【ネット】"2ちゃんねるに流出" ACCSサイトへ不正アクセス、京都大研究員逮捕★4
1 :☆ばぐ太☆φ ★:
★<不正アクセス>データ入手方法「2ちゃんねる」に流出
・社団法人「コンピュータソフトウェア著作権協会」(東京都)のホームページから個人
情報が引き出された不正アクセス行為禁止法違反事件で、逮捕された京都大研究員、
河合一穂容疑者(40)が、ネットの安全性に関するイベントで公開した個人データと
その入手方法が、インターネット掲示板「2ちゃんねる」に書き込まれていたことが
分かった。
警視庁はイベント参加者からデータが流出し、掲示板に紹介された可能性もあると
みて調べている。
調べでは、掲示板に書き込みがあったのは先月27、28日。河合容疑者が引き
出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
書き込みを削除させた。イベント主催者は同協会に「参加者ら12人がデータを入手
したが破棄しており、流出の恐れはない」と説明したという。
河合容疑者は昨年7月、広く使われている「CGI」という情報収集プログラムの安全性に
欠陥があることを発見。同11月、このプログラムを使っている同協会のサイトに侵入し、
約1200人分の個人データを入手した。
http://headlines.yahoo.co.jp/hl?a=20040205-00000136-mai-soci
※前スレ:http://news5.2ch.net/test/read.cgi/newsplus/1076000765/
・社団法人「コンピュータソフトウェア著作権協会」(東京都)のホームページから個人
情報が引き出された不正アクセス行為禁止法違反事件で、逮捕された京都大研究員、
河合一穂容疑者(40)が、ネットの安全性に関するイベントで公開した個人データと
その入手方法が、インターネット掲示板「2ちゃんねる」に書き込まれていたことが
分かった。
警視庁はイベント参加者からデータが流出し、掲示板に紹介された可能性もあると
みて調べている。
調べでは、掲示板に書き込みがあったのは先月27、28日。河合容疑者が引き
出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
書き込みを削除させた。イベント主催者は同協会に「参加者ら12人がデータを入手
したが破棄しており、流出の恐れはない」と説明したという。
河合容疑者は昨年7月、広く使われている「CGI」という情報収集プログラムの安全性に
欠陥があることを発見。同11月、このプログラムを使っている同協会のサイトに侵入し、
約1200人分の個人データを入手した。
http://headlines.yahoo.co.jp/hl?a=20040205-00000136-mai-soci
※前スレ:http://news5.2ch.net/test/read.cgi/newsplus/1076000765/
|
|
|
_,,,,,,,,,,,,_
, :'"´ _... --、 `゙丶、
/ _.. - '' ..: .:.::ヽ ===
/:, ' ` 、 .:.:::::', ======
i:' __ .. ` 、.. .:.:::',
! ,,:='''´ : . : .:.:::::,!_ そんなエサで俺様が福男ーーーー!!
\ !,,:=、 _,,,,,_, : ` 、r',r ヽ
\ ! _.. ; ´ ̄ : . ! iヽ :| =====
\ l'´- / -、 : ! ー 'ノ ====
\ r_ r=ノ . : :r-ィ'
ヽ\ __............ : ! l ====== (´⌒
', ,\___,,.--‐'´ . :,' | (´⌒;;(´⌒;;
ヽ 、 ̄,,.. ''´ : .:/ !、 (´;;⌒ (´⌒;; ズザザザ
',  ̄ . : , :'": : ト、\ (´⌒; (´⌒;;;
, :'"´ _... --、 `゙丶、
/ _.. - '' ..: .:.::ヽ ===
/:, ' ` 、 .:.:::::', ======
i:' __ .. ` 、.. .:.:::',
! ,,:='''´ : . : .:.:::::,!_ そんなエサで俺様が福男ーーーー!!
\ !,,:=、 _,,,,,_, : ` 、r',r ヽ
\ ! _.. ; ´ ̄ : . ! iヽ :| =====
\ l'´- / -、 : ! ー 'ノ ====
\ r_ r=ノ . : :r-ィ'
ヽ\ __............ : ! l ====== (´⌒
', ,\___,,.--‐'´ . :,' | (´⌒;;(´⌒;;
ヽ 、 ̄,,.. ''´ : .:/ !、 (´;;⌒ (´⌒;; ズザザザ
',  ̄ . : , :'": : ト、\ (´⌒; (´⌒;;;
3
静観。というか寝よかな。
もはや速報ですらなくなったし
6 :名無しさん@4周年:04/02/06 21:22 ID:RKWgAVP+
とりあえず
6
6
7 :名無しさん@4周年:04/02/06 21:23 ID:awdS9Wh3
7
8 :名無しさん@4周年:04/02/06 21:24 ID:j851klhb
2ちゃんねる2ちゃんねる2ちゃんねる
9 :名無しさん@4周年:04/02/06 21:24 ID:jhEdiftC
通常の利用ってhttpに従った利用なんじゃないの?
10 :名無しさん@4周年:04/02/06 21:25 ID:awdS9Wh3
なんだ、officeを弁護してやろうという男気のある香具師はもうおらんのか?
11 :名無しさん@4周年:04/02/06 21:27 ID:RKWgAVP+
一番暴れてた奴が勝利宣言wして出て行ったし
もういないんじゃないの?
もういないんじゃないの?
結論はID:r5LDRHzz氏出してるし
13 :名無しさん@4周年:04/02/06 21:28 ID:cLJeO5K+
結局不正アクセス禁止法では起訴できなさそう。
14 :名無しさん@4周年:04/02/06 21:28 ID:STa1DBxk
>9
httpに従った通常利用でバッファーオーバーフロー出来ますが何か?
法律のどこに「通常利用ならば不正アクセスと見なさない」って書いてあるんだ?
ソース出せゴルァ
httpに従った通常利用でバッファーオーバーフロー出来ますが何か?
法律のどこに「通常利用ならば不正アクセスと見なさない」って書いてあるんだ?
ソース出せゴルァ
16 :名無しさん@4周年:04/02/06 21:29 ID:0KMAK42E
どっかで隠し扉のたとえが出てたけど昔話ふうにしてみた。
むかーしむかしあるところにaccs城がありました。
accs城はDQNな輩にウザイイッテヨシ等と噂されていました。
accs城に恨みのあるオカワどん、
どーにかこーにかしてaccs城に侵入してやろうと思っていました。
そしてある日偶然にも、accs城に侵入する方法を見つけたのです。
その方法とは、accs城を取り囲んでいる、
塀の脆い部分を壊して侵入するというものでした。
侵入した事にまわりのものは誰も気が付きません。
むかーしむかしあるところにaccs城がありました。
accs城はDQNな輩にウザイイッテヨシ等と噂されていました。
accs城に恨みのあるオカワどん、
どーにかこーにかしてaccs城に侵入してやろうと思っていました。
そしてある日偶然にも、accs城に侵入する方法を見つけたのです。
その方法とは、accs城を取り囲んでいる、
塀の脆い部分を壊して侵入するというものでした。
侵入した事にまわりのものは誰も気が付きません。
>>1
忘れてたけどスレ立て乙
忘れてたけどスレ立て乙
>>12
あれのどこが結論なのか小一時間(ry
あれのどこが結論なのか小一時間(ry
19 :名無しさん@4周年:04/02/06 21:33 ID:awdS9Wh3
>18
わしの分もあわせて2時間だ。
わしの分もあわせて2時間だ。
20 :名無しさん@4周年:04/02/06 21:34 ID:L7uNoF3U
これ単に書き込んだ場所が2chなだけでなんで2が主語になってんの?
仮に流出先が新聞社や雑誌だったらこんな書きかたしたのけ?
仮に流出先が新聞社や雑誌だったらこんな書きかたしたのけ?
21 :名無しさん@4周年:04/02/06 21:34 ID:0KMAK42E
accs城に侵入できることなど考えもしなそうです。
DQNばっかだな・・・
城から脱出すると、不思議なことに塀は元どおりになりました。
そこでオカワどんに猿の浅知恵が浮かびました。
他のみんなにこの事を知らせてaccs城を困らせてやれ
といういかにもDQNな考えでした。
そしてオヒツどんは色々な人にこの事を知らせて回りました。
すると案の定、accs城は大騒ぎとなりました。
オカワどん思わずにんまりです。
しかし結局、オカワどんは奉行所の連中に捕まり、市中引きずり回しの刑になりましたとさ。
めでたしめでたし。
DQNばっかだな・・・
城から脱出すると、不思議なことに塀は元どおりになりました。
そこでオカワどんに猿の浅知恵が浮かびました。
他のみんなにこの事を知らせてaccs城を困らせてやれ
といういかにもDQNな考えでした。
そしてオヒツどんは色々な人にこの事を知らせて回りました。
すると案の定、accs城は大騒ぎとなりました。
オカワどん思わずにんまりです。
しかし結局、オカワどんは奉行所の連中に捕まり、市中引きずり回しの刑になりましたとさ。
めでたしめでたし。
>>16
彼は壊してないよ
彼は壊してないよ
23 :名無しさん@4周年:04/02/06 21:37 ID:+paFN0C5
CGIを利用できる状態に設置したのは管理側で、CGIはロジックどおりに動きました。
かといって、個人情報のファイルが全く制限されていないとも言い難い。
この法律が管理側の責任を問う法律で無いことを考えると、
結局不起訴にせざる終えないと予想。
かといって、個人情報のファイルが全く制限されていないとも言い難い。
この法律が管理側の責任を問う法律で無いことを考えると、
結局不起訴にせざる終えないと予想。
24 :名無しさん@4周年:04/02/06 21:38 ID:jhEdiftC
25 :名無しさん@4周年:04/02/06 21:39 ID:STa1DBxk
>23
「アクセス制御機構の回避」により真っ黒。
条文読めゴルァ
「アクセス制御機構の回避」により真っ黒。
条文読めゴルァ
26 :名無しさん@4周年:04/02/06 21:39 ID:awdS9Wh3
>>26
男気というより単なる無知
男気というより単なる無知
>>26-27 27が正解。
29 :名無しさん@4周年:04/02/06 21:42 ID:STa1DBxk
無知と言うより白痴。
堅忍不抜のaccs城に大穴開けたのはヨゼフたんですよ
31 :名無しさん@4周年:04/02/06 21:44 ID:k4G+A/Q/
指令!!
Webサーバ(公開情報)の情報をブラウザーで表示させて何故不正アクセス違反に
なるか証明せよ
Webサーバ(公開情報)の情報をブラウザーで表示させて何故不正アクセス違反に
なるか証明せよ
考える基本と言うのか、スタートが皆違っている、ということはない?
33 :名無しさん@4周年:04/02/06 21:46 ID:jhEdiftC
35 :名無しさん@4周年:04/02/06 21:48 ID:3dggJfGb
これはやばい?
ACCS不正アクセス 京大研究員逮捕事件に関するテンプレ
ttp://www.geocities.jp/officeandaccs/index.html#1
から
「office氏、自webサイトでACCSに対する謝罪文を公表」
リンクをクリックした後ディレクトリをさかのぼり
ttp://www.office.ac/tearoom/
を表示するとパスワードが…
テンプレの中にあるURLは不正アクセス禁止法に該当するもので、アクセスすると刑法に
該当する?
この場合、私の適切な行為とは?
管理者に知らせた方が良い?
これはCGIの不具合?
それとも、パスワードを表示する画面は本物ではない?
ACCS不正アクセス 京大研究員逮捕事件に関するテンプレ
ttp://www.geocities.jp/officeandaccs/index.html#1
から
「office氏、自webサイトでACCSに対する謝罪文を公表」
リンクをクリックした後ディレクトリをさかのぼり
ttp://www.office.ac/tearoom/
を表示するとパスワードが…
テンプレの中にあるURLは不正アクセス禁止法に該当するもので、アクセスすると刑法に
該当する?
この場合、私の適切な行為とは?
管理者に知らせた方が良い?
これはCGIの不具合?
それとも、パスワードを表示する画面は本物ではない?
個人情報が漏れてしまったという被害における
関係者間の責任の割合ってどれくらいになるかな?
(法律抜きの道義的な本音で)
俺は、office(4):ACCS(2):1st+ヨセフ(4)
位かと思うんだけど。
関係者間の責任の割合ってどれくらいになるかな?
(法律抜きの道義的な本音で)
俺は、office(4):ACCS(2):1st+ヨセフ(4)
位かと思うんだけど。
38 :名無しさん@4周年:04/02/06 21:52 ID:ZvIq4Re/
39 :名無しさん@4周年:04/02/06 21:54 ID:3dggJfGb
>>37
これって、今回の問題に酷似していない?
表示にCGIを使っているし、その動作は仕様どおり。
じゃ、パスワードは何だろう?
管理者(O)が、ここは「アクセス制御機能を有する特定電子計算機」と
宣言しているようにも思える。
これって、今回の問題に酷似していない?
表示にCGIを使っているし、その動作は仕様どおり。
じゃ、パスワードは何だろう?
管理者(O)が、ここは「アクセス制御機能を有する特定電子計算機」と
宣言しているようにも思える。
>>39
全然違う
どこにも脆弱性はない
たとえばnoframe.cgiの引数に色々入れたら
DocumentRoot配下じゃないファイルを見れたってのなら
脆弱性を利用した不正アクセスだが
あるサイトが一般に公開してるBBSが
http://example.com/cig-bin/bbs.cgi
だけど
http://exmaple.com/cgi-bin/
だと403になるのは良くある話
全然違う
どこにも脆弱性はない
たとえばnoframe.cgiの引数に色々入れたら
DocumentRoot配下じゃないファイルを見れたってのなら
脆弱性を利用した不正アクセスだが
あるサイトが一般に公開してるBBSが
http://example.com/cig-bin/bbs.cgi
だけど
http://exmaple.com/cgi-bin/
だと403になるのは良くある話
>>35
ネタ振りうまいなぁ
ネタ振りうまいなぁ
ここ本スレでいいの?
更新してみたよ。脆弱性派と仕様派の主張、分けてみた。
みてみて叩いてちょうだい。
http://www.geocities.jp/officeandaccs/index.html#6
更新してみたよ。脆弱性派と仕様派の主張、分けてみた。
みてみて叩いてちょうだい。
http://www.geocities.jp/officeandaccs/index.html#6
>>40
それって不正な利用をしうる状態にさせる行為なのだろうか。。。
それって不正な利用をしうる状態にさせる行為なのだろうか。。。
44 :名無しさん@4周年:04/02/06 22:06 ID:STa1DBxk
>33
ハァ????
思いっきり制限されていますが何か?
じゃあ今すぐACCSのWebサーバーのドキュメントルート以外のファイル取ってきてよ。
制限されてないんでしょ?
無知丸出しw
ハァ????
思いっきり制限されていますが何か?
じゃあ今すぐACCSのWebサーバーのドキュメントルート以外のファイル取ってきてよ。
制限されてないんでしょ?
無知丸出しw
45 :名無しさん@4周年:04/02/06 22:08 ID:/+F/5KDD
歳坊主がさらされているようですが、大丈夫でしょうか?
>>43
だから脆弱性自体がないんだから(ry
だから脆弱性自体がないんだから(ry
47 :名無しさん@4周年:04/02/06 22:10 ID:3dggJfGb
48 :名無しさん@4周年:04/02/06 22:10 ID:jhEdiftC
ところでヨセフの声明文とコラムと取引先削除の件はどうでもいいのか
51 :名無しさん@4周年:04/02/06 22:14 ID:3dggJfGb
>>41
自分でもびっくりしたわ
自分でもびっくりしたわ
52 :名無しさん@4周年:04/02/06 22:17 ID:jhEdiftC
>>49
それ自体犯罪性ないし…でもなんか気になるね
それ自体犯罪性ないし…でもなんか気になるね
不正アクセスじゃないと言い張っていた子は前スレのこれ
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/979
はどう解釈するつもりだろう。
・セキュリティホールを突き、パスワードを入力することなく不正アクセス
・不特定多数の者が当該掲示板にアクセスできるようなリンク
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/979
はどう解釈するつもりだろう。
・セキュリティホールを突き、パスワードを入力することなく不正アクセス
・不特定多数の者が当該掲示板にアクセスできるようなリンク
55 :名無しさん@4周年:04/02/06 22:20 ID:3dggJfGb
テンプレ様乙
で、
「セキュリティホールを一般公開するのはセキュリティ業界ではよくあることなんでしょ? 何か問題あんの?」
なんですが、今回の件はセキュリティホール自体は公開されており、サイト固有の問題のような気がするのですが、いかがでしょうか。
で、
「セキュリティホールを一般公開するのはセキュリティ業界ではよくあることなんでしょ? 何か問題あんの?」
なんですが、今回の件はセキュリティホール自体は公開されており、サイト固有の問題のような気がするのですが、いかがでしょうか。
>>54
普通にあかんしょ
普通にあかんしょ
58 :名無しさん@4周年:04/02/06 22:22 ID:STa1DBxk
>52
ぎゃはははは
めちゃウケたよ。
「利用を可能にする」事をしないでどうやって利用できるの?ww
「利用が不可能なのに利用できた」www
最高!
ぎゃはははは
めちゃウケたよ。
「利用を可能にする」事をしないでどうやって利用できるの?ww
「利用が不可能なのに利用できた」www
最高!
59 :名無しさん@4周年:04/02/06 22:22 ID:DXsDscXY
このCGIには条文にあるような符号識別によるアクセス制御は無い。
しかし、計算機総体で考えるとアクセス制御があるって所に
論理の飛躍があると思うんだが。
しかし、計算機総体で考えるとアクセス制御があるって所に
論理の飛躍があると思うんだが。
60 :名無しさん@4周年:04/02/06 22:23 ID:jhEdiftC
>>54
一応貼っとこう
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/
ニュース [ニュース速報+] “【ネット】"2ちゃんねるに流出" ACCSサイトへ不正アクセス、京都大研究員逮捕★3”
979 名前:名無しさん@4周年[] 投稿日:04/02/06 21:07 ID:wOsSrC0m
あ、そういやまだ解決してないこと思いだした。
これって結局何したの?これ読んでもさっぱり分からない。これが具体的に
何をしたかで、ずいぶん見通しが明るくなると思うんだが。
だれも教えてくれないし。。。
(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、
自作CGIプログラムを使用してセキュリティホールを突き、
パスワードを入力することなく不正アクセスした。
また、不特定多数の者が当該掲示板にアクセスできるようなリンクを
自分の管理するホームページ上に作成した。(平成12年6月検挙。北海道、富山)
一応貼っとこう
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/
ニュース [ニュース速報+] “【ネット】"2ちゃんねるに流出" ACCSサイトへ不正アクセス、京都大研究員逮捕★3”
979 名前:名無しさん@4周年[] 投稿日:04/02/06 21:07 ID:wOsSrC0m
あ、そういやまだ解決してないこと思いだした。
これって結局何したの?これ読んでもさっぱり分からない。これが具体的に
何をしたかで、ずいぶん見通しが明るくなると思うんだが。
だれも教えてくれないし。。。
(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、
自作CGIプログラムを使用してセキュリティホールを突き、
パスワードを入力することなく不正アクセスした。
また、不特定多数の者が当該掲示板にアクセスできるようなリンクを
自分の管理するホームページ上に作成した。(平成12年6月検挙。北海道、富山)
>>58
最初から利用可能
最初から利用可能
ファイル名を指定すれば、それを引っ張ってくるCGIを
何も考えずに乗っけていたACCSがヴォケ。
ダウンロードサイトでもないのにHIDDENパラメタに
堂々とファイル名を含めている当り、もう見てらんない。
何も考えずに乗っけていたACCSがヴォケ。
ダウンロードサイトでもないのにHIDDENパラメタに
堂々とファイル名を含めている当り、もう見てらんない。
また符号識別か・・もういいよ・・
66 :名無しさん@4周年:04/02/06 22:25 ID:STa1DBxk
>59
CGIにアクセス制御があるかどうか、なんて誰も問題にしていませんが何か?
Webサーバーの非公開部分はUNIX等のOSのファイルシステムによりアクセス制御が行われており、
たとえサーバーの目の前にたっていたとしても該当ファイルを読み出す事は出来ない。
このアクセス制御機構を、CGIの欠陥を利用して回避したということ。
手段が何であるかなど問われていない。
ファイルシステムによりアクセス制御が行われているものを、何らかの手段を用いて
回避したという事が重要。
CGIにアクセス制御があるかどうか、なんて誰も問題にしていませんが何か?
Webサーバーの非公開部分はUNIX等のOSのファイルシステムによりアクセス制御が行われており、
たとえサーバーの目の前にたっていたとしても該当ファイルを読み出す事は出来ない。
このアクセス制御機構を、CGIの欠陥を利用して回避したということ。
手段が何であるかなど問われていない。
ファイルシステムによりアクセス制御が行われているものを、何らかの手段を用いて
回避したという事が重要。
67 :名無しさん@4周年:04/02/06 22:27 ID:jhEdiftC
まぁ簡単にいうと普通にググってアクセスできるようなところなら
それは不正アクセスじゃないってことだ
それは不正アクセスじゃないってことだ
69 :名無しさん@4周年:04/02/06 22:29 ID:3dggJfGb
71 :名無しさん@4周年:04/02/06 22:29 ID:STa1DBxk
>67
なるほど、じゃあおまえでも今すぐ利用出来るように管理者がしてくれたと言い張りたいわけだ?
はやくドキュメントルート以外のファイルもってこいって言ってるだろ?
合法で、最初から利用可能だという証拠をおまえが今見せてくれ。
で、その与えるべき引数も最初から利用できる、誰でも知ってるもので合法なんだから
今ここに書けるよな?
今すぐ頼むわ。
なるほど、じゃあおまえでも今すぐ利用出来るように管理者がしてくれたと言い張りたいわけだ?
はやくドキュメントルート以外のファイルもってこいって言ってるだろ?
合法で、最初から利用可能だという証拠をおまえが今見せてくれ。
で、その与えるべき引数も最初から利用できる、誰でも知ってるもので合法なんだから
今ここに書けるよな?
今すぐ頼むわ。
72 :名無しさん@4周年:04/02/06 22:29 ID:DXsDscXY
73 :名無しさん@4周年:04/02/06 22:30 ID:sw9hLghh
>>69
それはファーストサーバの作成した今回のCGIとは別のCGIだよ
それはファーストサーバの作成した今回のCGIとは別のCGIだよ
75 :名無しさん@4周年:04/02/06 22:32 ID:sw9hLghh
>>70
そういわれてr5LDRHzzが思いっきり散っていったのになw
そういわれてr5LDRHzzが思いっきり散っていったのになw
76 :名無しさん@4周年:04/02/06 22:32 ID:STa1DBxk
「利用を可能にしたのは、管理者がセキュリティホールのあるソフトを設置した行為」
であるためには、その時点から誰でも利用できる状態である事が必要条件だ。
ならばjhEdiftCが、今でも使われているところがあるというファーストサーバーの
件のCGIを使ってドキュメントルート以外のファイルを取得する事は最初から可能で、
合法で、当然おまえにも出来るんだろ?
早くやってくれよ〜〜〜〜
待ってるからさ〜〜〜〜〜
であるためには、その時点から誰でも利用できる状態である事が必要条件だ。
ならばjhEdiftCが、今でも使われているところがあるというファーストサーバーの
件のCGIを使ってドキュメントルート以外のファイルを取得する事は最初から可能で、
合法で、当然おまえにも出来るんだろ?
早くやってくれよ〜〜〜〜
待ってるからさ〜〜〜〜〜
>>72
パーミッションって知ってる?
特定のユーザ権限でしかアクセスできないようにすることだよね
で特定のユーザになるためにはIDとパスワードを入力する必要がある
つまりアクセス制御が行われているということだ
パーミッションって知ってる?
