
CGIの脆弱性を使えばアクセスできることを知っていた
そしてそれを脆弱性として発表した
十分知ってる
あとさっきも書いたが不正アクセス禁止法にはプログラム単体
のアクセス制御機能に関する規定はない
だからCGIを利用してファイルを閲覧する行為は
鯖の持つアクセス制御を回避してアクセスする行為だから違法
CGI単体がアクセス制御機能を持ってるかどうかなんて関係ない
officeは通常ではアクセスできない場所にあるファイルに
CGIの脆弱性を使えばアクセスできることを知っていた
そしてそれを脆弱性として発表した
十分知ってる
あとさっきも書いたが不正アクセス禁止法にはプログラム単体
のアクセス制御機能に関する規定はない
だからCGIを利用してファイルを閲覧する行為は
鯖の持つアクセス制御を回避してアクセスする行為だから違法
CGI単体がアクセス制御機能を持ってるかどうかなんて関係ない
968 :名無しさん@4周年:04/02/06 21:04 ID:awdS9Wh3
最終的には司法判断だけど、おひすの行為は犯罪だと思うぞ。cgi云々じゃなくて。
でも中川はよくないと思うぞ。
でも中川はよくないと思うぞ。
970 :名無しさん@4周年:04/02/06 21:05 ID:awdS9Wh3
971 :名無しさん@4周年:04/02/06 21:06 ID:r5LDRHzz
個人情報も意図も関係ねーだろ。ってもう言っても無駄だしバカばっかなので、去る。
ばいばい。
ばいばい。
972 :名無しさん@4周年:04/02/06 21:06 ID:9iIlPUEH
これ、設置されてるcgiを利用して個人情報見た事より、
対策されるまでのモラトリアムを全く無視して公表した事の方が
でかい問題だと思うんだけど。
そういうのは論点にならない?
対策されるまでのモラトリアムを全く無視して公表した事の方が
でかい問題だと思うんだけど。
そういうのは論点にならない?
973 :名無しさん@4周年:04/02/06 21:06 ID:jhEdiftC
>>970
何回も言ってる気がする
何回も言ってる気がする
974 :名無しさん@4周年:04/02/06 21:06 ID:AxDMI443
975 :名無しさん@4周年:04/02/06 21:06 ID:AxDMI443
976 :名無しさん@4周年:04/02/06 21:06 ID:AxDMI443
977 :名無しさん@4周年:04/02/06 21:07 ID:AxDMI443
978 :名無しさん@4周年:04/02/06 21:07 ID:awdS9Wh3
979 :名無しさん@4周年:04/02/06 21:07 ID:wOsSrC0m
あ、そういやまだ解決してないこと思いだした。
これって結局何したの?これ読んでもさっぱり分からない。これが具体的に
何をしたかで、ずいぶん見通しが明るくなると思うんだが。
だれも教えてくれないし。。。
(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、
自作CGIプログラムを使用してセキュリティホールを突き、
パスワードを入力することなく不正アクセスした。
また、不特定多数の者が当該掲示板にアクセスできるようなリンクを
自分の管理するホームページ上に作成した。(平成12年6月検挙。北海道、富山)
これって結局何したの?これ読んでもさっぱり分からない。これが具体的に
何をしたかで、ずいぶん見通しが明るくなると思うんだが。
だれも教えてくれないし。。。
(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、
自作CGIプログラムを使用してセキュリティホールを突き、
パスワードを入力することなく不正アクセスした。
また、不特定多数の者が当該掲示板にアクセスできるようなリンクを
自分の管理するホームページ上に作成した。(平成12年6月検挙。北海道、富山)
980 :名無しさん@4周年:04/02/06 21:07 ID:AxDMI443
981 :名無しさん@4周年:04/02/06 21:07 ID:AxDMI443
982 :名無しさん@4周年:04/02/06 21:07 ID:AxDMI443
983 :名無しさん@4周年:04/02/06 21:07 ID:AxDMI443
984 :名無しさん@4周年:04/02/06 21:08 ID:AxDMI443
985 :名無しさん@4周年:04/02/06 21:08 ID:AxDMI443
986 :名無しさん@4周年:04/02/06 21:08 ID:AxDMI443
987 :名無しさん@4周年:04/02/06 21:08 ID:AxDMI443
988 :名無しさん@4周年:04/02/06 21:08 ID:AxDMI443
989 :名無しさん@4周年:04/02/06 21:08 ID:AxDMI443
荒らしだ!
記念カキコ
記念カキコ
992 :名無しさん@4周年:04/02/06 21:09 ID:AxDMI443
993 :名無しさん@4周年:04/02/06 21:09 ID:AxDMI443
994 :名無しさん@4周年:04/02/06 21:09 ID:otQKbz1C
1000
995 :名無しさん@4周年:04/02/06 21:09 ID:AxDMI443
996 :名無しさん@4周年:04/02/06 21:09 ID:AxDMI443
997 :名無しさん@4周年:04/02/06 21:09 ID:AxDMI443
998 :名無しさん@4周年:04/02/06 21:09 ID:AxDMI443
999 :名無しさん@4周年:04/02/06 21:09 ID:3dggJfGb
>>963
おまえは、最初から読んどらんのか。
おまえは、最初から読んどらんのか。
記念うんこ
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。