特定のユーザ権限でしかアクセスできないようにすることだよね
で特定のユーザになるためにはIDとパスワードを入力する必要がある
つまりアクセス制御が行われているということだ
79 :名無しさん@4周年:04/02/06 22:35 ID:e6js3Wyf
うちのサーバでは、非公開ディレクトリの下に会員情報を置いていますが、
公開していないものであり、アクセスすれば不正アクセスとなります。
http://test.server/secret/memberlist.dat
なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。
ところが、今回のOffice→ACCSの場合も構図は全く一緒。
http://accs.server/disp.cgi?secret/memberlist.dat
これは、もともと公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。
公開していないものであり、アクセスすれば不正アクセスとなります。
http://test.server/secret/memberlist.dat
なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。
ところが、今回のOffice→ACCSの場合も構図は全く一緒。
http://accs.server/disp.cgi?secret/memberlist.dat
これは、もともと公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。
80 :名無しさん@4周年:04/02/06 22:36 ID:awdS9Wh3
81 :名無しさん@4周年:04/02/06 22:36 ID:sw9hLghh
82 :名無しさん@4周年:04/02/06 22:36 ID:STa1DBxk
>72
混乱しすぎだな。
ファイルのパーミッションはファイルシステムのアクセス制御を
援用している事くらい常識だろうが。
CGIを実行させるユーザー権限にownerやotherという区別が存在しうるのはなぜだ?
混乱しすぎだな。
ファイルのパーミッションはファイルシステムのアクセス制御を
援用している事くらい常識だろうが。
CGIを実行させるユーザー権限にownerやotherという区別が存在しうるのはなぜだ?
83 :名無しさん@4周年:04/02/06 22:37 ID:jhEdiftC
>>73
どこで崩れたのかまったくわからないのだが。
どこで崩れたのかまったくわからないのだが。
84 :名無しさん@4周年:04/02/06 22:38 ID:dtiIVbhB
なんじゃここわ。
86 :名無しさん@4周年:04/02/06 22:39 ID:sw9hLghh
87 :名無しさん@4周年:04/02/06 22:40 ID:JePZal/0
「ファイルシステムによりアクセス制御が行われているものを、何らかの手段を用いて
回避したという事が重要。 」
要はこういうことだな。
回避したという事が重要。 」
要はこういうことだな。
88 :名無しさん@4周年:04/02/06 22:41 ID:STa1DBxk
>86
http://test.server/secret/でディレクトリリスティングが出来れば
不正アクセスではないが、
http://test.server/secret/でディレクトリリスティングが出来ないならば
それはアクセス制御機構が存在しているわけで、
不正アクセスとなる。
このアクセス制御機構はファイルシステムに付随している。
こういう細かい点を理解できない厨が多すぎ。
http://test.server/secret/でディレクトリリスティングが出来れば
不正アクセスではないが、
http://test.server/secret/でディレクトリリスティングが出来ないならば
それはアクセス制御機構が存在しているわけで、
不正アクセスとなる。
このアクセス制御機構はファイルシステムに付随している。
こういう細かい点を理解できない厨が多すぎ。
89 :名無しさん@4周年:04/02/06 22:41 ID:yPn5uFkX
91 :名無しさん@4周年:04/02/06 22:41 ID:jhEdiftC
>>78
http://www.tains.tohoku.ac.jp/news/st-news-21/2640.html
> 「アクセス制御機能」とは,利用者が入力した識別符号(ID・パスワード等)によって,
>コンピュータの利用制限を解除する機能をいいます(2条3項)。アクセス制御という言葉は,
>コンピュータ一般の世界では,ファイアウォールによるパケットフィルタリングやルーティング制限,
>ファイルの利用パーミッション等を含む広い概念を指しますが,本法にいうアクセス制御は,
>識別符号による利用の制限に意味が限定されています。なお,ここで言うアクセス制御機能には,
>通常のログイン手続きの他,RADIUS や Kerberos など,
>目的とするコンピュータ以外のコンピュータによる認証も含まれます。
http://www.tains.tohoku.ac.jp/news/st-news-21/2640.html
> 「アクセス制御機能」とは,利用者が入力した識別符号(ID・パスワード等)によって,
>コンピュータの利用制限を解除する機能をいいます(2条3項)。アクセス制御という言葉は,
>コンピュータ一般の世界では,ファイアウォールによるパケットフィルタリングやルーティング制限,
>ファイルの利用パーミッション等を含む広い概念を指しますが,本法にいうアクセス制御は,
>識別符号による利用の制限に意味が限定されています。なお,ここで言うアクセス制御機能には,
>通常のログイン手続きの他,RADIUS や Kerberos など,
>目的とするコンピュータ以外のコンピュータによる認証も含まれます。
92 :名無しさん@4周年:04/02/06 22:41 ID:sw9hLghh
判例からすると本来符号識別の入力が必要な物に対して
何らかの手法で符号識別の入力を回避してアクセスしても黒のようだな。
どうする?擁護派ダウソ厨!?
何らかの手法で符号識別の入力を回避してアクセスしても黒のようだな。
どうする?擁護派ダウソ厨!?
93 :名無しさん@4周年:04/02/06 22:43 ID:cJbPBkRo
本質的に何が違うの?
同じでしょ。
同じでしょ。
94 :名無しさん@4周年:04/02/06 22:43 ID:dtiIVbhB
>>92
どこの判例
どこの判例
>>92
符号入力の必要は最初からありません
符号入力の必要は最初からありません
96 :名無しさん@4周年:04/02/06 22:44 ID:sw9hLghh
ここの連中は穴だらけのCGIを納品されても平気なんだな。
「大丈夫ですよ、不正アクセスする奴にすべての責任が有りますから」
って言っとけばいいんだし。
「大丈夫ですよ、不正アクセスする奴にすべての責任が有りますから」
って言っとけばいいんだし。
100 :名無しさん@4周年:04/02/06 22:47 ID:cJbPBkRo
>>97
本質の決め手はグーグルかよ!
本質の決め手はグーグルかよ!
101 :名無しさん@4周年:04/02/06 22:47 ID:STa1DBxk
結論から言えば今回の事件ではパーミッションの設定ミスは一切無かった。
ログファイルをhttp://test.server/../memberlist.datみたいにして
読み出そうとしても絶対に出来ない。
これはファイルシステムとWebサーバーのパーミッションにより
アクセス制御が成立しているからだ。
このアクセス制御はWebサーバーのrootのパスワードでのみ
解除でき、合法的利用が出来る。
そうでないというなら今すぐ中身を取ってきてくれ。
ログファイルをhttp://test.server/../memberlist.datみたいにして
読み出そうとしても絶対に出来ない。
これはファイルシステムとWebサーバーのパーミッションにより
アクセス制御が成立しているからだ。
このアクセス制御はWebサーバーのrootのパスワードでのみ
解除でき、合法的利用が出来る。
そうでないというなら今すぐ中身を取ってきてくれ。
102 :名無しさん@4周年:04/02/06 22:48 ID:sw9hLghh
>>101
csvmail.cgiにread属性を与えているのは管理側のミスだと思う
csvmail.cgiにread属性を与えているのは管理側のミスだと思う
104 :名無しさん@4周年:04/02/06 22:50 ID:dtiIVbhB
>>102
ボケ
ボケ
105 :名無しさん@4周年:04/02/06 22:50 ID:STa1DBxk
>99
あたりまえだろ?
ある企業がどんなコストをかけてどんなサービスをいつどのように提供するかは
全面的にその企業に裁量権がある。
おまえやOfficeに指図する権利がないのは明か。
あたりまえだろ?
ある企業がどんなコストをかけてどんなサービスをいつどのように提供するかは
全面的にその企業に裁量権がある。
おまえやOfficeに指図する権利がないのは明か。
>>102
csvmail.logにもread属性。
csvmail.logにもread属性。
109 :名無しさん@4周年:04/02/06 22:52 ID:STa1DBxk
>103
与えてないだろ?
perlのopenから開いてるんだからreadが無くても
読めたって話。
これもアクセス制御機構を回避した事の根拠の一つになってるな。
与えてないだろ?
perlのopenから開いてるんだからreadが無くても
読めたって話。
これもアクセス制御機構を回避した事の根拠の一つになってるな。
111 :名無しさん@4周年:04/02/06 22:52 ID:sw9hLghh
>>103
いますぐwebサーバ百個立ててこい
いますぐwebサーバ百個立ててこい
112 :名無しさん@4周年:04/02/06 22:54 ID:dtiIVbhB
>>111
このボケに答える必要ないですよ。
このボケに答える必要ないですよ。
113 :名無しさん@4周年:04/02/06 22:55 ID:jhEdiftC
アクセス制御は識別符号だけだってのに
773は糞の掲示板ぐらい作れる、といっていたわりには
経験乏しいperlプログラマだなwww
化けの皮でもはがしていくか。
経験乏しいperlプログラマだなwww
化けの皮でもはがしていくか。
117 :名無しさん@4周年:04/02/06 22:58 ID:STa1DBxk
>114
ド素人イタすぎww
read属性が無くてもCGIの実行権限次第で読めるわww
「ハウス!」w
ド素人イタすぎww
read属性が無くてもCGIの実行権限次第で読めるわww
「ハウス!」w
118 :名無しさん@4周年:04/02/06 23:00 ID:STa1DBxk
CGIをrootで実行させると危険性が増すっていわれても773は
何の事か理解できないんだろうなぁw
何の事か理解できないんだろうなぁw
120 :名無しさん@4周年:04/02/06 23:00 ID:sw9hLghh
>>110
騒いだ主体は警視庁ですよダウソ厨君w
>>107
いますぐroot百回やってこい
>>113
与えられたパーミッション以上のことをやるには結局識別符号が必要だというのに。
>>114
お前が103で言ったんだろ(プ
騒いだ主体は警視庁ですよダウソ厨君w
>>107
いますぐroot百回やってこい
>>113
与えられたパーミッション以上のことをやるには結局識別符号が必要だというのに。
>>114
お前が103で言ったんだろ(プ
121 :名無しさん@4周年:04/02/06 23:08 ID:cJbPBkRo
管理者の怠慢でも国内では捕まるかもしれない
というのなら
こうるさい日本国内を脱出して
海外からやればよかったんだよ。
というのなら
こうるさい日本国内を脱出して
海外からやればよかったんだよ。
123 :名無しさん@4周年:04/02/06 23:12 ID:awdS9Wh3
ここですか?
男気のある773がいるスレは?
本件CGIに対する特定パラメータの設定の結果が「本来想定された動作」である理由。
筋道たてて説明シチクリ
男気のある773がいるスレは?
本件CGIに対する特定パラメータの設定の結果が「本来想定された動作」である理由。
筋道たてて説明シチクリ
124 :名無しさん@4周年:04/02/06 23:14 ID:awdS9Wh3
125 :名無しさん@4周年:04/02/06 23:16 ID:yPn5uFkX
>>122
なるでしょ。どこぞのイベントでやり方を公開してたんでしょ?
なるでしょ。どこぞのイベントでやり方を公開してたんでしょ?
>>123
cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
office氏はその機能以外利用していない。
>>124
不正利用をしうる状態にさせる行為をしたのはヨゼフ
cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
office氏はその機能以外利用していない。
>>124
不正利用をしうる状態にさせる行為をしたのはヨゼフ
127 :名無しさん@4周年:04/02/06 23:17 ID:DXsDscXY
>>82
拡大解釈しすぎですね。
逐条解説にあるようにファイルパーミッションは関係ありません。
またofficeが利用したのはCGIですが、これ自体に符号認識がありません。
つまり他社と利用者の区別がなされていない状況下でのアクセスに過ぎません。
拡大解釈しすぎですね。
逐条解説にあるようにファイルパーミッションは関係ありません。
またofficeが利用したのはCGIですが、これ自体に符号認識がありません。
つまり他社と利用者の区別がなされていない状況下でのアクセスに過ぎません。
128 :名無しさん@4周年:04/02/06 23:18 ID:STa1DBxk
>122
最初から利用可能なら、なんでCGIのソース見る必要があったのかね?www
最初から利用可能だというなら今すぐ取って来いって言ってるだろ?
他にも同じの未だに使ってるとこあるんだからさぁ。
明らかに、CGIのソースを見たのは不正利用すなわちアクセス制御機構の回避を目的としたもの。
アクセス制御がないのならこんな行動は取る必要がない。
最初から利用可能なら、なんでCGIのソース見る必要があったのかね?www
最初から利用可能だというなら今すぐ取って来いって言ってるだろ?
他にも同じの未だに使ってるとこあるんだからさぁ。
明らかに、CGIのソースを見たのは不正利用すなわちアクセス制御機構の回避を目的としたもの。
アクセス制御がないのならこんな行動は取る必要がない。
129 :名無しさん@4周年:04/02/06 23:19 ID:awdS9Wh3
>>126
>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>office氏はその機能以外利用していない。
だから、なぜCGIの構造を見ただけでだけでそう判断できるのか?
何度も説明を求めているのですが何か?
>不正利用をしうる状態にさせる行為をしたのはヨゼフ
因果関係がワープしています。
>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>office氏はその機能以外利用していない。
だから、なぜCGIの構造を見ただけでだけでそう判断できるのか?
何度も説明を求めているのですが何か?
>不正利用をしうる状態にさせる行為をしたのはヨゼフ
因果関係がワープしています。
>>128
ソースを見る必要はなかった。
ソースを見る必要はなかった。
131 :名無しさん@4周年:04/02/06 23:21 ID:awdS9Wh3
>>131
フォームの書かれたhtmlソース。これも公開情報。
フォームの書かれたhtmlソース。これも公開情報。
133 :名無しさん@4周年:04/02/06 23:22 ID:STa1DBxk
>130
だったら今すぐおまえがやれって言ってるだろ?
早くくやれよぉ「合法でソース見る必要すらない」んだろ?
「ハウス!」w
だったら今すぐおまえがやれって言ってるだろ?
早くくやれよぉ「合法でソース見る必要すらない」んだろ?
「ハウス!」w
134 :名無しさん@4周年:04/02/06 23:22 ID:y3q1OKmX
たとえ話のことなんだが、家のたとえが不適切とよく言われる。
思うんだが、
デパートにたとえるのがかなり適切じゃなかろうか。
自宅の玄関を出るとそこはもうデパートの売り場というのが、Webの世界。
デパートの売り場はデパートサイトが管理敷地内なんだが、
出入りするのは自由。
どう行動するかもそこそこ自由があって、服をいろいろいじってみたり、
本を立ち読みしたりする。
買おうと思って手に取ったものを、そのまま持ってエスカレータに乗ったりすると、
万引きと疑われてつかまるかもしれん。
レジのカウンターの中に入ると起こられるかもしれん。違法かどうかははてさて?
レジカウンターの中に、顧客のクレジットカード番号の書かれた伝票がいっぱいおいてあるのが、
外から見えるとする。手に届きそうだとしたらどうか。
店に「これはまずいでしょ」と文句を言う客もいるかもしれん。
実際に手にとって「ほら取れるじゃん」って警告したらどうなる?
思うんだが、
デパートにたとえるのがかなり適切じゃなかろうか。
自宅の玄関を出るとそこはもうデパートの売り場というのが、Webの世界。
デパートの売り場はデパートサイトが管理敷地内なんだが、
出入りするのは自由。
どう行動するかもそこそこ自由があって、服をいろいろいじってみたり、
本を立ち読みしたりする。
買おうと思って手に取ったものを、そのまま持ってエスカレータに乗ったりすると、
万引きと疑われてつかまるかもしれん。
レジのカウンターの中に入ると起こられるかもしれん。違法かどうかははてさて?
レジカウンターの中に、顧客のクレジットカード番号の書かれた伝票がいっぱいおいてあるのが、
外から見えるとする。手に届きそうだとしたらどうか。
店に「これはまずいでしょ」と文句を言う客もいるかもしれん。
実際に手にとって「ほら取れるじゃん」って警告したらどうなる?
135 :名無しさん@4周年:04/02/06 23:23 ID:awdS9Wh3
>>126
>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>office氏はその機能以外利用していない。
そもそも、それが「仕様」であるというのは、誰が決めるのですか?その根拠は?
管理者の意図は考慮に入れる必要は無いのですか?
一般に周知された事実であるか、考慮に入れる必要は無いのですか?
>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>office氏はその機能以外利用していない。
そもそも、それが「仕様」であるというのは、誰が決めるのですか?その根拠は?
管理者の意図は考慮に入れる必要は無いのですか?
一般に周知された事実であるか、考慮に入れる必要は無いのですか?
136 :名無しさん@4周年:04/02/06 23:24 ID:pZoFRsBG
風呂屋覗いたら痴漢になるのと一緒
138 :名無しさん@4周年:04/02/06 23:25 ID:cJbPBkRo
クラッキングは犯罪という認識があるけれど
ハッキングは犯罪という認識はない。
おかしいですか私?
でもここで法律出すやつに一言言いたいことがある。
「ハッキング行為はダメだ!」と正義漢振り回したいなら
ハッカーにそう言いきかせろよ。
「ごもっとも、それでは警察に自首してきます。」
って言うハッカーがいたら見てみたいしね。
ハッキングは犯罪という認識はない。
おかしいですか私?
でもここで法律出すやつに一言言いたいことがある。
「ハッキング行為はダメだ!」と正義漢振り回したいなら
ハッカーにそう言いきかせろよ。
「ごもっとも、それでは警察に自首してきます。」
って言うハッカーがいたら見てみたいしね。
139 :名無しさん@4周年:04/02/06 23:25 ID:awdS9Wh3
140 :名無しさん@4周年:04/02/06 23:25 ID:jhEdiftC
>>129
>>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>>office氏はその機能以外利用していない。
>
>だから、なぜCGIの構造を見ただけでだけでそう判断できるのか?
>何度も説明を求めているのですが何か?
実際にやってそうだったんだから、そんなことどうでもいいじゃん。
>>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>>office氏はその機能以外利用していない。
>
>だから、なぜCGIの構造を見ただけでだけでそう判断できるのか?
>何度も説明を求めているのですが何か?
実際にやってそうだったんだから、そんなことどうでもいいじゃん。
>134
伝票の管理がそこまで朴訥だったら、顧客としては非常に不愉快極まりない。
伝票の管理がそこまで朴訥だったら、顧客としては非常に不愉快極まりない。
142 :名無しさん@4周年:04/02/06 23:26 ID:awdS9Wh3
143 :名無しさん@4周年:04/02/06 23:27 ID:awdS9Wh3
>140
管理者の意図しないアクセスをした事実は確定的なのですが、本当にどうでもいいのですか?
管理者の意図しないアクセスをした事実は確定的なのですが、本当にどうでもいいのですか?
144 :名無しさん@4周年:04/02/06 23:28 ID:jhEdiftC
145 :名無しさん@4周年:04/02/06 23:28 ID:STa1DBxk
>132
バーカ、ソース見なきゃ個人情報の入ってるログファイルのファイル名は
絶対にわかんねぇよ。
「ハウス!」w
>>128
だ〜れもファイルパーミッションの話なんかしていないが?
ファイルシステムによって不正アクセス禁止法上の識別符号と
アクセス制御機能が付与されているサーバーの、管理者の
識別符号がなければ読み出す事が出来ない領域を読み出すという
管理者の許可がない特定利用を行ったという不正アクセス行為。
ファイルシステムは利用者すべてを識別しており、識別する識別符号が
存在している。
これを援用してアクセス制御が成り立つようにしているのがWebサーバーであり、
HTTPにはアカウントログインやファイル操作までするプロトコルが実装されているのだから
パーミッションはファイルシステムの構成するアクセス制御機能を継承しているものと
見なされる。
バーカ、ソース見なきゃ個人情報の入ってるログファイルのファイル名は
絶対にわかんねぇよ。
「ハウス!」w
>>128
だ〜れもファイルパーミッションの話なんかしていないが?
ファイルシステムによって不正アクセス禁止法上の識別符号と
アクセス制御機能が付与されているサーバーの、管理者の
識別符号がなければ読み出す事が出来ない領域を読み出すという
管理者の許可がない特定利用を行ったという不正アクセス行為。
ファイルシステムは利用者すべてを識別しており、識別する識別符号が
存在している。
これを援用してアクセス制御が成り立つようにしているのがWebサーバーであり、
HTTPにはアカウントログインやファイル操作までするプロトコルが実装されているのだから
パーミッションはファイルシステムの構成するアクセス制御機能を継承しているものと
見なされる。
147 :名無しさん@4周年:04/02/06 23:29 ID:awdS9Wh3
紳士同盟すら業務妨害と言い放つ今日このごろ・・・・
150 :名無しさん@4周年:04/02/06 23:31 ID:awdS9Wh3
誰か素人にもわかりやすく説明してくれよ
152 :名無しさん@4周年:04/02/06 23:33 ID:sw9hLghh
153 :名無しさん@4周年:04/02/06 23:33 ID:STa1DBxk
>149
ならば今すぐソースを貼れ。
もう利用可能で合法なんだろ?
ならば今すぐソースを貼れ。
もう利用可能で合法なんだろ?
154 :名無しさん@4周年:04/02/06 23:33 ID:jhEdiftC
>>147
CGIにアクセス制御機構はなかったってのに。
CGIにアクセス制御機構はなかったってのに。
155 :名無しさん@4周年:04/02/06 23:33 ID:awdS9Wh3
>>149
>最初から利用可能だったから、それに続いてソースが見られるんだよ。
本当にそれが「仕様」なのですか?本当ですか?
管理者の意図や、一般への周知状況を確認したのですか?
CGIだけ見て判断しているのではないですか?
>最初から利用可能だったから、それに続いてソースが見られるんだよ。
本当にそれが「仕様」なのですか?本当ですか?
管理者の意図や、一般への周知状況を確認したのですか?
CGIだけ見て判断しているのではないですか?
156 :名無しさん@4周年:04/02/06 23:33 ID:HljKo+Uy
セキュリティに穴が有った事は確かみたいだし、それを指摘、実証、証明する為に侵入
するだけなら、その行為自体が不正アクセスでも、医師による安楽死と同じで、正当行為
を主張できるんじゃないかな?と思うのだけど、どーなんでしょ。
するだけなら、その行為自体が不正アクセスでも、医師による安楽死と同じで、正当行為
を主張できるんじゃないかな?と思うのだけど、どーなんでしょ。
158 :名無しさん@4周年:04/02/06 23:34 ID:awdS9Wh3
>>154
>CGIにアクセス制御機構はなかったってのに。
CGIにアクセス制御機能が有ろうと無かろうと、他のアクセス制御機能を回避したことに変わりはないのですが何か?
つーか、何回言わせれば(以下略
>CGIにアクセス制御機構はなかったってのに。
CGIにアクセス制御機能が有ろうと無かろうと、他のアクセス制御機能を回避したことに変わりはないのですが何か?
つーか、何回言わせれば(以下略
159 :名無しさん@4周年:04/02/06 23:35 ID:STa1DBxk
773は当該ファイルは最初からアクセス可能だったほどに簡単で、
「最初からドアが開いているのと同じ」だという。
これはどんな奴にでも通る事が出来る事を意味していると考えざるを得ない。
ならば当然773にも通れるんだろうから、CGIのソースを今すぐ取得できるはずだ。
もしそうでないというなら、「773は開いてるドアすら通れないヘタレ」
という事が確定する。
「最初からドアが開いているのと同じ」だという。
これはどんな奴にでも通る事が出来る事を意味していると考えざるを得ない。
ならば当然773にも通れるんだろうから、CGIのソースを今すぐ取得できるはずだ。
もしそうでないというなら、「773は開いてるドアすら通れないヘタレ」
という事が確定する。
すいませんが、あまりにコアな話題になりすぎて
困っちゃうんですが、どなたかさほど法律、セキュリティに詳しくないものでも
この問題の焦点はがわかるように説明していただけませんか?
困っちゃうんですが、どなたかさほど法律、セキュリティに詳しくないものでも
この問題の焦点はがわかるように説明していただけませんか?
162 :名無しさん@4周年:04/02/06 23:36 ID:awdS9Wh3
163 :名無しさん@4周年:04/02/06 23:37 ID:awdS9Wh3
>161
「あけた」のですか?
意図せず「あいていた」ではないのですか?
「あけた」のですか?
意図せず「あいていた」ではないのですか?
164 :名無しさん@4周年:04/02/06 23:37 ID:STa1DBxk
知能指数がかなり低いjhEdiftCの為に懇切丁寧に教えてやろう
今アクセス制御機構が成立しているシステムを、管理者の許可を得ないで
不正アクセスするために電動ドリルを使用したとする。
おまえの言ってる事は、
「電動ドリルにはアクセス制御がないので不正アクセスはではない」
といってるのと一緒。
白痴ですか?
今アクセス制御機構が成立しているシステムを、管理者の許可を得ないで
不正アクセスするために電動ドリルを使用したとする。
おまえの言ってる事は、
「電動ドリルにはアクセス制御がないので不正アクセスはではない」
といってるのと一緒。
白痴ですか?
165 :名無しさん@4周年&rlo;(どけイイもでうど) Oo .(`・ω・´)&lro;:04/02/06 23:37 ID:MTA6exx0
この京大研究員のことより、欠陥を指摘してもらいながら逆ギレしている自称被害者の方が問題かと...
京大研究員のせいにできて本当に良かったでつね....
京大研究員のせいにできて本当に良かったでつね....
166 :名無しさん@4周年:04/02/06 23:38 ID:sw9hLghh
>158
そんな言い分、仕事増やしたくない鯖缶の言い訳増やしてるに過ぎないと思う。
そんな言い分、仕事増やしたくない鯖缶の言い訳増やしてるに過ぎないと思う。
168 :名無しさん@4周年:04/02/06 23:38 ID:80MqUBK7
170 :名無しさん@4周年:04/02/06 23:39 ID:jhEdiftC
>>158
他のアクセス制御機構って何だよ。
他のアクセス制御機構って何だよ。
171 :名無しさん@4周年:04/02/06 23:40 ID:awdS9Wh3
172 :名無しさん@4周年:04/02/06 23:41 ID:sw9hLghh
http://www.tains.tohoku.ac.jp/news/st-news-21/2640.html
↑jhEdiftCのパーミッションは識別符号と無関係という主張の
よりどころはこのページだけか?
Web上のたった一つの見解を鵜呑みにしない方がいいっぞっと。
↑jhEdiftCのパーミッションは識別符号と無関係という主張の
よりどころはこのページだけか?
Web上のたった一つの見解を鵜呑みにしない方がいいっぞっと。
173 :名無しさん@4周年:04/02/06 23:42 ID:awdS9Wh3
174 :名無しさん@4周年:04/02/06 23:42 ID:jhEdiftC
>>172
法律にかいてあるだろうが
法律にかいてあるだろうが
176 :名無しさん@4周年:04/02/06 23:43 ID:sw9hLghh
河合一穂の意図的な犯罪>>>>(越えられない壁)>>>>鯖管のミス(ごめんねで済んじゃうレベル)
177 :名無しさん@4周年:04/02/06 23:43 ID:awdS9Wh3
>>172
当該ページの参考書籍に基本書たる立花の逐条解説が入っていないのは意図的でつか?
当該ページの参考書籍に基本書たる立花の逐条解説が入っていないのは意図的でつか?
179 :名無しさん@4周年:04/02/06 23:45 ID:awdS9Wh3
180 :名無しさん@4周年:04/02/06 23:45 ID:jhEdiftC
>>173
ふつうにweb見るのだって、ftpやtelnetやsshなどのパスワードで保護されてるのを見てるというのに。
ふつうにweb見るのだって、ftpやtelnetやsshなどのパスワードで保護されてるのを見てるというのに。
181 :名無しさん@4周年:04/02/06 23:46 ID:awdS9Wh3
>>175
cgiの機能と管理者の意図 その他を総合して不正アクセスか否か判断するのですが・・・
なぜ、cgiだけなの?
閉めたつもりで実は少し開いている、という状態なら本当にそこから入っても良いのですか?
cgiの機能と管理者の意図 その他を総合して不正アクセスか否か判断するのですが・・・
なぜ、cgiだけなの?
閉めたつもりで実は少し開いている、という状態なら本当にそこから入っても良いのですか?
182 :名無しさん@4周年:04/02/06 23:48 ID:MoXuLt79
183 :名無しさん@4周年:04/02/06 23:48 ID:lXKQnbgd
A C C S 必 死 だ な (藁
184 :名無しさん@4周年:04/02/06 23:48 ID:awdS9Wh3
>177
管理者の責任が問われないのは困らないの?
犯罪を犯した者に賠償能力なんて無い場合のほうが多いんだから、
管理者の責任は問うてもらわないと困るよ。
管理者の責任が問われないのは困らないの?
犯罪を犯した者に賠償能力なんて無い場合のほうが多いんだから、
管理者の責任は問うてもらわないと困るよ。
>>175
個人情報の表示などという機能は提供してないだろ。
出来ることイコール提供した機能なら
セキュリティーホールのあるPCにはなんでもやり放題だなw
>>179
書いてねーよw
パーミッションなんて単語出てこないし。
個人情報の表示などという機能は提供してないだろ。
出来ることイコール提供した機能なら
セキュリティーホールのあるPCにはなんでもやり放題だなw
>>179
書いてねーよw
パーミッションなんて単語出てこないし。
187 :名無しさん@4周年:04/02/06 23:49 ID:yPn5uFkX
>>175
だから,提供される物でも使い方を誤ってる訳でしょ?
例えば電気ドリルを買って人の鍵をかけてある家のドアをドリルであけて
中にある情報を持ち出してタイーホ。
この場合、電気ドリルを売った金物屋は処罰の対象にはならんでしょ。
だから,提供される物でも使い方を誤ってる訳でしょ?
例えば電気ドリルを買って人の鍵をかけてある家のドアをドリルであけて
中にある情報を持ち出してタイーホ。
この場合、電気ドリルを売った金物屋は処罰の対象にはならんでしょ。
188 :名無しさん@4周年:04/02/06 23:49 ID:pp+hqJUE
まぁ、よくわからんが
セキュリティホール=設計者の意図しない動作
として、それを知りつつやったら犯罪という解釈でよい?
で、セキュリティホール解ってるのに運用してる輩も同罪ということでよい?
セキュリティホール=設計者の意図しない動作
として、それを知りつつやったら犯罪という解釈でよい?
で、セキュリティホール解ってるのに運用してる輩も同罪ということでよい?
>>181
office氏の犯罪性を問うのに管理者の意図を問題にすることは不可能。
管理者の「つもり」「つもり」でoffice氏が有罪になるのか?
なぜcgiだけかって?そのcgiだけがファイル開示機能を持っているんだろうに…。
開いていればどこにでも入っていいんだよ。
office氏の犯罪性を問うのに管理者の意図を問題にすることは不可能。
管理者の「つもり」「つもり」でoffice氏が有罪になるのか?
なぜcgiだけかって?そのcgiだけがファイル開示機能を持っているんだろうに…。
開いていればどこにでも入っていいんだよ。
190 :名無しさん@4周年:04/02/06 23:50 ID:awdS9Wh3
191 :名無しさん@4周年:04/02/06 23:50 ID:STa1DBxk
「基本書たる」とか言って左翼教授の電波言説だったりするかもしれないからなぁ
読まないと入れられないだろw
読まないと入れられないだろw
愚かな773の為に>>145の正しさを証明する資料だ
ほれ、ハウス!
#!/usr/bin/perl
#
#$Id: csvmail.cgi,v 1.2 1999/09/28 05:43:57 morikawa Exp morikawa $
#
#Copyright (c) 2000, First Server. All rights reserved.
#
# version 0 98/12/15 by morikawa
<略>
$home = "/virtual";
<略>
$log = "$home/cgi-data/csvmail.log";
ほれ、ハウス!
#!/usr/bin/perl
#
#$Id: csvmail.cgi,v 1.2 1999/09/28 05:43:57 morikawa Exp morikawa $
#
#Copyright (c) 2000, First Server. All rights reserved.
#
# version 0 98/12/15 by morikawa
<略>
$home = "/virtual";
<略>
$log = "$home/cgi-data/csvmail.log";
193 :名無しさん@4周年:04/02/06 23:51 ID:sw9hLghh
194 :名無しさん@4周年:04/02/06 23:51 ID:AaXEa+hB
195 :名無しさん@4周年:04/02/06 23:51 ID:jhEdiftC
>>184
管理者の想定なんか関係ない。周知されているかも関係ない。
管理者の想定なんか関係ない。周知されているかも関係ない。
196 :名無しさん@4周年:04/02/06 23:52 ID:awdS9Wh3
197 :名無しさん@4周年:04/02/06 23:53 ID:w9WyrldC
>>180
見えるファイルは見えるように設定されているから。
また見ることは出来ても、書き換えは出来ないだろ? これは書き込みを制限されているから。
但し、それだと動的なページは作れないから、CGIで書かれたスクリプトを呼び出し、それが持っている
権限で書き込みをしてる。
見えるファイルは見えるように設定されているから。
また見ることは出来ても、書き換えは出来ないだろ? これは書き込みを制限されているから。
但し、それだと動的なページは作れないから、CGIで書かれたスクリプトを呼び出し、それが持っている
権限で書き込みをしてる。
198 :名無しさん@4周年:04/02/06 23:53 ID:Ih2MqYUj
>>189
じゃぁさ、あからさまに会社っぽい建物があって、
その中に顧客名簿やら帳簿やらいろんな書類があって、
管理者は隠してるつもりっぽいんだけど
鍵が開いてたから中に入って写真とってばらまくのはOK?
じゃぁさ、あからさまに会社っぽい建物があって、
その中に顧客名簿やら帳簿やらいろんな書類があって、
管理者は隠してるつもりっぽいんだけど
鍵が開いてたから中に入って写真とってばらまくのはOK?
>>192
csvmail.cgiとcsvmail.logの違いを理解できてないのでは?
csvmail.cgiとcsvmail.logの違いを理解できてないのでは?
201 :名無しさん@4周年:04/02/06 23:54 ID:awdS9Wh3
>190
スマソ、気づかなかったがどこで問うてたのですか?
>つーても、officeの行為の評価には通常影響を与えませんが。
これは同意。
スマソ、気づかなかったがどこで問うてたのですか?
>つーても、officeの行為の評価には通常影響を与えませんが。
これは同意。
203 :名無しさん@4周年:04/02/06 23:55 ID:GCTk9fSQ
2ちゃんねるってどこにあるの?
204 :名無しさん@4周年:04/02/06 23:55 ID:awdS9Wh3
206 :名無しさん@4周年:04/02/06 23:56 ID:Ih2MqYUj
>>205
さすがにネタだよね?
さすがにネタだよね?
>204
申し訳ない、前スレのどのスレ番か教えてください。
申し訳ない、前スレのどのスレ番か教えてください。
>>200
何を言いたいのか意味不明。
まさか入力フォームを含むhtmlテキストに
<input type=“hidden” name=“ng_file” value=“/virtual/cgi-data/csvmail.log">
と初めから入っていたと思い違いをしているのではあるまいな。
これはofficeが元のファイルをデスクトップにダウンロードして
value=""の中身を奴が書き換えた後のものだぞ。
それでこのhtmlテキストを開いて投稿ボタンを押してpostし不正なコマンドを送信した。
何を言いたいのか意味不明。
まさか入力フォームを含むhtmlテキストに
<input type=“hidden” name=“ng_file” value=“/virtual/cgi-data/csvmail.log">
と初めから入っていたと思い違いをしているのではあるまいな。
これはofficeが元のファイルをデスクトップにダウンロードして
value=""の中身を奴が書き換えた後のものだぞ。
それでこのhtmlテキストを開いて投稿ボタンを押してpostし不正なコマンドを送信した。
210 :名無しさん@4周年:04/02/06 23:58 ID:awdS9Wh3
>始めから他人が開けた穴に入るのは問題ない。
>自分で穴を開けると不正アクセス。
CGIに特定のパラメータを送ること=穴を開ける
と解釈可能なのですが何か?
>自分で穴を開けると不正アクセス。
CGIに特定のパラメータを送ること=穴を開ける
と解釈可能なのですが何か?
この記事、点の打ち方がおかしいから意味を把握しづらい。
この文って要するに、
>「容疑者がイベントで公開」した個人データとその入手方法が、何者かによって書き込まれた
ということか。
・・・もしかして、もいらの読解力が低いだけか?
この文って要するに、
>「容疑者がイベントで公開」した個人データとその入手方法が、何者かによって書き込まれた
ということか。
・・・もしかして、もいらの読解力が低いだけか?
212 :名無しさん@4周年:04/02/06 23:59 ID:STa1DBxk
知能指数がかなり低いjhEdiftCの為に懇切丁寧に教えてやろう
今アクセス制御機構が成立しているシステムを、管理者の許可を得ないで
不正アクセスするために電動ドリルを使用し、アクセス制御機構回避をしたとする。
おまえの言ってる事は、
「電動ドリルにはアクセス制御がないので不正アクセスはではない」
といってるのと一緒。
白痴ですか?
今アクセス制御機構が成立しているシステムを、管理者の許可を得ないで
不正アクセスするために電動ドリルを使用し、アクセス制御機構回避をしたとする。
おまえの言ってる事は、
「電動ドリルにはアクセス制御がないので不正アクセスはではない」
といってるのと一緒。
白痴ですか?
213 :名無しさん@4周年:04/02/07 00:00 ID:mXifu1th
214 :名無しさん@4周年:04/02/07 00:00 ID:x2oYGKDW
215 :名無しさん@4周年:04/02/07 00:01 ID:p97ftOpX
216 :名無しさん@4周年:04/02/07 00:01 ID:mXifu1th
217 :名無しさん@4周年:04/02/07 00:01 ID:MPTg5jSl
セキュリティホールがあるマシンもファイル開示機能を持っていますが
今までたくさんの人が逮捕されてます
ダ ウ ソ 厨 憤 死 だ な ( プ ッ
今までたくさんの人が逮捕されてます
ダ ウ ソ 厨 憤 死 だ な ( プ ッ
218 :名無しさん@4周年:04/02/07 00:02 ID:z/IRDuEF
管理者が、適切な対応を取っていれば、事件も起こらずに済むはずだった話。
>>209
利用可能なのはcgiによる任意のファイル閲覧機能。
office氏はその機能によってcgiソースを閲覧した。
その後ソースに含まれるcsvmail.logというファイル名をcgiに渡した。
利用可能であることがホールだとすれば、
それはoffice氏の開けたものではない。
利用可能なのはcgiによる任意のファイル閲覧機能。
office氏はその機能によってcgiソースを閲覧した。
その後ソースに含まれるcsvmail.logというファイル名をcgiに渡した。
利用可能であることがホールだとすれば、
それはoffice氏の開けたものではない。
220 :名無しさん@4周年:04/02/07 00:03 ID:ztgeiZlp
>>214
認証を回避して利用できる状態にすることを禁止してるんじゃないの?
認証を回避して利用できる状態にすることを禁止してるんじゃないの?
221 :名無しさん@4周年:04/02/07 00:03 ID:AcZf9d0q
773の電波学説を要約すると項だな。
老人Aのポケットに入っている札束は、誰にでも取る事が出来るほど
見え見えで、ポケットからはみ出していた。
だから773がその札束を持って行っても、最初から老人Aは所有していたとは言えないのだから
自分は窃盗ではない。
老人Aのポケットに入っている札束は、誰にでも取る事が出来るほど
見え見えで、ポケットからはみ出していた。
だから773がその札束を持って行っても、最初から老人Aは所有していたとは言えないのだから
自分は窃盗ではない。
222 :mXifu1thことawdS9Wh3である。:04/02/07 00:03 ID:mXifu1th
223 :名無しさん@4周年:04/02/07 00:05 ID:vurMG0vJ
不正アクセスの法律はアホウを保護する法律なんでしゃーない
今回の件で「不正アクセスじゃない」というやつは法律を理解してないアホウだし
「不正アクセスだ」としたいやつはマトモなコードを書けないアホウな
今回の件で「不正アクセスじゃない」というやつは法律を理解してないアホウだし
「不正アクセスだ」としたいやつはマトモなコードを書けないアホウな
224 :名無しさん@4周年:04/02/07 00:05 ID:p97ftOpX
>>218
だからといって勝手にアクセスしても良いという事ではない。
それを禁止する為に、法律で【DQN】な管理者を保護してる。
ネットを利用する管理者が全て100%の管理を出来るなら
こんな法律はいらないが、現実は不完全である為に法律で
禁止している。
だからといって勝手にアクセスしても良いという事ではない。
それを禁止する為に、法律で【DQN】な管理者を保護してる。
ネットを利用する管理者が全て100%の管理を出来るなら
こんな法律はいらないが、現実は不完全である為に法律で
禁止している。
226 :名無しさん@4周年:04/02/07 00:06 ID:ztgeiZlp
>>221
窃盗なんか関係ない
窃盗なんか関係ない
227 :名無しさん@4周年:04/02/07 00:06 ID:23zAZ03E
キチガイのおかげで2ちゃんねるが迷惑こうむるのはかんべんだな。
掲示板として面白いところなのに
掲示板として面白いところなのに
228 :名無しさん@4周年:04/02/07 00:06 ID:MPTg5jSl
>>218
違うよ。京都大学研究員河合一穂(40)が犯罪を行わなければ
事件も起こらずに済むはずだった話、だよ。
>>219
なに「利用可能」とか言ってトーンダウンしてんの?
鯖側が「提供してる」んじゃなかったの?ww
違うよ。京都大学研究員河合一穂(40)が犯罪を行わなければ
事件も起こらずに済むはずだった話、だよ。
>>219
なに「利用可能」とか言ってトーンダウンしてんの?
鯖側が「提供してる」んじゃなかったの?ww
229 :名無しさん@4周年:04/02/07 00:07 ID:p97ftOpX
あれれ…いつの間にかID変わっとる…why?
231 :名無しさん@4周年:04/02/07 00:09 ID:bZQ5NhBa
>調べでは、掲示板に書き込みがあったのは先月27、28日。河合容疑者が引き
>出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
>見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
>書き込みを削除させた。
どうやら何の問題もないのに削除しちゃったらしいねw
>出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
>見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
>書き込みを削除させた。
どうやら何の問題もないのに削除しちゃったらしいねw
問題は、不正アクセスしてセキュ穴を指摘したことより、それで得た個人情報
ばら撒いてしまったことなんじゃないかな。と思うのだが。
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/
ばら撒いてしまったことなんじゃないかな。と思うのだが。
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/
233 :名無しさん@4周年:04/02/07 00:10 ID:x2oYGKDW
オヒスはアウト!派の意見はこんな感じで良い?
情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
不正アクセスについて:
3-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
今回の件では:
4-1) 2-1)より誰が見ても明らかな非公開情報を、cgiのパラメータを変更することで
隠蔽のための機構を意図的に回避している
4-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
不正アクセスについて:
3-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
今回の件では:
4-1) 2-1)より誰が見ても明らかな非公開情報を、cgiのパラメータを変更することで
隠蔽のための機構を意図的に回避している
4-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
要は773はこのCGIは最初からサーバ上の全てのファイルを
読み出すことを意図してつくられたっていってんだろ
でその根拠はどこにもない
あえていえば773の脳内にのみある
でその他大勢はこのCGIは特定のフォーム上で特定のファイルを読み出す
ことを意図してつくられた。つまり任意のファイルを読み出すことが
できたのは本来のCGIの仕様ではなく脆弱性でしかない
でその根拠は
1.一般論としていくら鯖管が糞でも鯖上の任意のファイルを読める
CGIを自ら意図して設置することは考えられない
2.作成者であるファーストサーバもこのCGIの脆弱性に関しては認識して、
脆弱性をなくしたスクリプトをリリースしている
(ただし脆弱性に関して周知はしていない)
読み出すことを意図してつくられたっていってんだろ
でその根拠はどこにもない
あえていえば773の脳内にのみある
でその他大勢はこのCGIは特定のフォーム上で特定のファイルを読み出す
ことを意図してつくられた。つまり任意のファイルを読み出すことが
できたのは本来のCGIの仕様ではなく脆弱性でしかない
でその根拠は
1.一般論としていくら鯖管が糞でも鯖上の任意のファイルを読める
CGIを自ら意図して設置することは考えられない
2.作成者であるファーストサーバもこのCGIの脆弱性に関しては認識して、
脆弱性をなくしたスクリプトをリリースしている
(ただし脆弱性に関して周知はしていない)
235 :名無しさん@4周年:04/02/07 00:10 ID:fXuBPj1Y
>>228
ACCSの管理がずさんなだけ
ACCSの管理がずさんなだけ
773が「よく釣れたな」と勝利宣言を出すまであと何分?
238 :名無しさん@4周年:04/02/07 00:11 ID:mXifu1th
239 :名無しさん@4周年:04/02/07 00:12 ID:ztgeiZlp
>>234
CGIの設置の意図なんか関係ない。
CGIの設置の意図なんか関係ない。
241 :名無しさん@4周年:04/02/07 00:14 ID:mXifu1th
officeはどうでもいいが、個人情報を扱ってる場所に大穴空けてたACCSには、
死んで詫びて欲しい気持ちですね。
死んで詫びて欲しい気持ちですね。
243 :名無しさん@4周年:04/02/07 00:15 ID:sN8jtXA7
>>152
他のアクセス機構を回避したと言うのは拡大解釈です。
ファイルパーミッションが条文のアクセス制限機構にあたらないのと同様です。
利用者にとって、ファイルのパーミッションや他のアクセス手段は影響しません。
他のアクセス機構を回避したと言うのは拡大解釈です。
ファイルパーミッションが条文のアクセス制限機構にあたらないのと同様です。
利用者にとって、ファイルのパーミッションや他のアクセス手段は影響しません。
245 :名無しさん@4周年:04/02/07 00:15 ID:MPTg5jSl
>>236
セキュリティーホールがあるマシンもいろいろな機能を提供しているが
外部の人間がいろいろな機能を実際行うと逮捕されるらしいよ。
どう思う?
>ネット上では公開が原則
ネットに繋がったマシンは全てのディレクトリが公開原則なんだww
セキュリティーホールがあるマシンもいろいろな機能を提供しているが
外部の人間がいろいろな機能を実際行うと逮捕されるらしいよ。
どう思う?
>ネット上では公開が原則
ネットに繋がったマシンは全てのディレクトリが公開原則なんだww
246 :名無しさん@4周年:04/02/07 00:15 ID:AcZf9d0q
>225
その通りだ。
不正アクセス禁止法は不正アクセス以前に不正アクセスが可能だったかどうか
を問うている法律ではない。
故におまえの言ってる事はデタラメ。
その通りだ。
不正アクセス禁止法は不正アクセス以前に不正アクセスが可能だったかどうか
を問うている法律ではない。
故におまえの言ってる事はデタラメ。
247 :名無しさん@4周年:04/02/07 00:16 ID:p97ftOpX
>>237
それはない。だいいち私はクソ素人なのに…w
>>238
cgiがファイル名を引数として受け取り、そのファイル内容を開示するのは仕様。
もしそれが穴を開ける行為なら、cgiにアクセスした全員が有罪になってしまう。
それはない。だいいち私はクソ素人なのに…w
>>238
cgiがファイル名を引数として受け取り、そのファイル内容を開示するのは仕様。
もしそれが穴を開ける行為なら、cgiにアクセスした全員が有罪になってしまう。
249 :名無しさん@4周年:04/02/07 00:16 ID:52fJavle
250 :名無しさん@4周年:04/02/07 00:16 ID:mXifu1th
>>240
さっきからオウムになっているが・・・
>現実に動作していることと、それが公開されていること。
が成り立つなら、おまいのPCに意図しない穴があった場合も、当然不正アクセスにならない。
>始めから他人が開けた穴に入るのは問題ない。
>自分で穴を開けると不正アクセス。
(繰り返し)
CGIに特定のパラメータを送ること=穴を開ける
と解釈可能なのですが何か?
さっきからオウムになっているが・・・
>現実に動作していることと、それが公開されていること。
が成り立つなら、おまいのPCに意図しない穴があった場合も、当然不正アクセスにならない。
>始めから他人が開けた穴に入るのは問題ない。
>自分で穴を開けると不正アクセス。
(繰り返し)
CGIに特定のパラメータを送ること=穴を開ける
と解釈可能なのですが何か?
>216
そっか、それはスマナンダ。
そっか、それはスマナンダ。
252 :名無しさん@4周年:04/02/07 00:17 ID:x2oYGKDW
ちょっと直した。cgiについて。
情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、
システム上の全ファイルを公開する機能のcgiを実現しようとしていたつもり
ではないことにオヒスは気付いていた。だからこそセキュリティホールであると
通告していた。
不正アクセスについて:
4-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、
システム上の全ファイルを公開する機能のcgiを実現しようとしていたつもり
ではないことにオヒスは気付いていた。だからこそセキュリティホールであると
通告していた。
不正アクセスについて:
4-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
253 :名無しさん@4周年:04/02/07 00:18 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
254 :名無しさん@4周年:04/02/07 00:18 ID:3wv5kSYd
バーチャル世界の法律も現実社会と同じだけの法律が必要なのかな・・・
あんな単純な法律だけじゃ治まらないバーチャル世界が存在してる・・・
あんな単純な法律だけじゃ治まらないバーチャル世界が存在してる・・・
255 :名無しさん@4周年:04/02/07 00:18 ID:E/cpqR3K
>>233
30点。
認証機能というとWeb認証のイメージになるのでアクセス制御とすべき
cgiのパラメータというのは誤解をうむ。cgiを改造し通常発生しない
POSTリクエストにより通常見えないファイルを入手した
見たか保存したか晒したかは法律上関係ない、不正なアクセスがあったかどうかだ
30点。
認証機能というとWeb認証のイメージになるのでアクセス制御とすべき
cgiのパラメータというのは誤解をうむ。cgiを改造し通常発生しない
POSTリクエストにより通常見えないファイルを入手した
見たか保存したか晒したかは法律上関係ない、不正なアクセスがあったかどうかだ
256 :名無しさん@4周年:04/02/07 00:18 ID:mXifu1th
257 :名無しさん@4周年:04/02/07 00:19 ID:MPTg5jSl
>>247
個人情報を公開された本人でもなんでも無いが、断固糾弾するね。
個人情報を公開された本人でもなんでも無いが、断固糾弾するね。
259 :名無しさん@4周年:04/02/07 00:20 ID:x2oYGKDW
>>241を反映してみたよ。
情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
260 :名無しさん@4周年:04/02/07 00:20 ID:rrHWj/Qq
つまりだ、
とある操作をして個人情報を入手しても
ご丁寧に管理者に教えて上げるのは
後ろ手にまわるからやめようね!
ってことでしょ。
素直に2chにさらした方がよいかも。
それだといくらなんでも管理者が気づくでしょw
とある操作をして個人情報を入手しても
ご丁寧に管理者に教えて上げるのは
後ろ手にまわるからやめようね!
ってことでしょ。
素直に2chにさらした方がよいかも。
それだといくらなんでも管理者が気づくでしょw
261 :名無しさん@4周年:04/02/07 00:21 ID:p97ftOpX
262 :名無しさん@4周年:04/02/07 00:21 ID:mXifu1th
263 :名無しさん@4周年:04/02/07 00:23 ID:E/cpqR3K
773は脆弱性の意味もわからない厨だ
そっと放置しといてやれ
そっと放置しといてやれ
前スレのコピペ
917 名無しさん@4周年 sage 04/02/06 20:34 ID:RKWgAVP+
いろいろ議論されてるが
>>858で書いた内容がすべてだろ
不正アクセス否定派はCGIの引数がサニタイズされていないのは「仕様」と主張
つまり管理者によるアクセス制御はなされていなかった
不正アクセス肯定派はCGIの引数がサニタイズされていないのは「脆弱性」と主張
つまり管理者によるアクセス制御の回避にあたる
ここの認識が違ってるかぎりたぶん平行線
一部を除いてほとんどのヤシは下の認識だと思うが
921 773 sage 04/02/06 20:36 ID:u0p5dcBT
>>917
今回の一件では客観的に後者の見方が妥当だと思う。
ただ裁判となると、office氏の故意性が問題になりそう…
やっぱり773は釣り師の悪寒w
917 名無しさん@4周年 sage 04/02/06 20:34 ID:RKWgAVP+
いろいろ議論されてるが
>>858で書いた内容がすべてだろ
不正アクセス否定派はCGIの引数がサニタイズされていないのは「仕様」と主張
つまり管理者によるアクセス制御はなされていなかった
不正アクセス肯定派はCGIの引数がサニタイズされていないのは「脆弱性」と主張
つまり管理者によるアクセス制御の回避にあたる
ここの認識が違ってるかぎりたぶん平行線
一部を除いてほとんどのヤシは下の認識だと思うが
921 773 sage 04/02/06 20:36 ID:u0p5dcBT
>>917
今回の一件では客観的に後者の見方が妥当だと思う。
ただ裁判となると、office氏の故意性が問題になりそう…
やっぱり773は釣り師の悪寒w
265 :名無しさん@4周年:04/02/07 00:24 ID:x2oYGKDW
>>255も反映。
情報公開について一般論:
1-1) webは原則公開
1-2) アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
情報公開について一般論:
1-1) webは原則公開
1-2) アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
266 :名無しさん@4周年:04/02/07 00:24 ID:AcZf9d0q
>248
電動ドリルで金庫破りをした人間がいる。
電動ドリルがスイッチを押すと対象物に穴を空けるのは仕様。
だから電動ドリルを使用した人は全員有罪になってしまう。
電動ドリルで金庫破りをした人間がいる。
電動ドリルがスイッチを押すと対象物に穴を空けるのは仕様。
だから電動ドリルを使用した人は全員有罪になってしまう。
267 :名無しさん@4周年:04/02/07 00:24 ID:z/IRDuEF
>>228
不正アクセスの仕方が2ちゃんの掲示板上で説明できるくらいに簡単で、
そんな貧弱なセキュリティレベルで個人情報を扱っているという
ACCSのプライバシー保護に対する意識の低さが一番問題だと思う。
不正アクセスの仕方が2ちゃんの掲示板上で説明できるくらいに簡単で、
そんな貧弱なセキュリティレベルで個人情報を扱っているという
ACCSのプライバシー保護に対する意識の低さが一番問題だと思う。
268 :名無しさん@4周年:04/02/07 00:24 ID:p97ftOpX
>>260
ここへ晒しても不正アクセスしたのなら捕まる
方法だけ書いて、DQNがそれを実行し内容を晒すのをニヤニヤするだけ
なら不正アクセスでは捕まらない
但し、業務妨害での損害賠償訴訟は起こされる可能性は高い
ここへ晒しても不正アクセスしたのなら捕まる
方法だけ書いて、DQNがそれを実行し内容を晒すのをニヤニヤするだけ
なら不正アクセスでは捕まらない
但し、業務妨害での損害賠償訴訟は起こされる可能性は高い
269 :名無しさん@4周年:04/02/07 00:24 ID:MPTg5jSl
>>258
ダ ウ ソ 厨 必 死 だ な ( w
office訴えた方がいいよ
だってあいつは「自分の意志」で個人情報ばらまいたんだからww
>>260
せめてばらまく前に教えてあげようって事だな。
どっかの馬鹿と違って感謝されて円満解決も多いんだから。
ダ ウ ソ 厨 必 死 だ な ( w
office訴えた方がいいよ
だってあいつは「自分の意志」で個人情報ばらまいたんだからww
>>260
せめてばらまく前に教えてあげようって事だな。
どっかの馬鹿と違って感謝されて円満解決も多いんだから。
>>244
公開されたものではない
>>245
目的外に使うと問題になるだろう
>>250
office氏が与えた引数はファイル名のみ。それは本来の機能しか用いていない。
バッファオーバランとは同列にしてはいけない。
>>253
無理
>>256
「特定」と「非特定」はどう判断するのか…
つかやっぱり「穴」の表現まちがってるぽ。
今後は「穴なぞ始めからなかった」で行きます。
公開されたものではない
>>245
目的外に使うと問題になるだろう
>>250
office氏が与えた引数はファイル名のみ。それは本来の機能しか用いていない。
バッファオーバランとは同列にしてはいけない。
>>253
無理
>>256
「特定」と「非特定」はどう判断するのか…
つかやっぱり「穴」の表現まちがってるぽ。
今後は「穴なぞ始めからなかった」で行きます。
271 :名無しさん@4周年:04/02/07 00:25 ID:Nu/rpuOe
個人が誰でも脆弱性の検査をできるっていうのを、
免許か何かで規制して、事前の通知や事後の報告を義務付けないと、
悪意を持ったユーザーとの区別ができない。
免許か何かで規制して、事前の通知や事後の報告を義務付けないと、
悪意を持ったユーザーとの区別ができない。
言葉の解釈自体でなんとでも言えそうな条文だなしかし。
『さぁ僕を見て不毛な平行線議論をしてください』と嘲笑っているかにも見える。
犯罪になる例の例え話持ち出したりならない例の例え話持ち出したり、両者必死すぎ。
『さぁ僕を見て不毛な平行線議論をしてください』と嘲笑っているかにも見える。
犯罪になる例の例え話持ち出したりならない例の例え話持ち出したり、両者必死すぎ。
273 :名無しさん@4周年:04/02/07 00:26 ID:mXifu1th
274 :名無しさん@4周年:04/02/07 00:26 ID:p97ftOpX
275 :名無しさん@4周年:04/02/07 00:27 ID:MPTg5jSl
773は無知であることにあらかじめ逃げを売ってるだけのゴロでしょ。
こいつのせいでこのスレに入ってから何一つ進展してないじゃねーか。
こいつのせいでこのスレに入ってから何一つ進展してないじゃねーか。
276 :名無しさん@4周年:04/02/07 00:28 ID:mXifu1th
277 :名無しさん@4周年:04/02/07 00:28 ID:x2oYGKDW
1-1) webは原則公開
これはおかしいので消せ
これはおかしいので消せ
279 :名無しさん@4周年:04/02/07 00:29 ID:QdyUoNBi
★情報漏えいに揺れたACCS、「モラルに沿った脆弱性指摘を」
http://www.itmedia.co.jp/enterprise/0402/06/epn04.html
血の付いた斧を背後に覗かせながら言われても、ねぇ?(苦笑
http://www.itmedia.co.jp/enterprise/0402/06/epn04.html
血の付いた斧を背後に覗かせながら言われても、ねぇ?(苦笑
281 :名無しさん@4周年:04/02/07 00:29 ID:mXifu1th
282 :名無しさん@4周年:04/02/07 00:30 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
283 :名無しさん@4周年:04/02/07 00:30 ID:MPTg5jSl
>>270
「目的」って誰が決めるの?w
意図とか関係ないんだからその機能が実際に
提供されていれば何でもやっていいんじゃないの?
目的云々言うならば、今回の件では例のCGIは
個人情報を表示する目的で作られたはずはないと思うが
そう思いませんか?w
「目的」って誰が決めるの?w
意図とか関係ないんだからその機能が実際に
提供されていれば何でもやっていいんじゃないの?
目的云々言うならば、今回の件では例のCGIは
個人情報を表示する目的で作られたはずはないと思うが
そう思いませんか?w
284 :名無しさん@4周年:04/02/07 00:30 ID:FlGyEBmd
ACCSに情報を送信する過程で
何かの情報(エラー?)を表示するために使われているcgiを
「一般に公開されたファイル閲覧機能だ」という主張にはとても違和感を感じる
何かの情報(エラー?)を表示するために使われているcgiを
「一般に公開されたファイル閲覧機能だ」という主張にはとても違和感を感じる
>>276
そうなんだけど前スレで既出なのね。
それも私なんかよりちゃんと知識があるID:r5LDRHzzが理由も説明してる。
>>275
初めから、クソ素人なんかほっといて詳しいやつ同士で「議論」しろと言ってるw
そうなんだけど前スレで既出なのね。
それも私なんかよりちゃんと知識があるID:r5LDRHzzが理由も説明してる。
>>275
初めから、クソ素人なんかほっといて詳しいやつ同士で「議論」しろと言ってるw
286 :267:04/02/07 00:33 ID:z/IRDuEF
>>274
不正アクセスを容認するつもりはないです。
河合一穂容疑者は警告や晒してただけでもマシ。
素のテキストファイルをサーバーにおいて、それを単純なCGIで読みに
いっているだけのCGIが多すぎ。
不正アクセスを容認するつもりはないです。
河合一穂容疑者は警告や晒してただけでもマシ。
素のテキストファイルをサーバーにおいて、それを単純なCGIで読みに
いっているだけのCGIが多すぎ。
287 :名無しさん@4周年:04/02/07 00:33 ID:MPTg5jSl
288 :名無しさん@4周年:04/02/07 00:33 ID:mXifu1th
>>285
ID:r5LDRHzzは、
>>容疑者の行為に「利用し得る状態にする行為」が含まれないから
>いまだ、その理由の説明がなされていない。
とわしが訪ねた直後に勝利宣言したもんだから、そこから話が進んでおらんのだ。
ID:r5LDRHzzは、
>>容疑者の行為に「利用し得る状態にする行為」が含まれないから
>いまだ、その理由の説明がなされていない。
とわしが訪ねた直後に勝利宣言したもんだから、そこから話が進んでおらんのだ。
289 :名無しさん@4周年:04/02/07 00:33 ID:x2oYGKDW
>>283
やっぱそうなのかな?
>>273
120秒待ってね・・・なんか考える。
でも原則公開ってのが無いと
「公開性が明示されてなくて、明らかな非公開情報じゃないのはどっちなの?」って質問されそうなので
書いてみたのよ。
やっぱそうなのかな?
>>273
120秒待ってね・・・なんか考える。
でも原則公開ってのが無いと
「公開性が明示されてなくて、明らかな非公開情報じゃないのはどっちなの?」って質問されそうなので
書いてみたのよ。
290 :名無しさん@4周年:04/02/07 00:33 ID:p97ftOpX
>>280
意識が低いのはweb管理者ではなく、それを運用管理する責任を持っている
経営者。
意識が低い、技術がない人間をweb管理者に置いている時点でDQN。
しかし、現実はネット上の利便性向上が先走り、危機管理がおざなりになっている
のが現状で、それではいけないのでせめて個人情報は守ろうと法律が出来た。
将来は、もっと厳しくなったり免許制とかにもなる可能性あり。
意識が低いのはweb管理者ではなく、それを運用管理する責任を持っている
経営者。
意識が低い、技術がない人間をweb管理者に置いている時点でDQN。
しかし、現実はネット上の利便性向上が先走り、危機管理がおざなりになっている
のが現状で、それではいけないのでせめて個人情報は守ろうと法律が出来た。
将来は、もっと厳しくなったり免許制とかにもなる可能性あり。
291 :名無しさん@4周年:04/02/07 00:34 ID:bcctxX2m
不正アクセス禁止法で、アメリカ愛国法に基づいて活動する諜報員を
取り締まれますか?
取り締まれますか?
292 :名無しさん@4周年:04/02/07 00:35 ID:mXifu1th
>>282
初めから穴があったというのは撤回。
初めから「ドア」があったのだ。
>>283
個人情報云々は関係ない。それは結果。
cgiは引数からファイル名を受け取ってその内容を示す機能があった。
それがcgiの目的。バッファオーバランとは同列にしてはいけない。
初めから穴があったというのは撤回。
初めから「ドア」があったのだ。
>>283
個人情報云々は関係ない。それは結果。
cgiは引数からファイル名を受け取ってその内容を示す機能があった。
それがcgiの目的。バッファオーバランとは同列にしてはいけない。
294 :名無しさん@4周年:04/02/07 00:36 ID:ztgeiZlp
>>288
「利用し得る状態にする行為」をしたのはCGIを設置した管理者だ、と言っていただろ。
「利用し得る状態にする行為」をしたのはCGIを設置した管理者だ、と言っていただろ。
295 :名無しさん@4周年:04/02/07 00:36 ID:mXifu1th
296 :名無しさん@4周年:04/02/07 00:36 ID:fP+9QTdt
>>2がむちゃくちゃイイ!!!!!!!!!!!!!!!!!
297 :名無しさん@4周年:04/02/07 00:37 ID:MPTg5jSl
だから『判り易い例え』なんて存在しないんだってばさ。
とりあえずそこから離れろw
とりあえずそこから離れろw
299 :名無しさん@4周年:04/02/07 00:37 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
300 :名無しさん@4周年:04/02/07 00:38 ID:x2oYGKDW
OK。>>292も反映。
情報公開について:
1-1)アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!ハウス!
情報公開について:
1-1)アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!ハウス!
301 :名無しさん@4周年:04/02/07 00:38 ID:mXifu1th
302 :名無しさん@4周年:04/02/07 00:39 ID:rrHWj/Qq
officeは今思っているはず
「これは罠よ!」
結局陥れられたに違いないからな。
まあ調子付いてたようだからしょうがないのかも。
「これは罠よ!」
結局陥れられたに違いないからな。
まあ調子付いてたようだからしょうがないのかも。
303 :名無しさん@4周年:04/02/07 00:39 ID:yKKI4U16
とりあえず今回は個人情報流された人に、
おいおい、ACCSなんて信用すんなよ(プゲラッチョ
と慰めの言葉をかければいいのでせうか。
おいおい、ACCSなんて信用すんなよ(プゲラッチョ
と慰めの言葉をかければいいのでせうか。
306 :名無しさん@4周年:04/02/07 00:40 ID:mXifu1th
307 :名無しさん@4周年:04/02/07 00:40 ID:MPTg5jSl
308 :名無しさん@4周年:04/02/07 00:42 ID:3wv5kSYd
ファイルパーミッションが認証にあたいする現状から認証であると解釈すると
1.許可を得た方法でアクセスする方法
2.許可させてないので取得できない方法
の2つの方法でブラウザからアクセスできた状態
1.の方法で全ての情報を得ようとした場合、当然表示されない情報もある訳だしょ?
でね、1.の方法でも許可させた情報と許可させてない情報が存在するんだしょ?
これってセキュリティホールだって言えばセキュリティホールだよなぁ
でも、認証でいえば認証をうけてアクセスしたってことでしょ
認証を受けてない情報は表示出来ないんだから
でもって管理者はそんなの許可した覚えはない!!ってことでしょ
罪に問われるか?問われないか?って管理者の考えで変わるの?
システム業界だったら管理者の許可を受けてないって話になるかも知れいが・・・
1.許可を得た方法でアクセスする方法
2.許可させてないので取得できない方法
の2つの方法でブラウザからアクセスできた状態
1.の方法で全ての情報を得ようとした場合、当然表示されない情報もある訳だしょ?
でね、1.の方法でも許可させた情報と許可させてない情報が存在するんだしょ?
これってセキュリティホールだって言えばセキュリティホールだよなぁ
でも、認証でいえば認証をうけてアクセスしたってことでしょ
認証を受けてない情報は表示出来ないんだから
でもって管理者はそんなの許可した覚えはない!!ってことでしょ
罪に問われるか?問われないか?って管理者の考えで変わるの?
システム業界だったら管理者の許可を受けてないって話になるかも知れいが・・・
309 :名無しさん@4周年:04/02/07 00:42 ID:ztgeiZlp
>>301
>CGIに特定のパラメータを送ること=利用し得る状態にする行為
それは当該個人情報ファイルを利用し得る状態にする行為のことだろ。それをしたのはCGI。
OfficeはCGIを単に利用しただけだ、と言っていただろ。
>CGIに特定のパラメータを送ること=利用し得る状態にする行為
それは当該個人情報ファイルを利用し得る状態にする行為のことだろ。それをしたのはCGI。
OfficeはCGIを単に利用しただけだ、と言っていただろ。
310 :名無しさん@4周年:04/02/07 00:42 ID:mXifu1th
311 :名無しさん@4周年:04/02/07 00:42 ID:6khSRXw9
>>54
それはCGIの認証機能を避けてるわけで、モロ3-2-2に引っかかるかと。
それはCGIの認証機能を避けてるわけで、モロ3-2-2に引っかかるかと。
312 :名無しさん@4周年:04/02/07 00:42 ID:x2oYGKDW
typoもあったし、原則公開について軽く書く感じにして修正してみた。
情報公開について:
1-1) webは原則公開であると考えられるが、宣言や告知あるいは
アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報。
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-1)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
情報公開について:
1-1) webは原則公開であると考えられるが、宣言や告知あるいは
アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報。
今回漏れた情報:
2-1) 個人情報であり、ほぼ1-1)に相当し、常識的に非公開情報である
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト!
314 :名無しさん@4周年:04/02/07 00:43 ID:MPTg5jSl
ま、なんにしろofficeのアフォもはしゃいで個人情報公開したりしなかったら
逮捕されなかったと思うよ
このときは
https://www.netsecurity.ne.jp/article/1/4828.html
officeにもまだ理性があったらしく
>ただし、「実際に見て」確認していないので、あくまでも「可能性」にとどまっている。
とかいってたのにね
警察も今回は悪質だからタイーホしたんだろうな
逮捕されなかったと思うよ
このときは
https://www.netsecurity.ne.jp/article/1/4828.html
officeにもまだ理性があったらしく
>ただし、「実際に見て」確認していないので、あくまでも「可能性」にとどまっている。
とかいってたのにね
警察も今回は悪質だからタイーホしたんだろうな
316 :名無しさん@4周年:04/02/07 00:44 ID:mXifu1th
317 :名無しさん@4周年:04/02/07 00:45 ID:E/cpqR3K
ztgeiZlpもそろそろ放置でいいんじゃないか?
同じことしかいわず、説明しないから、議論進まないし
同じことしかいわず、説明しないから、議論進まないし
>>66
待て待て、unixで chmod 444 してあったら、CGI経由だって読めないぞ。
CGI経由で読めたのなら、読めるパーミッションにしてあったと言うこと。
と言うか、そのようなパーミッションにしてあって普通なんじゃ?その CGIでアクセスするんでしょ?
待て待て、unixで chmod 444 してあったら、CGI経由だって読めないぞ。
CGI経由で読めたのなら、読めるパーミッションにしてあったと言うこと。
と言うか、そのようなパーミッションにしてあって普通なんじゃ?その CGIでアクセスするんでしょ?
319 :名無しさん@4周年:04/02/07 00:46 ID:QdyUoNBi
>>305
そのあと弁護士と面会してもらいます。そして米国流被害者救済(利益獲得)方法を考えましょう。
そのあと弁護士と面会してもらいます。そして米国流被害者救済(利益獲得)方法を考えましょう。
320 :名無しさん@4周年:04/02/07 00:46 ID:wGZInPPn
こいつは研究員以前に、人格に問題ありだろ。
321 :名無しさん@4周年:04/02/07 00:46 ID:MPTg5jSl
322 :名無しさん@4周年:04/02/07 00:46 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
323 :名無しさん@4周年:04/02/07 00:47 ID:ztgeiZlp
>>316
特定のパラメータはアクセス制御機構に相当しないだろ。
特定のパラメータはアクセス制御機構に相当しないだろ。
324 :名無しさん@4周年:04/02/07 00:47 ID:x2oYGKDW
そろそろ飽きたかも(´・ω・`)
情報公開について:
1-1) webは原則公開であると考えられるが、宣言や告知あるいは
アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報。
今回漏れた情報:
2-1) 個人情報であり、常識的に非公開情報である。また、オヒスが取得並びに公開にそのファイルを
選択した理由も、オヒス自身も「セキュリティホールによって非公開情報が閲覧可能」と
認識していたからである。
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト! ハウス!
情報公開について:
1-1) webは原則公開であると考えられるが、宣言や告知あるいは
アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報。
今回漏れた情報:
2-1) 個人情報であり、常識的に非公開情報である。また、オヒスが取得並びに公開にそのファイルを
選択した理由も、オヒス自身も「セキュリティホールによって非公開情報が閲覧可能」と
認識していたからである。
今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
だからこそセキュリティホールであると通告していた。
不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
プロトコルにかかる機構を含む。
今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
ので非公開情報と認識したうえで公開しており犯意は認められる
したがって、不正アクセス禁止法違反でアウト! ハウス!
>>310
いい加減個人情報流失を忘れなさい
今回セキュリティホールとされているのは
cgi経由で鯖上の全ファイルを閲覧できるようになっていることだが、
ファイルを閲覧できるようにしたのはcgiであってoffice氏ではない。
彼にとっては穴ではなく「ドア」だった。
いい加減個人情報流失を忘れなさい
今回セキュリティホールとされているのは
cgi経由で鯖上の全ファイルを閲覧できるようになっていることだが、
ファイルを閲覧できるようにしたのはcgiであってoffice氏ではない。
彼にとっては穴ではなく「ドア」だった。
326 :名無しさん@4周年:04/02/07 00:48 ID:mXifu1th
327 :名無しさん@4周年:04/02/07 00:49 ID:xAT+1lgi
>>325
ドアって勝手に開くんですね。すげーおたくはぜんぶ自動ドアなんすか?
ドアって勝手に開くんですね。すげーおたくはぜんぶ自動ドアなんすか?
328 :286:04/02/07 00:50 ID:z/IRDuEF
>>297
別に、おれも同情はしていない。
この程度でも不正アクセスなのかな?
ttp://www.google.com/search?num=20&hl=ja&inlang=ja&ie=UTF-8&oe=UTF-8&c2coff=1&q=Parent+Directory+login+cgi&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
別に、おれも同情はしていない。
この程度でも不正アクセスなのかな?
ttp://www.google.com/search?num=20&hl=ja&inlang=ja&ie=UTF-8&oe=UTF-8&c2coff=1&q=Parent+Directory+login+cgi&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
329 :名無しさん@4周年:04/02/07 00:50 ID:ztgeiZlp
>>326
じゃあアクセス制御機構を回避してないだろ
じゃあアクセス制御機構を回避してないだろ
つーかま、officeだって個人情報晒したんだから覚悟はしたうえなんだろうし
奴自身を擁護する気はサラサラ無いが、
ACCS側の落ち度をあんまり問わないってのはいい結果を産まないと思うさね。
「officeの行為は犯罪で無い!」
「いや犯罪だ!」
って今ここで言ってどうなることでもないことで騒いでる人間がどっちも、
ACCSの責任から目を逸らしたい奴にも見えてくる疑心暗鬼な夜。
奴自身を擁護する気はサラサラ無いが、
ACCS側の落ち度をあんまり問わないってのはいい結果を産まないと思うさね。
「officeの行為は犯罪で無い!」
「いや犯罪だ!」
って今ここで言ってどうなることでもないことで騒いでる人間がどっちも、
ACCSの責任から目を逸らしたい奴にも見えてくる疑心暗鬼な夜。
結局773の主張は
CGIが任意のファイルを表示できたのは「脆弱性」ではなくそのCGIの「仕様」である
ってことだけなんだよなぁ
そのくせ「脆弱性」と「仕様」の違いを説明できていない
何を言われても根拠もなく
「それはCGIの仕様です」
というだけ
つーことでそろそろあぼーん推奨かも
CGIが任意のファイルを表示できたのは「脆弱性」ではなくそのCGIの「仕様」である
ってことだけなんだよなぁ
そのくせ「脆弱性」と「仕様」の違いを説明できていない
何を言われても根拠もなく
「それはCGIの仕様です」
というだけ
つーことでそろそろあぼーん推奨かも
333 :名無しさん@4周年:04/02/07 00:51 ID:mXifu1th
>>325
彼自身が何をどう考えようと、彼の勝手である。
彼自身が「ファイルを閲覧できるようにしたのはcgiであって」と考えたからといって、警察や検察や裁判官もそう考える義務は無いのですが何か?
正当な理由が無い意見は価値がないのれす。
彼自身が何をどう考えようと、彼の勝手である。
彼自身が「ファイルを閲覧できるようにしたのはcgiであって」と考えたからといって、警察や検察や裁判官もそう考える義務は無いのですが何か?
正当な理由が無い意見は価値がないのれす。
334 :名無しさん@4周年:04/02/07 00:52 ID:MPTg5jSl
>>317
こうなったらもう何度でもとことん同じ事を聞いてやるよ。
なんかこの世のコンピュータは全て共有物のように思えてきた。
>>318
CGIがどの権限で実行されているかによりますよ
>>320
yes! こんな状況でハッカーとクラッカーの区別なんか付かなくて当然だよね
>>328
他の事例はあくまで他の事例だね
こうなったらもう何度でもとことん同じ事を聞いてやるよ。
なんかこの世のコンピュータは全て共有物のように思えてきた。
>>318
CGIがどの権限で実行されているかによりますよ
>>320
yes! こんな状況でハッカーとクラッカーの区別なんか付かなくて当然だよね
>>328
他の事例はあくまで他の事例だね
335 :名無しさん@4周年:04/02/07 00:53 ID:9wfxJyf0
セキュリティホールがあるから直せって当事者に通告するなり、詳細は伏せて公表するならわかる
だかしかし、こういう形でしかも2chになんか書き込んだイカンよ
法に触れて「犯罪者」になるかどうかは微妙なんでようわからんが、悪意が介在した上にそれを公に発露したら、まんま悪人
少なくとも常識ある人間がすることじゃない
だかしかし、こういう形でしかも2chになんか書き込んだイカンよ
法に触れて「犯罪者」になるかどうかは微妙なんでようわからんが、悪意が介在した上にそれを公に発露したら、まんま悪人
少なくとも常識ある人間がすることじゃない
336 :名無しさん@4周年:04/02/07 00:53 ID:mXifu1th
>>329
>>324に採用してもらった意見。
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他のプロトコルにかかる機構を含む。
これを回避していますが何か?
>>324に採用してもらった意見。
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他のプロトコルにかかる機構を含む。
これを回避していますが何か?
337 :名無しさん@4周年:04/02/07 00:53 ID:Jd/zXY4B
>277
正当行為を主張するんじゃないかな。
セキュ穴の脆弱性を指摘する為に不正アクセスするのは、それだけの行為ならば、
正当行為として認められる可能性も高いんじゃないかなと思う。
ただ、その過程で個人情報ばら撒きと言う余計なことしてしまったから、そこを突か
れたら弱いね。それをする必要性があったかどうかが問題になるんじゃないのかな?
正当行為を主張するんじゃないかな。
セキュ穴の脆弱性を指摘する為に不正アクセスするのは、それだけの行為ならば、
正当行為として認められる可能性も高いんじゃないかなと思う。
ただ、その過程で個人情報ばら撒きと言う余計なことしてしまったから、そこを突か
れたら弱いね。それをする必要性があったかどうかが問題になるんじゃないのかな?
340 :名無しさん@4周年:04/02/07 00:54 ID:x2oYGKDW
formでselectとか使って、そこからしか表示ファイルを選べないようにしていたら
鯖屋側はアクセス制御の意図があったと思うが。
で、本来ならばcgiでさらに引数チェックして、アクセス制御をより完璧なものに近づけるはず。
ところが、そこにバグがあって、一段目の入力を、ルーカルでhtml書き換えなどで回避すれば
アクセス制御をバグを突いて回避することになると思う。
鯖屋側はアクセス制御の意図があったと思うが。
で、本来ならばcgiでさらに引数チェックして、アクセス制御をより完璧なものに近づけるはず。
ところが、そこにバグがあって、一段目の入力を、ルーカルでhtml書き換えなどで回避すれば
アクセス制御をバグを突いて回避することになると思う。
常に主観の問題であり基準が見えてこない。
公約数の無い堂堂巡り。
公約数の無い堂堂巡り。
342 :名無しさん@4周年:04/02/07 00:55 ID:rrHWj/Qq
officeの個人攻撃はステレオ化してよくないな。
ようは
個人情報をさらさず、管理者にそっとメールを送るぐらいで
事態を抑えておけば、まず円満解決、問題ににならないし
管理者は対策をとった後に「見られる状態にあったが、今は修正した」
と謝れば済むこと。
犯罪行為であっても犯罪にならないことがある。
今回は相手がACCSだったこともあって舞い上がっちゃったんだろうね。
しかしこの手のことで逮捕されるなら
A.D.200Xのヤツらはみな逮捕だな。
どう見ても裏切りにみせしめトカゲのしっぽ切り。
管理者の逆ギレACCSのメンツ丸つぶれでしょ。
ようは
個人情報をさらさず、管理者にそっとメールを送るぐらいで
事態を抑えておけば、まず円満解決、問題ににならないし
管理者は対策をとった後に「見られる状態にあったが、今は修正した」
と謝れば済むこと。
犯罪行為であっても犯罪にならないことがある。
今回は相手がACCSだったこともあって舞い上がっちゃったんだろうね。
しかしこの手のことで逮捕されるなら
A.D.200Xのヤツらはみな逮捕だな。
どう見ても裏切りにみせしめトカゲのしっぽ切り。
管理者の逆ギレACCSのメンツ丸つぶれでしょ。
343 :名無しさん@4周年:04/02/07 00:55 ID:MPTg5jSl
>>282
そういう理由なら納得
そういう理由なら納得
346 :名無しさん@4周年:04/02/07 00:56 ID:mXifu1th
>>339
>勝手には開かない。ヨゼフが開けたんだよ
ヨゼフがドアを「設置」したんじゃなかったの?
>彼自身が考えたのではなくcgiの実態。
>裁判官がそう考える義務がないのは…当たり前すぎて何と言ってよいのやら
「cgiの実体が○○である」というのは、officeや貴方が勝手に主張しているだけなのですが何か?
理由が無いのだが・・・
>勝手には開かない。ヨゼフが開けたんだよ
ヨゼフがドアを「設置」したんじゃなかったの?
>彼自身が考えたのではなくcgiの実態。
>裁判官がそう考える義務がないのは…当たり前すぎて何と言ってよいのやら
「cgiの実体が○○である」というのは、officeや貴方が勝手に主張しているだけなのですが何か?
理由が無いのだが・・・
347 :名無しさん@4周年:04/02/07 00:57 ID:yKKI4U16
>>340
アクセス制御の意図があることとアクセス制御があることは違うと思うのですが
アクセス制御の意図があることとアクセス制御があることは違うと思うのですが
348 :名無しさん@4周年:04/02/07 00:57 ID:Qkta6Rq1
他人のプライバシ-をきちんと管理しておらず、
設定に不備なところがあるからと指摘されても
他人のプライバシ-を平気で危険に晒し続けている
サ-バ-の管理者は、未必の故意の犯罪者だよ。
善良に管理すべき他人のプライバシ-を、容易に
だれでも入手できるような危険な状態に置いた
これって罪じゃないの?
それで、面目丸潰れ(あまりにも幼稚なレベルの
セキュリティまるでなしの破れサ-バ-を平気で
運用していた)でもあり、プライバシ-侵害を
していた責任を、他人を犯罪者だとわめいて
転嫁しているんだよ。
設定に不備なところがあるからと指摘されても
他人のプライバシ-を平気で危険に晒し続けている
サ-バ-の管理者は、未必の故意の犯罪者だよ。
善良に管理すべき他人のプライバシ-を、容易に
だれでも入手できるような危険な状態に置いた
これって罪じゃないの?
それで、面目丸潰れ(あまりにも幼稚なレベルの
セキュリティまるでなしの破れサ-バ-を平気で
運用していた)でもあり、プライバシ-侵害を
していた責任を、他人を犯罪者だとわめいて
転嫁しているんだよ。
349 :名無しさん@4周年:04/02/07 00:57 ID:MPTg5jSl
351 :名無しさん@4周年:04/02/07 00:58 ID:AcZf9d0q
>CGI経由で読めたのなら、読めるパーミッションにしてあったと言うこと。
>と言うか、そのようなパーミッションにしてあって普通なんじゃ?その CGIでアクセスするんでしょ?
ダウトだな
700にしとけばperlからopenは出来ても直接URIで指定する事は出来ない。
これはアクセス制御機構が成立している事を意味している。
>と言うか、そのようなパーミッションにしてあって普通なんじゃ?その CGIでアクセスするんでしょ?
ダウトだな
700にしとけばperlからopenは出来ても直接URIで指定する事は出来ない。
これはアクセス制御機構が成立している事を意味している。
352 :名無しさん@4周年:04/02/07 00:59 ID:x2oYGKDW
>>347
そりゃそうだけど、全て公開するつもりなら、document rootを/にするよね。
それをせず、しかも見せるファイル名をcgiの引数にしていたのは、cgi自体がアクセス制御機構だったと思う。
まぁ機能していなかったけど、存在はしていてバグで機能していなかった、という状態かな。
そりゃそうだけど、全て公開するつもりなら、document rootを/にするよね。
それをせず、しかも見せるファイル名をcgiの引数にしていたのは、cgi自体がアクセス制御機構だったと思う。
まぁ機能していなかったけど、存在はしていてバグで機能していなかった、という状態かな。
354 :名無しさん@4周年:04/02/07 01:01 ID:E/cpqR3K
ホールじゃないドアってなんだよw
本来は見えないところにあるファイルを鯖管が晒すために意図して
つくったとでも
そういうのを脆弱性っていうんだよ
本来は見えないところにあるファイルを鯖管が晒すために意図して
つくったとでも
そういうのを脆弱性っていうんだよ
355 :名無しさん@4周年:04/02/07 01:01 ID:jfyCjqLg
>>348
俺でも入手できるの?
俺でも入手できるの?
356 :名無しさん@4周年:04/02/07 01:01 ID:mXifu1th
357 :名無しさん@4周年:04/02/07 01:02 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
358 :名無しさん@4周年:04/02/07 01:02 ID:x2oYGKDW
テンプレ飽きてきたので誰か検察の気分で加筆修正して
次スレ(もしあれば)の2-10あたりにコピペしておくとちょと便利かも。
逆に誰か弁護士の気分な真っ当な反論ヨロ。
次スレ(もしあれば)の2-10あたりにコピペしておくとちょと便利かも。
逆に誰か弁護士の気分な真っ当な反論ヨロ。
360 :名無しさん@4周年:04/02/07 01:03 ID:yKKI4U16
361 :名無しさん@4周年:04/02/07 01:04 ID:MPTg5jSl
>>350
キミはオヒス擁護という行動が非常に苦しい、難しい行為である
ということを表す象徴的な存在になっている。
スレはだらだらと続いてるけど単なるループであり、
論争になってないから意見が拮抗しているイメージも与えない。
キミはオヒス擁護という行動が非常に苦しい、難しい行為である
ということを表す象徴的な存在になっている。
スレはだらだらと続いてるけど単なるループであり、
論争になってないから意見が拮抗しているイメージも与えない。
362 :名無しさん@4周年:04/02/07 01:04 ID:mXifu1th
>>354
>どちらでもお好きな方をどうぞ。合わせます。
ドアを設置することと、それを開けることは大きな違いなのだが。
ドアが開いた原因は、設置したやつにあるのか?開けたやつにあるのか?
そこら辺の検討をやってクリ、と申しているのだが。
>それと実態と実体と勘違いしてるもよう。
変 換 ミ ス で す が 何 か ?
>どちらでもお好きな方をどうぞ。合わせます。
ドアを設置することと、それを開けることは大きな違いなのだが。
ドアが開いた原因は、設置したやつにあるのか?開けたやつにあるのか?
そこら辺の検討をやってクリ、と申しているのだが。
>それと実態と実体と勘違いしてるもよう。
変 換 ミ ス で す が 何 か ?
363 :名無しさん@4周年:04/02/07 01:05 ID:x2oYGKDW
反論:
1-1) 心身喪失状態だった。
1-2) その他
1-1) 心身喪失状態だった。
1-2) その他
364 :名無しさん@4周年:04/02/07 01:05 ID:mXifu1th
365 :名無しさん@4周年:04/02/07 01:06 ID:Jd/zXY4B
ずいぶん人減ったな…
>>345
と、思うんすよね。
で、曖昧にしているから、法整備もいつまでたっても放置なわけで。
で、さっきからダウソ厨ダウソ厨言ってる人いますが、僕別に割れ厨でないんで。
nyもMXもやったこと無いです。ヘタレなんで。うひ。
ネット上での危機管理能力の低い人や、
個人情報を扱いながら簡単に『大丈夫』だなんて口にする奴らに、
警鐘を鳴らしたいと思ってる人間です。
じゅーきねっとあたりから。
と、思うんすよね。
で、曖昧にしているから、法整備もいつまでたっても放置なわけで。
で、さっきからダウソ厨ダウソ厨言ってる人いますが、僕別に割れ厨でないんで。
nyもMXもやったこと無いです。ヘタレなんで。うひ。
ネット上での危機管理能力の低い人や、
個人情報を扱いながら簡単に『大丈夫』だなんて口にする奴らに、
警鐘を鳴らしたいと思ってる人間です。
じゅーきねっとあたりから。
367 :名無しさん@4周年:04/02/07 01:08 ID:mXifu1th
368 :名無しさん@4周年:04/02/07 01:09 ID:yKKI4U16
>>361
擁護も何も彼のことはほとんど知らない。
ループしてるのはお互いに「新しい意見」を出さないからだ。
クソ素人の私からはそんなもの出てこないよ。
>>362
大きな違いか…。
ではドアを開けたのがヨゼフだとしておく。
擁護も何も彼のことはほとんど知らない。
ループしてるのはお互いに「新しい意見」を出さないからだ。
クソ素人の私からはそんなもの出てこないよ。
>>362
大きな違いか…。
ではドアを開けたのがヨゼフだとしておく。
370 :名無しさん@4周年:04/02/07 01:09 ID:E/cpqR3K
371 :名無しさん@4周年:04/02/07 01:10 ID:x2oYGKDW
372 :名無しさん@4周年:04/02/07 01:10 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。
>>366
本気で考えているならもうちょっと意図の絡んでない事例から見ていきなよ。
本気で考えているならもうちょっと意図の絡んでない事例から見ていきなよ。
374 :名無しさん@4周年:04/02/07 01:12 ID:vurMG0vJ
なんか俺の感覚としてはofficeがやったことって鍵をこじ開けたのではなくノックしたら開いちゃったってだけだと思うけどな
ただ、だからと言ってその部屋の中を撮影してきちゃったのは余計だったわけでしょ
でも、それって犯罪になるのかって聞かれたら微妙
ACCSはモラルという言葉でそれを犯罪にしたがってるけどモラルが無いというのは犯罪じゃないしな
必要以上の個人データを集めたACCSだってそれを裁く法律は無いけどモラル違反だろうし
ただ、だからと言ってその部屋の中を撮影してきちゃったのは余計だったわけでしょ
でも、それって犯罪になるのかって聞かれたら微妙
ACCSはモラルという言葉でそれを犯罪にしたがってるけどモラルが無いというのは犯罪じゃないしな
必要以上の個人データを集めたACCSだってそれを裁く法律は無いけどモラル違反だろうし
375 :名無しさん@4周年:04/02/07 01:12 ID:mXifu1th
>>369
他の人が当該CGIをアクセスしてもドアは開かなかったのですが何か?
なぜ、officeの時だけドアが開いたのですか?
officeが開けたからでは無いのですか?
ヨゼフが開けたのなら、他の人の時も開いたっていいんじゃないですか?
やり直し。
他の人が当該CGIをアクセスしてもドアは開かなかったのですが何か?
なぜ、officeの時だけドアが開いたのですか?
officeが開けたからでは無いのですか?
ヨゼフが開けたのなら、他の人の時も開いたっていいんじゃないですか?
やり直し。
376 :名無しさん@4周年:04/02/07 01:14 ID:AcZf9d0q
773の定義によると、Linuxのディストリビューターは
全員不正アクセス禁止法で逮捕されなければいけないんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事は
なく、Linuxを入れると全ファイルが公開状態になってしまい、アクセス制御機能が
無くなるからだそうだ。んで、ディストリビューターはその状態を作った奴なんだから
有罪なんだそうだ。
全員不正アクセス禁止法で逮捕されなければいけないんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事は
なく、Linuxを入れると全ファイルが公開状態になってしまい、アクセス制御機能が
無くなるからだそうだ。んで、ディストリビューターはその状態を作った奴なんだから
有罪なんだそうだ。
377 :名無しさん@4周年:04/02/07 01:14 ID:rrHWj/Qq
officeを逮捕させようと
2chにさらしたやつが一番悪いやつ。
逮捕まぎわのうp、タイミングもばっちり。
裏がないほうがおかしい!
2chにさらしたやつが一番悪いやつ。
逮捕まぎわのうp、タイミングもばっちり。
裏がないほうがおかしい!
378 :名無しさん@4周年:04/02/07 01:15 ID:yVlhYedd
そもそもセキュリティホールを放置する側に問題があるわけで
問題点を指摘したら逮捕とはやり過ぎ。
問題点を指摘したら逮捕とはやり過ぎ。
379 :名無しさん@4周年:04/02/07 01:15 ID:x2oYGKDW
弁護側意見を予想!
反論:
1-1) 心身喪失状態だった。
その他:
2-1) 反省してるから量刑さげてくれ。
appendix:
a-1) officeも黒だけど、ACCSや鯖屋も別の側面で黒じゃないの?
反論:
1-1) 心身喪失状態だった。
その他:
2-1) 反省してるから量刑さげてくれ。
appendix:
a-1) officeも黒だけど、ACCSや鯖屋も別の側面で黒じゃないの?
381 :名無しさん@4周年:04/02/07 01:15 ID:E/cpqR3K
>>375
擁護派じゃないおまいもかなり厨だぞ
擁護派じゃないおまいもかなり厨だぞ
382 :名無しさん@4周年:04/02/07 01:15 ID:vurMG0vJ
ノックしたらというよりはピンポンダッシュに近いのかなあ
チャイム鳴らしたら中から開いた
で、撮影
現行法で犯罪かどうかやっぱ微妙だなあ
チャイム鳴らしたら中から開いた
で、撮影
現行法で犯罪かどうかやっぱ微妙だなあ
383 :名無しさん@4周年:04/02/07 01:16 ID:mXifu1th
384 :名無しさん@4周年:04/02/07 01:17 ID:mXifu1th
385 :名無しさん@4周年:04/02/07 01:18 ID:xAT+1lgi
>>373
この場で言うのはこのスレで誰もそっち側に目を向けて無さそうに見えたから。
ファミマとか、Softetherとかそういう系統のニュースでも、
関係ありそうなことを見かけたらそっち方面には言及する。
多数意見の一つとして、だから目立ちゃしないが。
そーゆー意味じゃ773はバカどもにはちょうどいい目くらましだ。
>>384
好きじゃないな。犯罪じゃないけど。
この場で言うのはこのスレで誰もそっち側に目を向けて無さそうに見えたから。
ファミマとか、Softetherとかそういう系統のニュースでも、
関係ありそうなことを見かけたらそっち方面には言及する。
多数意見の一つとして、だから目立ちゃしないが。
そーゆー意味じゃ773はバカどもにはちょうどいい目くらましだ。
>>384
好きじゃないな。犯罪じゃないけど。
387 :名無しさん@4周年:04/02/07 01:18 ID:yKKI4U16
388 :名無しさん@4周年:04/02/07 01:18 ID:yVlhYedd
389 :名無しさん@4周年:04/02/07 01:18 ID:MPTg5jSl
>>383
個人情報を入手したかどうかは問題じゃない。忘れろ。
個人情報を入手したかどうかは問題じゃない。忘れろ。
391 :名無しさん@4周年:04/02/07 01:19 ID:Jd/zXY4B
>>380
他の人はドアは使っていたけど、該当ファイルにはたどり着いてないってことになるんじゃないかな?
この問題、ドアに無理やり例えるならアパートやマンションのような集合住宅の話に近いのではないかい?
他の人はドアは使っていたけど、該当ファイルにはたどり着いてないってことになるんじゃないかな?
この問題、ドアに無理やり例えるならアパートやマンションのような集合住宅の話に近いのではないかい?
392 :名無しさん@4周年:04/02/07 01:19 ID:QdyUoNBi
弁護士さんはもっと仕事熱心にならないと。
相手は宴の最中? まさか油断してたりして(笑
相手は宴の最中? まさか油断してたりして(笑
393 :勝利宣言1号:04/02/07 01:20 ID:mXifu1th
つーことで、寝る。
あす、わしがここを見たとき、わしを感動させて、officeを擁護しようかなーって気にさせたやつは、ガムをくれてやるからな。
文句でも良いんだぞ。わしを感動させられればな。
それまでに、あきらめずにガンバレよ。
スレが無くなってたら、残念でした。
あす、わしがここを見たとき、わしを感動させて、officeを擁護しようかなーって気にさせたやつは、ガムをくれてやるからな。
文句でも良いんだぞ。わしを感動させられればな。
それまでに、あきらめずにガンバレよ。
スレが無くなってたら、残念でした。
395 :名無しさん@4周年:04/02/07 01:21 ID:3wv5kSYd
まあ、運用する人はWebサーバは公開サーバと考えて良いと思うよ
で、最悪の事態になったときはWebサーハは捨て、全て公開されて壊される、
まあ、犯罪行為によってそうされてしまう可能性のあるサーバってことだが
で、最悪の事態になったときはWebサーハは捨て、全て公開されて壊される、
まあ、犯罪行為によってそうされてしまう可能性のあるサーバってことだが
396 :名無しさん@4周年:04/02/07 01:21 ID:x2oYGKDW
>>388
それ、外でいきなりやっちゃまずいよ。
工事現場でヘルメット被ってるおっさんを金属バットで殴って被害出して、
「ホラ。このヘルメット駄目じゃん!」と言うのではなく、
実験環境として十分な環境でやらなきゃ。
工事現場で安全なヘルメットを使うか、野球の帽子程度の安全じゃないのを使うかは
工事現場の問題だし。
それ、外でいきなりやっちゃまずいよ。
工事現場でヘルメット被ってるおっさんを金属バットで殴って被害出して、
「ホラ。このヘルメット駄目じゃん!」と言うのではなく、
実験環境として十分な環境でやらなきゃ。
工事現場で安全なヘルメットを使うか、野球の帽子程度の安全じゃないのを使うかは
工事現場の問題だし。
397 :名無しさん@4周年:04/02/07 01:21 ID:yVlhYedd
となりの留守宅の戸締りを確認していた善意の隣人が
住居不法侵入で逮捕されるのと変わらん。
住居不法侵入で逮捕されるのと変わらん。
398 :名無しさん@4周年:04/02/07 01:22 ID:vurMG0vJ
>個人情報を入手したかどうかは問題じゃない。忘れろ。
うん、俺もそう思う。
不正アクセスかどうかは物を持って行ったかどうかが論点にはならんしね
うん、俺もそう思う。
不正アクセスかどうかは物を持って行ったかどうかが論点にはならんしね
399 :名無しさん@4周年:04/02/07 01:24 ID:MPTg5jSl
>>386
とりあえず、いろんな事例を追い、実際に管理のまねごともしてみることだな。
警鐘鳴らそうにも中身を知らなきゃ「景気が悪いのは政治が悪い」と言ってるだけの
アホと同じ。
しかし、「773が」目くらましときたか。
ダウソ厨を連呼しているのは俺なので俺がACCS側の人間だと言われているかと思ったのだが。
とりあえず、いろんな事例を追い、実際に管理のまねごともしてみることだな。
警鐘鳴らそうにも中身を知らなきゃ「景気が悪いのは政治が悪い」と言ってるだけの
アホと同じ。
しかし、「773が」目くらましときたか。
ダウソ厨を連呼しているのは俺なので俺がACCS側の人間だと言われているかと思ったのだが。
400 :名無しさん@4周年:04/02/07 01:25 ID:mXifu1th
>>398
>>個人情報を入手したかどうかは問題じゃない。忘れろ。
>うん、俺もそう思う。
>不正アクセスかどうかは物を持って行ったかどうかが論点にはならんしね
馬鹿者。
本件の場合を言っておるのであろうが!
本件の場合個人情報を入手したっつーのは、本件の場合、ドアを開いたってことだろ。
だからあれほど無意味な一般化などするなと何度(以下略
つーわけで、厨だから勝利宣言もしたし寝る。
>>個人情報を入手したかどうかは問題じゃない。忘れろ。
>うん、俺もそう思う。
>不正アクセスかどうかは物を持って行ったかどうかが論点にはならんしね
馬鹿者。
本件の場合を言っておるのであろうが!
本件の場合個人情報を入手したっつーのは、本件の場合、ドアを開いたってことだろ。
だからあれほど無意味な一般化などするなと何度(以下略
つーわけで、厨だから勝利宣言もしたし寝る。
401 :名無しさん@4周年:04/02/07 01:25 ID:vurMG0vJ
なんというかここの論争で家宅不法侵入を例に出して「中に入った」って言葉がよく使われてるけどさ
WEB上で「中に入った」って理論にするのはすげー無理があるような気がするのは俺だけかあ?
WEB上で「中に入った」って理論にするのはすげー無理があるような気がするのは俺だけかあ?
402 :名無しさん@4周年:04/02/07 01:25 ID:x2oYGKDW
>>398
でも犯意の認定には重要じゃないの?
漏れ的には、持ち出し、公開、ACCSへの通告っつーのがそもそも
「アクセス制御を回避できるセキュリティホールがあって非公開情報ゲットできるよ」
とオヒス自身が認識していたことを示していて、犯意の認定につながると予想。
でも犯意の認定には重要じゃないの?
漏れ的には、持ち出し、公開、ACCSへの通告っつーのがそもそも
「アクセス制御を回避できるセキュリティホールがあって非公開情報ゲットできるよ」
とオヒス自身が認識していたことを示していて、犯意の認定につながると予想。
404 :名無しさん@4周年:04/02/07 01:26 ID:xAT+1lgi
405 :名無しさん@4周年:04/02/07 01:26 ID:E/cpqR3K
>>400
相変わらずだな…。
>本件の場合個人情報を入手したっつーのは、本件の場合、ドアを開いたってことだろ。
なんなんだ、これは。
ドアを開くことがホールだと言ってたのは君じゃなかったか?
個人情報の入手がいつのまにセキュリティホールと同義語になったんだよ。
相変わらずだな…。
>本件の場合個人情報を入手したっつーのは、本件の場合、ドアを開いたってことだろ。
なんなんだ、これは。
ドアを開くことがホールだと言ってたのは君じゃなかったか?
個人情報の入手がいつのまにセキュリティホールと同義語になったんだよ。
407 :名無しさん@4周年:04/02/07 01:29 ID:yVlhYedd
個人情報の入手とセキュリティーホールでの侵入に関連性は薄い
408 :名無しさん@4周年:04/02/07 01:29 ID:vurMG0vJ
>>402
犯意の認定という部分の話ではそうかもしれないけど俺は違う論点で話してたのよ
officeが白だとは言ってないのね
例えばここの人たちが好きな言い回しの家宅不法侵入になぞえればデータなんてドアが開いたら中に入らなくても見えちゃうわけじゃん?
犯意の認定という部分の話ではそうかもしれないけど俺は違う論点で話してたのよ
officeが白だとは言ってないのね
例えばここの人たちが好きな言い回しの家宅不法侵入になぞえればデータなんてドアが開いたら中に入らなくても見えちゃうわけじゃん?
409 :名無しさん@4周年:04/02/07 01:30 ID:Jd/zXY4B
つーか、個人情報って言葉がよく出てくるんだけどさ、
法律上不正アクセスかどうかの話をする上で、読み出されたデータが
いわゆる個人情報かどうかは関係ないよね?ちょっと気になったので誰か答えてくんろ。
法律上不正アクセスかどうかの話をする上で、読み出されたデータが
いわゆる個人情報かどうかは関係ないよね?ちょっと気になったので誰か答えてくんろ。
410 :名無しさん@4周年:04/02/07 01:31 ID:x2oYGKDW
>>402
ちょいと補足すると。
裁かれるべきは「不正アクセス禁止法違反」なので、持ち出しや公開は裁かれないかもしれない。
(法にすげー詳しいわけじゃないので間違ってるかもしれないけど・・・)
しかしながら、不正アクセス禁止法違反の犯意の認定には、持ち出しや公開の事実が
オヒスの犯意の裏付けになっている、と漏れは思うということで。
ちょいと補足すると。
裁かれるべきは「不正アクセス禁止法違反」なので、持ち出しや公開は裁かれないかもしれない。
(法にすげー詳しいわけじゃないので間違ってるかもしれないけど・・・)
しかしながら、不正アクセス禁止法違反の犯意の認定には、持ち出しや公開の事実が
オヒスの犯意の裏付けになっている、と漏れは思うということで。
411 :名無しさん@4周年:04/02/07 01:31 ID:PntqH25i
412 :名無しさん@4周年:04/02/07 01:32 ID:ztgeiZlp
>>409
関係ない。パスワードとIDで保護されているかどうかだけが問題。
関係ない。パスワードとIDで保護されているかどうかだけが問題。
413 :名無しさん@4周年:04/02/07 01:32 ID:vurMG0vJ
414 :名無しさん@4周年:04/02/07 01:32 ID:yKKI4U16
415 :名無しさん@4周年:04/02/07 01:33 ID:yVlhYedd
しかし裁判になって公判維持するの大変そうだな
前提も内包する問題も大きく異なるのに、
webの外の一般例に置き換えての議論しようとするのは無意味。
ドアとか隣の家とか安全帽とか。
webの外の一般例に置き換えての議論しようとするのは無意味。
ドアとか隣の家とか安全帽とか。
418 :名無しさん@4周年:04/02/07 01:35 ID:E/cpqR3K
情報をかっぱらう奴も奴だけど
データを簡単に盗まれる。すACCSは死ねですな。
それで、著作権を守る集団と言うらしい。
------まぁ、いいや...
>>411
おそらくは、ここまで荒れると言うことはまだ前例がなさそうだな。
ACCS一同は、見せしめ裁判にする可能性があると思う。
データを簡単に盗まれる。すACCSは死ねですな。
それで、著作権を守る集団と言うらしい。
------まぁ、いいや...
>>411
おそらくは、ここまで荒れると言うことはまだ前例がなさそうだな。
ACCS一同は、見せしめ裁判にする可能性があると思う。
420 :名無しさん@4周年:04/02/07 01:35 ID:PntqH25i
ひろゆこの日記にこの事件のこと書いてあったね。
既出?
既出?
422 :名無しさん@4周年:04/02/07 01:36 ID:vurMG0vJ
>説明できないから逮捕されたというのなら、逮捕された人間みな有罪になるが?
少なくともヨセフアンドレオンの中川とマチルダはそう思ってたみたいだけどね〜(w
少なくともヨセフアンドレオンの中川とマチルダはそう思ってたみたいだけどね〜(w
423 :名無しさん@4周年:04/02/07 01:36 ID:xAT+1lgi
424 :名無しさん@4周年:04/02/07 01:37 ID:yVlhYedd
例え話にでもしなけりゃ、司法関係者のほとんどが理解できんだろ
425 :名無しさん@4周年:04/02/07 01:37 ID:x2oYGKDW
426 :名無しさん@4周年:04/02/07 01:37 ID:AcZf9d0q
773の定義によると、Linuxのディストリビューターは
全員不正アクセス禁止法で逮捕されなければいけないんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事は
なく、Linuxを入れると全ファイルが公開状態になってしまい、アクセス制御機能が
無くなるからだそうだ。んで、ディストリビューターはその状態を作った奴なんだから
有罪なんだそうだ。
未だに反論できない模様www
全員不正アクセス禁止法で逮捕されなければいけないんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事は
なく、Linuxを入れると全ファイルが公開状態になってしまい、アクセス制御機能が
無くなるからだそうだ。んで、ディストリビューターはその状態を作った奴なんだから
有罪なんだそうだ。
未だに反論できない模様www
427 :名無しさん@4周年:04/02/07 01:38 ID:SCEN7oen
そもそもHP用の鯖に個人データを入れたままにしとくなんて幼稚すぎ
428 :名無しさん@4周年:04/02/07 01:38 ID:PntqH25i
>>426
反論せにゃならんかったのか…ただの荒らしかとw
反論せにゃならんかったのか…ただの荒らしかとw
430 :名無しさん@4周年:04/02/07 01:39 ID:Jd/zXY4B
431 :名無しさん@4周年:04/02/07 01:39 ID:x2oYGKDW
ところでさ、オヒスはいつ釈放されるの?
432 :名無しさん@4周年:04/02/07 01:39 ID:AcZf9d0q
>429
おまえの定義によればレッドハットとヨセフアンドレオンは同じように有罪なんだろ?
おまえの定義によればレッドハットとヨセフアンドレオンは同じように有罪なんだろ?
433 :名無しさん@4周年:04/02/07 01:40 ID:fzMUzYkY
犯罪くさい気もするが、「その制限されている特定利用をし得る状態にさせる行為」
ってのを満たしてない思うんだよな。前スレでもちょっと出てたが。
判例的にはどうなのかわかんないけど、不正アクセス禁止法では起訴できないってオチになる予感。
ってのを満たしてない思うんだよな。前スレでもちょっと出てたが。
判例的にはどうなのかわかんないけど、不正アクセス禁止法では起訴できないってオチになる予感。
>>428
違う結果を出した警視庁に聞け。私の知ったこっちゃない。
>>426>>432
それは無理。
本件はcgiの機能を本来想定されたとおり使用したに過ぎない。
バッファオーバランとは同列にしてはいけない。
違う結果を出した警視庁に聞け。私の知ったこっちゃない。
>>426>>432
それは無理。
本件はcgiの機能を本来想定されたとおり使用したに過ぎない。
バッファオーバランとは同列にしてはいけない。
435 :名無しさん@4周年:04/02/07 01:44 ID:PntqH25i
余罪でボロボロ行くからACCSの件自体はどうでも良くなる予感。
かなーり手広くやってたのは周知の事実なので。
かなーり手広くやってたのは周知の事実なので。
436 :名無しさん@4周年:04/02/07 01:45 ID:x2oYGKDW
何気に773はチョトオモシロイ(´∀` )
437 :名無しさん@4周年:04/02/07 01:46 ID:vurMG0vJ
>>420
>「個人情報」を「非公開であると考えるのが妥当な情報」
>という言葉に置き換えろ!
それはちょっとどーかと思うぞー
ルートディレクトリのindex.htmlに個人情報データが載ってて見たらアウトという理論とそんなに変わらんもん
>「個人情報」を「非公開であると考えるのが妥当な情報」
>という言葉に置き換えろ!
それはちょっとどーかと思うぞー
ルートディレクトリのindex.htmlに個人情報データが載ってて見たらアウトという理論とそんなに変わらんもん
438 :名無しさん@4周年:04/02/07 01:46 ID:E/cpqR3K
>>433
惜しい。さっきその話は終った
惜しい。さっきその話は終った
440 :名無しさん@4周年:04/02/07 01:47 ID:eRnUR6BV
営利団体として情報の管理が甘かったの事実なんだから、道義的な問題は別にして
社会的にACCSはもうダメポ団体だろ。HPをもつ資格がないね
社会的にACCSはもうダメポ団体だろ。HPをもつ資格がないね
441 :名無しさん@4周年:04/02/07 01:48 ID:PntqH25i
>>434
ちょっと待ってよ。
ここまでは「同じ結果」だよ。
セキュリティホール突いた人もオヒスも。
キミはセキュリティホール突いた人もオヒスもドアを通過しただけであり
違いはないって言ってるんだから「同じ結果」で問題ないじゃないかw
ちょっと待ってよ。
ここまでは「同じ結果」だよ。
セキュリティホール突いた人もオヒスも。
キミはセキュリティホール突いた人もオヒスもドアを通過しただけであり
違いはないって言ってるんだから「同じ結果」で問題ないじゃないかw
442 :名無しさん@4周年:04/02/07 01:48 ID:KNkw9Apg
うちのサーバでは、非公開ディレクトリの下に会員情報を置いていますが、
公開していないものであり、アクセスすれば不正アクセスとなります。
http://test.server/secret/memberlist.dat
なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。
ところが、今回のOffice→ACCSの場合も構図は全く一緒。
http://accs.server/disp.cgi?secret/memberlist.dat
これは、もともと公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。
公開していないものであり、アクセスすれば不正アクセスとなります。
http://test.server/secret/memberlist.dat
なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。
ところが、今回のOffice→ACCSの場合も構図は全く一緒。
http://accs.server/disp.cgi?secret/memberlist.dat
これは、もともと公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。
443 :名無しさん@4周年:04/02/07 01:48 ID:vurMG0vJ
444 :名無しさん@4周年:04/02/07 01:48 ID:xAT+1lgi
>>434
>本件はcgiの機能を本来想定されたとおり使用したに過ぎない。
>バッファオーバランとは同列にしてはいけない。
どうして?
バッファオーバーランさせるには、入力されてくるデータの長さを
チェックしないでおけばいいわけだが、入力されてくるデータの
内容をチェックしてない今回の場合と全く同じなんですけど。
ひょっとしてバッファオーバランが何なのか知らずに書いてます?(ププッ
>本件はcgiの機能を本来想定されたとおり使用したに過ぎない。
>バッファオーバランとは同列にしてはいけない。
どうして?
バッファオーバーランさせるには、入力されてくるデータの長さを
チェックしないでおけばいいわけだが、入力されてくるデータの
内容をチェックしてない今回の場合と全く同じなんですけど。
ひょっとしてバッファオーバランが何なのか知らずに書いてます?(ププッ
445 :名無しさん@4周年:04/02/07 01:49 ID:x2oYGKDW
446 :名無しさん@4周年:04/02/07 01:49 ID:fzMUzYkY
>>438
あ、どこ?
あ、どこ?
447 :名無しさん@4周年:04/02/07 01:49 ID:AcZf9d0q
>434
何いってんの?
バッファオーバランはOSの本来想定された動作だろ?
CPUがメモリから命令を読んで、全部プログラムされたとおりに
動作しているにすぎない。
バッファオーバランはそれぞれのアプリケーションの仕様なのだから、
仕様通りに使っても違法にはならない。
ということはこの仕様を作ったディストリビューター、FSFなどは
全員逮捕しなければいけないな。
何いってんの?
バッファオーバランはOSの本来想定された動作だろ?
CPUがメモリから命令を読んで、全部プログラムされたとおりに
動作しているにすぎない。
バッファオーバランはそれぞれのアプリケーションの仕様なのだから、
仕様通りに使っても違法にはならない。
ということはこの仕様を作ったディストリビューター、FSFなどは
全員逮捕しなければいけないな。
448 :名無しさん@4周年:04/02/07 01:50 ID:PntqH25i
449 :名無しさん@4周年:04/02/07 01:51 ID:vurMG0vJ
450 :名無しさん@4周年:04/02/07 01:51 ID:Jd/zXY4B
>>437
いやいや、言葉の意味は文章から読み取って判断しると言いたいんでしょう。
俺としては、「個人情報」という紛らわしい言葉をあえて使ってるので、
何か意図があるのかと思ってしまったのだけれど、そうではなかった模様でした。
いやいや、言葉の意味は文章から読み取って判断しると言いたいんでしょう。
俺としては、「個人情報」という紛らわしい言葉をあえて使ってるので、
何か意図があるのかと思ってしまったのだけれど、そうではなかった模様でした。
451 :名無しさん@4周年:04/02/07 01:52 ID:Jd/zXY4B
>>448
あー説明スマヌ。
あー説明スマヌ。
452 :名無しさん@4周年:04/02/07 01:52 ID:xAT+1lgi
773こと河合容疑者の味方ID:A9QpxCqeは墓穴掘りまくり。
一体何がしたいんだこの人?
一体何がしたいんだこの人?
453 :名無しさん@4周年:04/02/07 01:52 ID:x2oYGKDW
454 :名無しさん@4周年:04/02/07 01:53 ID:vurMG0vJ
>>448
>だから個人情報という言葉は忘れて後者に置き換えるとしっくり来ると言っている。
いや〜、しっくりこないな〜(w
だって不正アクセスであればそこにあるデータがどんなクソデータでも不正アクセスだもん
ファイルの重要性は全然関係ないじゃん?
>だから個人情報という言葉は忘れて後者に置き換えるとしっくり来ると言っている。
いや〜、しっくりこないな〜(w
だって不正アクセスであればそこにあるデータがどんなクソデータでも不正アクセスだもん
ファイルの重要性は全然関係ないじゃん?
455 :名無しさん@4周年:04/02/07 01:53 ID:PntqH25i
だから個人情報保護法が施行されるんだろうが。
管理側に関しては改善される見込みがあるんだよ。
管理側に関しては改善される見込みがあるんだよ。
456 :名無しさん@4周年:04/02/07 01:53 ID:E/cpqR3K
>>446
今日の夕方からさっきくらいまでw
今日の夕方からさっきくらいまでw
>>441
とりあえず落ち着こうよ。
私はホールと呼ぶのが不適切だからドアだと言い換えたんだよ。
そしてホールは存在しない。ドアだけが存在するとも言った。
>>443
ああそうなんだ…。じゃ流出の責任はどうなるんかな?
>>444
件のcgiに与える適切な値はどんなものだと考えているのか?
それと不適切な値との違いは何だ?
とりあえず落ち着こうよ。
私はホールと呼ぶのが不適切だからドアだと言い換えたんだよ。
そしてホールは存在しない。ドアだけが存在するとも言った。
>>443
ああそうなんだ…。じゃ流出の責任はどうなるんかな?
>>444
件のcgiに与える適切な値はどんなものだと考えているのか?
それと不適切な値との違いは何だ?
待ってれば裁判所が答だしてくれる議論。
459 :名無しさん@4周年:04/02/07 01:55 ID:Jd/zXY4B
刑事事件の場合、行為だけじゃなく、何故、どういう経過でその行為をしよう
としたのかの動機も重要だよ。
じゃないと、正当防衛・正当行為・緊急避難・故意・過失や情状酌量の判断が
出来ないし。
としたのかの動機も重要だよ。
じゃないと、正当防衛・正当行為・緊急避難・故意・過失や情状酌量の判断が
出来ないし。
461 :名無しさん@4周年:04/02/07 01:56 ID:vurMG0vJ
462 :名無しさん@4周年:04/02/07 01:56 ID:PntqH25i
463 :名無しさん@4周年:04/02/07 01:57 ID:ysgL3F3u
これってサーバー不正アクセスなの?
ただのPG欠陥じゃ・・・だってCGIがバグってたんでしょ?
もしかしてテキストボックスにSQL文打ち込んだら動いちゃうとかいうのかないよね・・・。
ま、どっちにしろ担当した会社はクソだな。
ただのPG欠陥じゃ・・・だってCGIがバグってたんでしょ?
もしかしてテキストボックスにSQL文打ち込んだら動いちゃうとかいうのかないよね・・・。
ま、どっちにしろ担当した会社はクソだな。
464 :名無しさん@4周年:04/02/07 01:57 ID:AcZf9d0q
773の最終学説
(1)CGIパラメーターをいじり秘匿されたファイル名を探って使う→仕様です→使っても合法
(2)バッファーオーバーラン→仕様です→使っても合法
(3)(1)が可能になるようにしたのは設置者・作成者でこいつらが有罪→ファースト・ヨセフ・ACCSがタイーホ
(4)(2)が可能になるようにしたのはOS・アプリケーションの設置者・作成者でこいつらが有罪→ディストリビューター・FSFがタイーホ
(1)CGIパラメーターをいじり秘匿されたファイル名を探って使う→仕様です→使っても合法
(2)バッファーオーバーラン→仕様です→使っても合法
(3)(1)が可能になるようにしたのは設置者・作成者でこいつらが有罪→ファースト・ヨセフ・ACCSがタイーホ
(4)(2)が可能になるようにしたのはOS・アプリケーションの設置者・作成者でこいつらが有罪→ディストリビューター・FSFがタイーホ
465 :名無しさん@4周年:04/02/07 01:57 ID:E/cpqR3K
流出した責任はACCS、被害者が告訴したら賠償されるだろう
466 :名無しさん@4周年:04/02/07 01:57 ID:Y83Z4PbF
共通の答えは、ACCSはアホ。
これは、ワレザーだろうが、純粋なソフト購入者でも共通意見。
これは、ワレザーだろうが、純粋なソフト購入者でも共通意見。
467 :名無しさん@4周年:04/02/07 01:58 ID:xAT+1lgi
>>457
errorなんとかってファイル名でしょ?
もともとのファイルに記載されてる。
ちなみに、バッファオーバーフローの場合は、「これこれの長さのデータを
入れてね」なんて適切な値の表示はどこにも書いてないからね。
errorなんとかってファイル名でしょ?
もともとのファイルに記載されてる。
ちなみに、バッファオーバーフローの場合は、「これこれの長さのデータを
入れてね」なんて適切な値の表示はどこにも書いてないからね。
468 :名無しさん@4周年:04/02/07 01:59 ID:ztgeiZlp
>>460
犯罪の構成要件を満たしていなければ動機なんか関係ない。
犯罪の構成要件を満たしていなければ動機なんか関係ない。
469 :名無しさん@4周年:04/02/07 01:59 ID:PntqH25i
>>457
落ち着いてるよ。
それよりもキミは自分の言ったことを「思い出そうよ」。
セキュリティーホールのあるマシンの機能(キミによれば)を利用したという行為と
今回のCGIの機能(キミによれば)を利用した行為との違いはないって
キミが何回も言ってるじゃないか。
落ち着いてるよ。
それよりもキミは自分の言ったことを「思い出そうよ」。
セキュリティーホールのあるマシンの機能(キミによれば)を利用したという行為と
今回のCGIの機能(キミによれば)を利用した行為との違いはないって
キミが何回も言ってるじゃないか。
>>464
その(2)とか(4)とかクソみたいな理論どっから出てきたのか…
その(2)とか(4)とかクソみたいな理論どっから出てきたのか…
471 :名無しさん@4周年:04/02/07 01:59 ID:fzMUzYkY
472 :名無しさん@4周年:04/02/07 02:00 ID:xAT+1lgi
ってか河合容疑者より773で遊ぶ方が本スレの趣旨に成りつつある予感wwwww
473 :名無しさん@4周年:04/02/07 02:01 ID:QqVirXjO
例えば、
仮想Webサーバがとある領域をアクセス制限で公開していた
同じ領域をもうひとつの仮想サーバが無制限でアクセス許可していた
結果的にはその領域は公開領域です。
と思う今日この頃
仮想Webサーバがとある領域をアクセス制限で公開していた
同じ領域をもうひとつの仮想サーバが無制限でアクセス許可していた
結果的にはその領域は公開領域です。
と思う今日この頃
474 :名無しさん@4周年:04/02/07 02:02 ID:vurMG0vJ
475 :名無しさん@4周年:04/02/07 02:02 ID:PntqH25i
476 :名無しさん@4周年:04/02/07 02:02 ID:E/cpqR3K
いやいや、利用厨も再登場の悪感
477 :名無しさん@4周年:04/02/07 02:02 ID:bZQ5NhBa
焦って削除しちゃった運営もアフォって事だよな
>>467
csvmail.cgiに引数の値としてcsvmail.cgiという文字列を渡すことが不適切なのか?
その根拠は?
>>469
「何回も言った」のならポインタを。
>>472
ごめ。今もう眠いんでいつ落ちるか分からない状況。。orz
csvmail.cgiに引数の値としてcsvmail.cgiという文字列を渡すことが不適切なのか?
その根拠は?
>>469
「何回も言った」のならポインタを。
>>472
ごめ。今もう眠いんでいつ落ちるか分からない状況。。orz
479 :名無しさん@4周年:04/02/07 02:04 ID:PntqH25i
480 :名無しさん@4周年:04/02/07 02:05 ID:yKKI4U16
773氏の言い分はこうじゃないのか?
今回のCGIがperlスクリプトじゃなくてバイナリのプログラムだったとする
そのCGIがファイルを表示するという機能を実装していた
で、その実装方法がfopenやopenでファイルを開いて読み込んで表示するだったとする
しかもバッファオーバーランによりファイルを開いて読み込んで表示することが可能だった
今回officeがやったのは正しく実装された機能を使ってファイルを表示ので不正アクセスではないと
しかし、そのCGIのバッファオーバーランを使って表示させれば不正アクセスであると
今回のCGIがperlスクリプトじゃなくてバイナリのプログラムだったとする
そのCGIがファイルを表示するという機能を実装していた
で、その実装方法がfopenやopenでファイルを開いて読み込んで表示するだったとする
しかもバッファオーバーランによりファイルを開いて読み込んで表示することが可能だった
今回officeがやったのは正しく実装された機能を使ってファイルを表示ので不正アクセスではないと
しかし、そのCGIのバッファオーバーランを使って表示させれば不正アクセスであると
481 :名無しさん@4周年:04/02/07 02:06 ID:vurMG0vJ
483 :名無しさん@4周年:04/02/07 02:08 ID:xAT+1lgi
>>470
(2)はあんたのクソみたいな発言>>434から必然的に導き出される結論。
>>478
制限されている特定利用をしうるようにさせてるじゃん。
バッファオーバーフローのある部分にcsvmail.cgiを自分のところメール
させるシェルコードをぶち込むのと何ら変わらん。
(2)はあんたのクソみたいな発言>>434から必然的に導き出される結論。
>>478
制限されている特定利用をしうるようにさせてるじゃん。
バッファオーバーフローのある部分にcsvmail.cgiを自分のところメール
させるシェルコードをぶち込むのと何ら変わらん。
484 :名無しさん@4周年:04/02/07 02:09 ID:XFqglJPm
485 :名無しさん@4周年:04/02/07 02:09 ID:Jd/zXY4B
486 :名無しさん@4周年:04/02/07 02:10 ID:SBy26TWD
★☆★裏2ちゃんねるへの入り方(説明をよく読んでから実行しましょう)★☆★
1.書き込みの名前の欄に http://fusianasan.2ch.net/ と入力します。
2.E-mail欄に、20歳以下なら low 21〜30歳は middle 31歳以上は hight と入力します。
(年齢別調査らしいからご協力お願いします。)
3.本文にIDとパスワードの guest guest を入れて、書込みボタンを押します。
4.メッセージが「確認終了いたしました。ありがとうございます。」に変わればばOK
5.サーバーが重いと2chに戻ってくるけど、まあ30分以内であれば何回かやれば大丈夫。
6.家庭の電話回線よりも、企業や学校の専用回線からの方がサーバートラフィックの
都合上つながる確立が高いです。
(注意!)全て半角で入力してください!!
http://fusianasan.2ch.net/←は、管理者専用の為「直リン」で飛んでも
「サーバーが見つかりません」になります。入り口は「表2ch」のCGIだけです。
つまり、この掲示板から上記の操作を実行してください。
7.裏2ちゃんねるの内容については違法性、反社会的な内容を多く含んでおりますので
ご自身で確認してください。サイトの内容についての質問はご遠慮願います。
1.書き込みの名前の欄に http://fusianasan.2ch.net/ と入力します。
2.E-mail欄に、20歳以下なら low 21〜30歳は middle 31歳以上は hight と入力します。
(年齢別調査らしいからご協力お願いします。)
3.本文にIDとパスワードの guest guest を入れて、書込みボタンを押します。
4.メッセージが「確認終了いたしました。ありがとうございます。」に変わればばOK
5.サーバーが重いと2chに戻ってくるけど、まあ30分以内であれば何回かやれば大丈夫。
6.家庭の電話回線よりも、企業や学校の専用回線からの方がサーバートラフィックの
都合上つながる確立が高いです。
(注意!)全て半角で入力してください!!
http://fusianasan.2ch.net/←は、管理者専用の為「直リン」で飛んでも
「サーバーが見つかりません」になります。入り口は「表2ch」のCGIだけです。
つまり、この掲示板から上記の操作を実行してください。
7.裏2ちゃんねるの内容については違法性、反社会的な内容を多く含んでおりますので
ご自身で確認してください。サイトの内容についての質問はご遠慮願います。
487 :名無しさん@4周年:04/02/07 02:10 ID:AcZf9d0q
773の最終学説
(1)CGIパラメーターをいじり秘匿されたファイル名を探って使う→仕様です→使っても合法
(2)バッファーオーバーラン→仕様です→使っても合法
(3)(1)が可能になるようにしたのは設置者・作成者でこいつらが有罪→ファースト・ヨセフ・ACCSがタイーホ
(4)(2)が可能になるようにしたのはOS・アプリケーションの設置者・作成者でこいつらが有罪→ディストリビューター・FSFがタイーホ
早く反論してみなってw
(1)CGIパラメーターをいじり秘匿されたファイル名を探って使う→仕様です→使っても合法
(2)バッファーオーバーラン→仕様です→使っても合法
(3)(1)が可能になるようにしたのは設置者・作成者でこいつらが有罪→ファースト・ヨセフ・ACCSがタイーホ
(4)(2)が可能になるようにしたのはOS・アプリケーションの設置者・作成者でこいつらが有罪→ディストリビューター・FSFがタイーホ
早く反論してみなってw
488 :名無しさん@4周年:04/02/07 02:11 ID:PntqH25i
>>478
健忘症で逃げるのかよ。
逃げ道用意しすぎなんだよねキミは。
>>480
実装という言葉に「意図」が反映されるとしたら
本件のCGIには任意のファイルを表示する実装はなかったと考えるね。
意図が反映されないならセキュリティーホールも実装になってしまうが
この違和感をどう考えるんだろう。
>>481
まともな管理会社など片手の指ほどもないのが現実。
もしかして一つも存在しないかも。
481氏はどこがいいと思う?
>>482
セキュリティホールのあるマシンも実質的にサーバ機能を持っているね。
利用していいの?
健忘症で逃げるのかよ。
逃げ道用意しすぎなんだよねキミは。
>>480
実装という言葉に「意図」が反映されるとしたら
本件のCGIには任意のファイルを表示する実装はなかったと考えるね。
意図が反映されないならセキュリティーホールも実装になってしまうが
この違和感をどう考えるんだろう。
>>481
まともな管理会社など片手の指ほどもないのが現実。
もしかして一つも存在しないかも。
481氏はどこがいいと思う?
>>482
セキュリティホールのあるマシンも実質的にサーバ機能を持っているね。
利用していいの?
>>480
私の言い分っていうか…前スレr5LDRHzzの受け売りなのね。
(しかも間違って継承している可能性は非常に大きいw)
>>483
まだ分からないのか!
特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
それはoffice氏がACCS鯖に来る以前からその状態なんだよ。
私の言い分っていうか…前スレr5LDRHzzの受け売りなのね。
(しかも間違って継承している可能性は非常に大きいw)
>>483
まだ分からないのか!
特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
それはoffice氏がACCS鯖に来る以前からその状態なんだよ。
490 :484:04/02/07 02:13 ID:XFqglJPm
>>484の「それ」は「意図的せずにもうひとつの仮想サーバが
無制限でアクセス許可しているのを放置してしまっていた場合」
無制限でアクセス許可しているのを放置してしまっていた場合」
491 :名無しさん@4周年:04/02/07 02:14 ID:AcZf9d0q
>489
まだ分からないのか!
特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
それはディストリビューターがリリースした直後からその状態なんだよ!
まだ分からないのか!
特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
それはディストリビューターがリリースした直後からその状態なんだよ!
492 :名無しさん@4周年:04/02/07 02:14 ID:7BARNuUd
反対派の意見の中には拡大解釈のトンデモ話がいくつかまじってるな。
まあ検察はそんな馬鹿じゃないからもうちょいまともな理由を考えるだろうが。
おひすのやらかしたモラトリアム無視も問題だし(法的にではなく)
不正アクセス禁止法が適用されるとしたらこれまでに無い解釈が入るのも確実。
法の運用・解釈両面で気になるな。
まあ検察はそんな馬鹿じゃないからもうちょいまともな理由を考えるだろうが。
おひすのやらかしたモラトリアム無視も問題だし(法的にではなく)
不正アクセス禁止法が適用されるとしたらこれまでに無い解釈が入るのも確実。
法の運用・解釈両面で気になるな。
493 :名無しさん@4周年:04/02/07 02:14 ID:Jd/zXY4B
495 :名無しさん@4周年:04/02/07 02:15 ID:vurMG0vJ
>>488
呼び出された(w
>481氏はどこがいいと思う?
最低限神楽坂で派手に打ち上げをやってなくて恥ずかしいコラムをトップページに書いてない会社かなあ(w
まじめに回答すると会社組織になってるところは中に居る人間のレベルの差がありすぎて信用できません
個人のパワーユーザーに丸投げで他の仕事をさせないのがベストだろうな〜
呼び出された(w
>481氏はどこがいいと思う?
最低限神楽坂で派手に打ち上げをやってなくて恥ずかしいコラムをトップページに書いてない会社かなあ(w
まじめに回答すると会社組織になってるところは中に居る人間のレベルの差がありすぎて信用できません
個人のパワーユーザーに丸投げで他の仕事をさせないのがベストだろうな〜
496 :名無しさん@4周年:04/02/07 02:16 ID:PntqH25i
497 :名無しさん@4周年:04/02/07 02:16 ID:AcZf9d0q
>493
「Linuxにはバッファーオーバーフローが仕様として組み込まれているので、
これを使ったものはアクセス制御機能が成立していません。」
と言い張る事のおかしさから自明。
「Linuxにはバッファーオーバーフローが仕様として組み込まれているので、
これを使ったものはアクセス制御機能が成立していません。」
と言い張る事のおかしさから自明。
498 :473:04/02/07 02:17 ID:QqVirXjO
>>482
同意
同意
499 :名無しさん@4周年:04/02/07 02:18 ID:yKKI4U16
500 :名無しさん@4周年:04/02/07 02:18 ID:xAT+1lgi
>>489
>まだ分からないのか!
> 特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
> それはoffice氏がACCS鯖に来る以前からその状態なんだよ。
腹痛いっす(゚∀゚)アヒャ!!!!(゚∀゚)アヒャ!!!!!(゚∀゚)アヒャ!!!!!
まさかどんなバグもクラッカーがやってきて完全無欠のシステムにパカッ
と開けるもんだと思ってる奴がいるとわーーーー
>まだ分からないのか!
> 特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
> それはoffice氏がACCS鯖に来る以前からその状態なんだよ。
腹痛いっす(゚∀゚)アヒャ!!!!(゚∀゚)アヒャ!!!!!(゚∀゚)アヒャ!!!!!
まさかどんなバグもクラッカーがやってきて完全無欠のシステムにパカッ
と開けるもんだと思ってる奴がいるとわーーーー
501 :名無しさん@4周年:04/02/07 02:19 ID:AcZf9d0q
>494
>cgiに想定されうる引数を与えることと
>バッファオーバランとは同列にしてはいけない。
>何度言えば分かるのか…
同列だろ?
バッファオーバランはコーディングの時点で組み込まれたもので、
その仕様の通りにOSが動作しているだけだ。
なんか問題あるのか?
>cgiに想定されうる引数を与えることと
>バッファオーバランとは同列にしてはいけない。
>何度言えば分かるのか…
同列だろ?
バッファオーバランはコーディングの時点で組み込まれたもので、
その仕様の通りにOSが動作しているだけだ。
なんか問題あるのか?
502 :名無しさん@4周年:04/02/07 02:19 ID:vurMG0vJ
説明に無理のある部分があるとしても俺もアクセス制御機能とは呼べないに一票だなあ
単なる機能でしょ(w
単なる機能でしょ(w
503 :名無しさん@4周年:04/02/07 02:19 ID:Jd/zXY4B
>>497
いや、だれもLinuxの話はしていないんだけど…773のことかな?
俺は両者のどちらの側にもまだついてない立場だけど、
例え不正アクセス禁止法に抵触するとしても、773の主張とはちと違うとは思う。
もちろん君の展開する773の主張もちとおかしいと思うが。
いや、だれもLinuxの話はしていないんだけど…773のことかな?
俺は両者のどちらの側にもまだついてない立場だけど、
例え不正アクセス禁止法に抵触するとしても、773の主張とはちと違うとは思う。
もちろん君の展開する773の主張もちとおかしいと思うが。
504 :473:04/02/07 02:19 ID:QqVirXjO
505 :名無しさん@4周年:04/02/07 02:20 ID:Jd/zXY4B
>503
訂正
「不正アクセス禁止法に抵触する」→「しない」
訂正
「不正アクセス禁止法に抵触する」→「しない」
506 :名無しさん@4周年:04/02/07 02:22 ID:PntqH25i
>>493
俺の知る限り、公開サーバでHDD内の任意のファイルを表示する実装は見たことないが、
常識ではなかったのか。。
>>495
はっきり言って個人にそんなことまかせる会社の方がものすごくヤバイです。
そんな体勢で問題起きたらえらいことになってます。
あんた相当シロートですね。
俺の知る限り、公開サーバでHDD内の任意のファイルを表示する実装は見たことないが、
常識ではなかったのか。。
>>495
はっきり言って個人にそんなことまかせる会社の方がものすごくヤバイです。
そんな体勢で問題起きたらえらいことになってます。
あんた相当シロートですね。
>>482
そのサーバ機能は利用していいよ。穴掘らなければ。
>>500
意味不明。ドアを開けたのはヨゼフ。
>>501
いあ、バッファオーバランそのものじゃなくって、
それを利用した穴掘りがダメなのね。
そっち関連の用語の無知は許してちょんまげ。
そのサーバ機能は利用していいよ。穴掘らなければ。
>>500
意味不明。ドアを開けたのはヨゼフ。
>>501
いあ、バッファオーバランそのものじゃなくって、
それを利用した穴掘りがダメなのね。
そっち関連の用語の無知は許してちょんまげ。
508 :名無しさん@4周年:04/02/07 02:24 ID:vurMG0vJ
509 :名無しさん@4周年:04/02/07 02:25 ID:xAT+1lgi
>>487
>cgiに想定されうる引数を与えることと
>バッファオーバランとは同列にしてはいけない。
>何度言えば分かるのか…
おいおい>>483でせっかく答えてやったのに無視か?
バッファオーバーフローの原理を理解できない773さんよ。
しかも、今回の場合は適切な文字列が明示的に与えられているので
何が不適切かは明確だ。
「何度言えば分かるのか」とか自分がさも優勢なような言い方してっ
とマジキティっぽく見えっぞw
>>570
無知も何も、これだけ説明して「ボクちゃん無知」を繰り返してまだ
わかんないなら、クソして寝ればぁ?
>cgiに想定されうる引数を与えることと
>バッファオーバランとは同列にしてはいけない。
>何度言えば分かるのか…
おいおい>>483でせっかく答えてやったのに無視か?
バッファオーバーフローの原理を理解できない773さんよ。
しかも、今回の場合は適切な文字列が明示的に与えられているので
何が不適切かは明確だ。
「何度言えば分かるのか」とか自分がさも優勢なような言い方してっ
とマジキティっぽく見えっぞw
>>570
無知も何も、これだけ説明して「ボクちゃん無知」を繰り返してまだ
わかんないなら、クソして寝ればぁ?
510 :名無しさん@4周年:04/02/07 02:26 ID:PntqH25i
>>499
どうでもいいが「意図がない」と「意図が読み取れない」というのは違うと思います。
-----------
773はセキュリティーホールもCGIも管理者の意図なんか介在せず
単なる機能としてしか見てない、すなわち違いを明確に説明できていないのだが
のらりくらりと逃げ回っているなw
どうでもいいが「意図がない」と「意図が読み取れない」というのは違うと思います。
-----------
773はセキュリティーホールもCGIも管理者の意図なんか介在せず
単なる機能としてしか見てない、すなわち違いを明確に説明できていないのだが
のらりくらりと逃げ回っているなw
>>496
おまいもしつこいねw
プログラマが仕様設計する際にそのプログラムの引数を定義する
例えばこの引数は8バイトの数字が入るとかね
これが「仕様」
で、本来それ以外の値が入力された場合の境界処理をする
ところが境界処理が抜けていて、その引数に20バイトの数字を
入れるとバッファオーバーフローをおこして任意のファイルに
アクセスできる等の誤動作をする
これがバッファオーバーフローといわれる「脆弱性」
今回のスクリプトの場合も
プログラマは仕様設計する際にその引数を定義したはず
今回は「入力フォームの中でその投入者が登録した内容が格納されて
いるファイル」これが「仕様」
で本来はそれ以外の引数が入力された場合のエラー処理、いわゆる
サニタリングをする必要がある
しかしサニタリングが抜けていたため任意のファイルを表示できた
これが「脆弱性」
おまいもしつこいねw
プログラマが仕様設計する際にそのプログラムの引数を定義する
例えばこの引数は8バイトの数字が入るとかね
これが「仕様」
で、本来それ以外の値が入力された場合の境界処理をする
ところが境界処理が抜けていて、その引数に20バイトの数字を
入れるとバッファオーバーフローをおこして任意のファイルに
アクセスできる等の誤動作をする
これがバッファオーバーフローといわれる「脆弱性」
今回のスクリプトの場合も
プログラマは仕様設計する際にその引数を定義したはず
今回は「入力フォームの中でその投入者が登録した内容が格納されて
いるファイル」これが「仕様」
で本来はそれ以外の引数が入力された場合のエラー処理、いわゆる
サニタリングをする必要がある
しかしサニタリングが抜けていたため任意のファイルを表示できた
これが「脆弱性」
512 :名無しさん@4周年:04/02/07 02:27 ID:Jd/zXY4B
>>506
いやいや、もちろん俺もそのとおりで見たことはないし、
可能性としてはかなりの高確率だとは思うんですが、
あくまで法的にどのように解釈されるのが妥当なのか、っていう点で
イマイチ材料に乏しいと思ったのです。
いやいや、もちろん俺もそのとおりで見たことはないし、
可能性としてはかなりの高確率だとは思うんですが、
あくまで法的にどのように解釈されるのが妥当なのか、っていう点で
イマイチ材料に乏しいと思ったのです。
514 :名無しさん@4周年:04/02/07 02:28 ID:AcZf9d0q
511であがりかなw
かなり良い線行っているね。
かなり良い線行っているね。
515 :名無しさん@4周年:04/02/07 02:29 ID:ztgeiZlp
>>510
プログラムに意図があっても、不正アクセスになるかどうかとは関係ないということだろう。
プログラムに意図があっても、不正アクセスになるかどうかとは関係ないということだろう。
>>511のアンカー間違えた
スマソ
スマソ
517 :名無しさん@4周年:04/02/07 02:30 ID:PntqH25i
>>508
パワーユーザー、思った以上にいません。
あなたや私やここの人たちにケチ付けられないレベルとなると
年俸2000万ってとこですね。
個人の場合、あんまり安いとそれだけでヤバイって事も分かりますよね?
結局リスク的に割に合わないんですよ。
パワーユーザー、思った以上にいません。
あなたや私やここの人たちにケチ付けられないレベルとなると
年俸2000万ってとこですね。
個人の場合、あんまり安いとそれだけでヤバイって事も分かりますよね?
結局リスク的に割に合わないんですよ。
518 :名無しさん@4周年:04/02/07 02:30 ID:AcZf9d0q
じゃあれだ、ファーストの森川が仕様書作ってるだろうから、
それを証拠として出せば仕様であるアクセス制御を回避したOffice
ってのが明確になるな。
「このCGIは任意ファイルを読み出す機能を実装している」って仕様書に書いてない限り
大丈夫だ。
それを証拠として出せば仕様であるアクセス制御を回避したOffice
ってのが明確になるな。
「このCGIは任意ファイルを読み出す機能を実装している」って仕様書に書いてない限り
大丈夫だ。
>>518
不可。作成者の意図は無関係。
不可。作成者の意図は無関係。
>>511は733君に対してのレスね
521 :名無しさん@4周年:04/02/07 02:35 ID:ysgL3F3u
522 :名無しさん@4周年:04/02/07 02:35 ID:PntqH25i
>>515
773の中ではセキュリティーホールなんて概念自体ないのかもね。
意図がないんだから正当な利用法なんてない、すなわち穴なんてない。
だから使える機能はどんな使い方してもお構いなし。
こんな感じですか?>773氏
773の中ではセキュリティーホールなんて概念自体ないのかもね。
意図がないんだから正当な利用法なんてない、すなわち穴なんてない。
だから使える機能はどんな使い方してもお構いなし。
こんな感じですか?>773氏
523 :名無しさん@4周年:04/02/07 02:35 ID:vurMG0vJ
>>517
そ、いないのよね
だから結局自分でやってる(w
なので最初から個人情報をサーバ上に置いておかなきゃいけないようなCGIは作らないことにしてる
実はファーストサーバの例のCGIのソース見たことがあるんだけど絶句したよ(w
その上であれはアクセス制御と呼べるものでは無かったと思ってる
続きは寝て起きて気が向いたらということでおやすみなさい
そ、いないのよね
だから結局自分でやってる(w
なので最初から個人情報をサーバ上に置いておかなきゃいけないようなCGIは作らないことにしてる
実はファーストサーバの例のCGIのソース見たことがあるんだけど絶句したよ(w
その上であれはアクセス制御と呼べるものでは無かったと思ってる
続きは寝て起きて気が向いたらということでおやすみなさい
525 :名無しさん@4周年:04/02/07 02:37 ID:XFqglJPm
526 :名無しさん@4周年:04/02/07 02:38 ID:yAlxNbQ7
あ、黙秘しちゃってるから起訴はされるんだろうな。そういえば。
527 :名無しさん@4周年:04/02/07 02:39 ID:Jd/zXY4B
529 :名無しさん@4周年:04/02/07 02:41 ID:AcZf9d0q
>519
いま773が良い事言った!
つまり任意のLinuxディストリビューションにはコーディングの意図にかかわらず
バッファーオーバーフローが実装されているのだから、これを利用して何をやっても
仕様通りで無罪ってことだな!!
いま773が良い事言った!
つまり任意のLinuxディストリビューションにはコーディングの意図にかかわらず
バッファーオーバーフローが実装されているのだから、これを利用して何をやっても
仕様通りで無罪ってことだな!!
>>522
穴とドアは違うと言うに…。
ftpではパスワードで保護されてもhttpサーバがhtml吐き出すでしょ。
それがドア。
>>511>>520 追加〜
「本来」なんてのはoffice氏の認知しようのないことなのね。公知性がない。
穴とドアは違うと言うに…。
ftpではパスワードで保護されてもhttpサーバがhtml吐き出すでしょ。
それがドア。
>>511>>520 追加〜
「本来」なんてのはoffice氏の認知しようのないことなのね。公知性がない。
532 :名無しさん@4周年:04/02/07 02:45 ID:PntqH25i
>>523
信用できる管理会社はないし凄腕の個人もいないとわかってるなら
現状のどうしようのなさも分かってると思うんだなー。
おやすみ。
>>524
officeが不正アクセスにならないなら
今まで逮捕されてきた人も不正アクセスにならないから
論点を変えろと言っているのだ。わかったかな?
>>525
「知らずに」「置いた」っつうのがよくわからんが。
何のために置いたんだ?
そもそも>>473の仮想webサーバとはなぜ仮想なのか。
何を聞きたいのかわからんです。
信用できる管理会社はないし凄腕の個人もいないとわかってるなら
現状のどうしようのなさも分かってると思うんだなー。
おやすみ。
>>524
officeが不正アクセスにならないなら
今まで逮捕されてきた人も不正アクセスにならないから
論点を変えろと言っているのだ。わかったかな?
>>525
「知らずに」「置いた」っつうのがよくわからんが。
何のために置いたんだ?
そもそも>>473の仮想webサーバとはなぜ仮想なのか。
何を聞きたいのかわからんです。
>>530
んじゃつまりバッファーオーバーフローを利用した不正アクセスも
サーバー上にあるプログラムにどんな引数を与えようともハッカーの自由
それによってバッファオーバーフローが発生したとして、
「本来」あるべき境界処理がないなんてことハッカーは認知しようがないから
オッケーってことでFA?
んじゃつまりバッファーオーバーフローを利用した不正アクセスも
サーバー上にあるプログラムにどんな引数を与えようともハッカーの自由
それによってバッファオーバーフローが発生したとして、
「本来」あるべき境界処理がないなんてことハッカーは認知しようがないから
オッケーってことでFA?
534 :名無しさん@4周年:04/02/07 02:46 ID:Jd/zXY4B
>>531
その「機能」が一体ドコまでを指すのかで判断がわかれるような気もするけど…
その「機能」が一体ドコまでを指すのかで判断がわかれるような気もするけど…
535 :名無しさん@4周年:04/02/07 02:47 ID:AcZf9d0q
>531
ハァ???
意図は関係ないって自分で言ってるじゃん。
可能な事はすべて仕様なんだろ?
可能な事はすべて最初から出来る事なんだろ?
ハァ???
意図は関係ないって自分で言ってるじゃん。
可能な事はすべて仕様なんだろ?
可能な事はすべて最初から出来る事なんだろ?
537 :名無しさん@4周年:04/02/07 02:48 ID:PntqH25i
538 :名無しさん@4周年:04/02/07 02:48 ID:yKKI4U16
539 :名無しさん@4周年:04/02/07 02:50 ID:be3AnYbo
2ちょんねるって悪いインターネットなんですね。
>>536
知らないのになぜ別問題と断言できるのかと小一時間(ry
知らないのになぜ別問題と断言できるのかと小一時間(ry
541 :名無しさん@4周年:04/02/07 02:51 ID:PntqH25i
542 :名無しさん@4周年:04/02/07 02:52 ID:ysgL3F3u
ACCSのHPの今回の件の見解みたいなページ(http://www.askaccs.ne.jp/)みたらなんか腹が立った・・・。
さも自分は悪くないぞみたいな言い方。著作権・プライバシー問題の前に自分のサイトのプライバシー守れや!
今思ったけどこのACCSのサイトを作ったプログラマーのほかのサイトも同じ方法でハック可能・・・?
そう考えると恐ろしい・・・。
さも自分は悪くないぞみたいな言い方。著作権・プライバシー問題の前に自分のサイトのプライバシー守れや!
今思ったけどこのACCSのサイトを作ったプログラマーのほかのサイトも同じ方法でハック可能・・・?
そう考えると恐ろしい・・・。
>>536って>>532へのレスじゃん・・orz
>>533
不可。特定利用が可能な状態にしたのはoffice氏ではないと言っている。
最初から可能な状態だったんだよ。
>>534
少なくともバッファオーバランで任意のコードを実行することではないわなー。
ってほんとか?よくわかんないでつ。
>>535
意図は関係なし。実態があって公開されていることをしてはならないとは言えない。
>>533
不可。特定利用が可能な状態にしたのはoffice氏ではないと言っている。
最初から可能な状態だったんだよ。
>>534
少なくともバッファオーバランで任意のコードを実行することではないわなー。
ってほんとか?よくわかんないでつ。
>>535
意図は関係なし。実態があって公開されていることをしてはならないとは言えない。
544 :名無しさん@4周年:04/02/07 02:54 ID:ztgeiZlp
バッファオーバーフローは電子計算機損壊等業務妨害罪を問われるかもしれないけどね。
545 :名無しさん@4周年:04/02/07 02:56 ID:xAT+1lgi
>>531 :773
> 無理。バッファオーバランを利用する穴掘りは
> そのソフトが提供する機能を用いたものではない。
で、どこまでが「機能」でどこまでがそうじゃないか、キミは
どうやって決めてるのかな〜?
> 無理。バッファオーバランを利用する穴掘りは
> そのソフトが提供する機能を用いたものではない。
で、どこまでが「機能」でどこまでがそうじゃないか、キミは
どうやって決めてるのかな〜?
546 :名無しさん@4周年:04/02/07 02:56 ID:PntqH25i
わかんないことだらけですね773は。
語尾に全部「〜だと思いますけど無知でわかりません」ってつけるといいよ。
語尾に全部「〜だと思いますけど無知でわかりません」ってつけるといいよ。
547 :名無しさん@4周年:04/02/07 02:57 ID:dM9nUPyk
ニュース見て思ったよ。
随分と酷いホームページだな、その2ちゃんねるというのは。
一体どんな掲示板なんだ?
随分と酷いホームページだな、その2ちゃんねるというのは。
一体どんな掲示板なんだ?
548 :名無しさん@4周年:04/02/07 02:58 ID:AcZf9d0q
>544
権限奪取の結果何も書き換えずクラッシュもしなければ
電子計算機損壊等業務妨害には該当しないぞ。
権限奪取の結果何も書き換えずクラッシュもしなければ
電子計算機損壊等業務妨害には該当しないぞ。
549 :名無しさん@4周年:04/02/07 02:58 ID:XFqglJPm
>>532
「そこが丸見えなのを知らずに、置いた」だ。
普通の日本語で書いてあるんだからわざわざ変な読み方するなよ。。
何のためにって言われても、現実問題他人に見せるのが目的じゃなく
鯖にファイルを置く人はいくらでもいるわけで、目的は関係ないだろ。
>そもそも>>473の仮想webサーバとはなぜ仮想なのか。
全く意味不明だ。>>473に>>479のように答えてるからレスしたのに…
>>479はどういうつもりで答えたんだよ?
「そこが丸見えなのを知らずに、置いた」だ。
普通の日本語で書いてあるんだからわざわざ変な読み方するなよ。。
何のためにって言われても、現実問題他人に見せるのが目的じゃなく
鯖にファイルを置く人はいくらでもいるわけで、目的は関係ないだろ。
>そもそも>>473の仮想webサーバとはなぜ仮想なのか。
全く意味不明だ。>>473に>>479のように答えてるからレスしたのに…
>>479はどういうつもりで答えたんだよ?
>>541
office氏が穴を掘ったわけじゃないからね。
office氏が穴を掘ったわけじゃないからね。
明確な反論もなくもうグダグダだな
もうだめぽ
もうだめぽ
552 :名無しさん@4周年:04/02/07 03:00 ID:Jd/zXY4B
>>543
まぁバッファオーバーランの話は少し置いといてw
今回の件はCGIに実装されたファイル表示機能が問題なわけだが、
一つの「機能」が使い方によって黒か白か分かれてしまう可能性があるか?ってことだよね。
個人的には裁判官はおそらくそこらへんには興味ないような気もするが…まぁそれは俺にはわからん。
まぁバッファオーバーランの話は少し置いといてw
今回の件はCGIに実装されたファイル表示機能が問題なわけだが、
一つの「機能」が使い方によって黒か白か分かれてしまう可能性があるか?ってことだよね。
個人的には裁判官はおそらくそこらへんには興味ないような気もするが…まぁそれは俺にはわからん。
554 :名無しさん@4周年:04/02/07 03:02 ID:xAT+1lgi
555 :名無しさん@4周年:04/02/07 03:04 ID:PntqH25i
>>549
目的はないがたまたまそこにファイルを置いて丸見えになった場合と
普通にサーバに置いた場合の違いって事か?
見せるつもりがなかったって事じゃないのか。
>>>479はどういうつもりで答えたんだよ?
二つ目の仮想サーバというのが仮想ドメインかなんかだと思った。
で、よく見たら一つ目のwebサーバという単語にも「仮想」が付いていたので
アレ?と思った。
>>543
CGIの機能も少なくともHDD上の任意のファイルを表示することではないわなー。
って当たり前だな。
目的はないがたまたまそこにファイルを置いて丸見えになった場合と
普通にサーバに置いた場合の違いって事か?
見せるつもりがなかったって事じゃないのか。
>>>479はどういうつもりで答えたんだよ?
二つ目の仮想サーバというのが仮想ドメインかなんかだと思った。
で、よく見たら一つ目のwebサーバという単語にも「仮想」が付いていたので
アレ?と思った。
>>543
CGIの機能も少なくともHDD上の任意のファイルを表示することではないわなー。
って当たり前だな。
556 :名無しさん@4周年:04/02/07 03:04 ID:xAT+1lgi
>>553
どして? ねえ、何の理由もなしにそこまで自信たっぷりに断言してるのは
どして?wwwwwww
あれほど原理が一緒だと解説されているのに違うと主張できる面の皮は
なんでそんなに厚いの?wwwwwwwwww
どして? ねえ、何の理由もなしにそこまで自信たっぷりに断言してるのは
どして?wwwwwww
あれほど原理が一緒だと解説されているのに違うと主張できる面の皮は
なんでそんなに厚いの?wwwwwwwwww
559 :名無しさん@4周年:04/02/07 03:08 ID:PntqH25i
やっぱり暴走しすぎたかも知れん。
バッファオーバランからは手を引いた方が吉だな。。
というわけで全面撤回!!!
office氏とcsvmail.cgiとの関係にのみ注目すべきだにゃ
バッファオーバランからは手を引いた方が吉だな。。
というわけで全面撤回!!!
office氏とcsvmail.cgiとの関係にのみ注目すべきだにゃ
561 :名無しさん@4周年:04/02/07 03:12 ID:PntqH25i
>>552
さんざん意図は関係ないと言われているが
裁判官は常識的な使われ方および管理者の意図を大いに考慮すると思うがどうよ。
>>558
>任意のファイルを表示するのが例のcgiの機能なんですが
違います。誰も説得できていません。
こんな返しになっちゃうな、もう。
>すでに「不正利用を可能にする」状態になってたんですよ
Linuxインストール直後からそんな状態ですが、
それでも今回みたいなことすると悪さするしたことになっちゃうんだよね
さんざん意図は関係ないと言われているが
裁判官は常識的な使われ方および管理者の意図を大いに考慮すると思うがどうよ。
>>558
>任意のファイルを表示するのが例のcgiの機能なんですが
違います。誰も説得できていません。
こんな返しになっちゃうな、もう。
>すでに「不正利用を可能にする」状態になってたんですよ
Linuxインストール直後からそんな状態ですが、
それでも今回みたいなことすると悪さするしたことになっちゃうんだよね
562 :名無しさん@4周年:04/02/07 03:12 ID:XFqglJPm
563 :名無しさん@4周年:04/02/07 03:12 ID:xAT+1lgi
>>558
>office氏がcgiに引数を渡す以前から、
>すでに「不正利用を可能にする」状態になってたんですよ。
えーっと。ついに罠にはまったというか。
「不正利用を可能にする」状態になっていたCGIを、不正利用したのが
河合一穂なんだね。納得納得(藁
>office氏がcgiに引数を渡す以前から、
>すでに「不正利用を可能にする」状態になってたんですよ。
えーっと。ついに罠にはまったというか。
「不正利用を可能にする」状態になっていたCGIを、不正利用したのが
河合一穂なんだね。納得納得(藁
>>563
そそ。
そそ。
565 :名無しさん@4周年:04/02/07 03:15 ID:PntqH25i
566 :名無しさん@4周年:04/02/07 03:15 ID:xAT+1lgi
>>564
で、不正にアクセスした河合一穂には、どんな罰が適当ですかね?(藁
で、不正にアクセスした河合一穂には、どんな罰が適当ですかね?(藁
568 :名無しさん@4周年:04/02/07 03:18 ID:PntqH25i
773さんよ、意地の張り合いっつうかゲームとして見ても
かなり見苦しかったんだが。
「全面撤回!!!」じゃお互いカタルシスがないではないか。
かなり見苦しかったんだが。
「全面撤回!!!」じゃお互いカタルシスがないではないか。
569 :名無しさん@4周年:04/02/07 03:18 ID:xAT+1lgi
>>567
自分が書いたことくらい覚えていようよ(藁
>553 :773 :04/02/07 03:02 ID:A9QpxCqe
> >>545
> バッファオーバフロウを利用する穴掘りは、
> 「不正利用を可能にするもの」だよ。
自分が書いたことくらい覚えていようよ(藁
>553 :773 :04/02/07 03:02 ID:A9QpxCqe
> >>545
> バッファオーバフロウを利用する穴掘りは、
> 「不正利用を可能にするもの」だよ。
570 :名無しさん@4周年:04/02/07 03:18 ID:Jd/zXY4B
>>561
いやぁ俺は裁判を受けたことも無いし傍聴したこともないんで、
一般的な裁判官の考えることはわからんけど、一市民としてはそう思いたいところですよ。
だた、法解釈とのバランスをどう考えるかって感じだと思う。
常識なぞ無関係、個人的な法解釈と過去判例のみから判決…って話なら、
773の考えと裁判官の個人的見解が一致した場合のみ、その可能性もあるけど、
それは非現実的だと思う。ましてや刑事裁判だし。
ただ、これが通ってしまうと、警察が法律を拡大解釈する口実を与えてしまうなぁ。
いやぁ俺は裁判を受けたことも無いし傍聴したこともないんで、
一般的な裁判官の考えることはわからんけど、一市民としてはそう思いたいところですよ。
だた、法解釈とのバランスをどう考えるかって感じだと思う。
常識なぞ無関係、個人的な法解釈と過去判例のみから判決…って話なら、
773の考えと裁判官の個人的見解が一致した場合のみ、その可能性もあるけど、
それは非現実的だと思う。ましてや刑事裁判だし。
ただ、これが通ってしまうと、警察が法律を拡大解釈する口実を与えてしまうなぁ。
572 :名無しさん@4周年:04/02/07 03:18 ID:yKKI4U16
>>561
> >すでに「不正利用を可能にする」状態になってたんですよ
> Linuxインストール直後からそんな状態ですが、
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/859
によると違うみたいよ
773氏はこの件からは撤退したみたいだがw
> >すでに「不正利用を可能にする」状態になってたんですよ
> Linuxインストール直後からそんな状態ですが、
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/859
によると違うみたいよ
773氏はこの件からは撤退したみたいだがw
あんだけ対比させて分かりやすく説明してあげたのに...
もうだめぽ
もうだめぽ
>>568
いや実際pc知識ないから無理すよ。自分の方が間違ってるわぽ。
それにスレ違いだし。
>>569
覚えてるよ。で、その引用には問題ないと思うよ。
可能なときに利用するのは合法。
不可能を可能にするのが違法。
いや実際pc知識ないから無理すよ。自分の方が間違ってるわぽ。
それにスレ違いだし。
>>569
覚えてるよ。で、その引用には問題ないと思うよ。
可能なときに利用するのは合法。
不可能を可能にするのが違法。
575 :名無しさん@4周年:04/02/07 03:21 ID:PntqH25i
576 :名無しさん@4周年:04/02/07 03:23 ID:xAT+1lgi
>>576
いや、現行法ではそうなってるのよ。
もちろんそんなのザル法だから改正すべしと主張するのはあなたの自由。
ちゃんと不正アクセス禁止法を参照してね。
http://www.ipa.go.jp/security/ciadr/law199908.html
いや、現行法ではそうなってるのよ。
もちろんそんなのザル法だから改正すべしと主張するのはあなたの自由。
ちゃんと不正アクセス禁止法を参照してね。
http://www.ipa.go.jp/security/ciadr/law199908.html
579 :名無しさん@4周年:04/02/07 03:26 ID:vH7CzGK9
威力業務妨害で送検、不正アクセスは追起訴レベルになるようです
580 :名無しさん@4周年:04/02/07 03:27 ID:xAT+1lgi
>>578 不可能なんてどこにも書いてありませんが何か?wwwwwww
今回の件に限って言えばどのような結果になったとしても
一つの重要な基準になると思うので要注目ですな。
XFqglJPmタンはもう寝たかな。
一つの重要な基準になると思うので要注目ですな。
XFqglJPmタンはもう寝たかな。
問1.バグは仕様ですか (選択です)
a. 仕様ではない。
b. バグも含めて仕様です。
c. 意図したものではありません。使用しないでください。
a. 仕様ではない。
b. バグも含めて仕様です。
c. 意図したものではありません。使用しないでください。
>>580
第三条第二項だよ。
第三条第二項だよ。
584 :名無しさん@4周年:04/02/07 03:30 ID:XFqglJPm
585 :名無しさん@4周年:04/02/07 03:31 ID:yKKI4U16
>>582
a. 仕様ではない。
a. 仕様ではない。
586 :名無しさん@4周年:04/02/07 03:33 ID:Qkta6Rq1
これは会社の機密だから観たら企業スパイとして告訴するぞといって,
その書類を入れた封筒を喫茶店の机の上に放置して1週間後に取りに来て,
誰も観なかっただろうな,と喫茶店のマスタ-にあたりチラシて,
しばらくするとその書類がマスコミにリ-クされていたとしたら,
その書類をメモッた何者かが悪いとは,常識的には言わないネ.
重要なデ-タ-で第三者がみたらまずいものは,自分の努力と技術で
漏洩を防ぐ義務があるんだよ.最低限出入りを制限した部屋の
中から外に持ち出さないように,不在の時はカギをかけて置くこと.
いわゆるトレ-ドシ-クレットでも,管理が杜撰で見学者や
社内に用がある人が立ち入って見聞きできる状態で管理されていた
(むしろいなかったというべきかな)場合は,それはトレ-ドシ-クレット
と主張しても却下されるのが裁判の慣例.
ダメな動作をするソフトやサ-バ-を運用し続けること自体が,
社会悪の根源なの. 本来技術で対処するべきものなの.電子通信に置いては
人間は回線を流れるデ-タ-を直接感じることは出来ないし,人間が認知する
よりもうんと早く電子装置は動作するから(毎秒数百トランズアクションとか)
遂一の人間の関与は不可能で,正しい論理と設計で正しいプログラムとシステム
を常に維持管理しないのであれば,そもそも盗まれて困るデ-タ-などを
サ-ビス提供するサ-バ-内にいれていちゃダメだね.
その書類を入れた封筒を喫茶店の机の上に放置して1週間後に取りに来て,
誰も観なかっただろうな,と喫茶店のマスタ-にあたりチラシて,
しばらくするとその書類がマスコミにリ-クされていたとしたら,
その書類をメモッた何者かが悪いとは,常識的には言わないネ.
重要なデ-タ-で第三者がみたらまずいものは,自分の努力と技術で
漏洩を防ぐ義務があるんだよ.最低限出入りを制限した部屋の
中から外に持ち出さないように,不在の時はカギをかけて置くこと.
いわゆるトレ-ドシ-クレットでも,管理が杜撰で見学者や
社内に用がある人が立ち入って見聞きできる状態で管理されていた
(むしろいなかったというべきかな)場合は,それはトレ-ドシ-クレット
と主張しても却下されるのが裁判の慣例.
ダメな動作をするソフトやサ-バ-を運用し続けること自体が,
社会悪の根源なの. 本来技術で対処するべきものなの.電子通信に置いては
人間は回線を流れるデ-タ-を直接感じることは出来ないし,人間が認知する
よりもうんと早く電子装置は動作するから(毎秒数百トランズアクションとか)
遂一の人間の関与は不可能で,正しい論理と設計で正しいプログラムとシステム
を常に維持管理しないのであれば,そもそも盗まれて困るデ-タ-などを
サ-ビス提供するサ-バ-内にいれていちゃダメだね.
あー、HN変えるの忘れてた。。。orz
588 :名無しさん@4周年:04/02/07 03:33 ID:PntqH25i
589 :名無しさん@4周年:04/02/07 03:35 ID:xAT+1lgi
1.CGIが任意のファイルを表示するのはそのCGIの機能だよ
↓
2.仕様書で定義してなくても機能か?
↓
3.仕様書なんか関係ないよ
実際に実行可能であればそれは機能だよ
↓
4.んじゃすべてのバグは実行可能だから機能ってか?
セキュリティホールも実行可能だから機能ってか?
↓
5.セキュリティホールは良くわかんない
俺ど素人だから
でもCGIが任意のファイルを表示するのはそのCGIの機能だよ
1に戻って以下無限ループ
↓
2.仕様書で定義してなくても機能か?
↓
3.仕様書なんか関係ないよ
実際に実行可能であればそれは機能だよ
↓
4.んじゃすべてのバグは実行可能だから機能ってか?
セキュリティホールも実行可能だから機能ってか?
↓
5.セキュリティホールは良くわかんない
俺ど素人だから
でもCGIが任意のファイルを表示するのはそのCGIの機能だよ
1に戻って以下無限ループ
>>589
どう違うって見たまんまですがな。。。
> その制限されている(←不可能)特定利用をし得る(←可能)状態にさせる行為
これが不可能を可能にする行為ね。バッファオーバラン悪用も多分こっち。
可能なときに利用する行為は、禁止する法律がない。
どう違うって見たまんまですがな。。。
> その制限されている(←不可能)特定利用をし得る(←可能)状態にさせる行為
これが不可能を可能にする行為ね。バッファオーバラン悪用も多分こっち。
可能なときに利用する行為は、禁止する法律がない。
592 :名無しさん@4周年:04/02/07 03:39 ID:oBfCw5/c
>>592
つかofficeを知らない奴から見ればACCSにハメられた
かわいそうな奴に見えるんじゃないの?
ACCSが巨悪だってのは2ちゃんの共通認識だしw
漏れは結構前からネット上で知ってるから
その厨っぷりとかも分かるけど
つかofficeを知らない奴から見ればACCSにハメられた
かわいそうな奴に見えるんじゃないの?
ACCSが巨悪だってのは2ちゃんの共通認識だしw
漏れは結構前からネット上で知ってるから
その厨っぷりとかも分かるけど
594 :名無しさん@4周年:04/02/07 03:43 ID:yKKI4U16
ん?誰か擁護してた?
595 :名無しさん@4周年:04/02/07 03:45 ID:xAT+1lgi
>>583
いいですか〜 世間では〜 「その制限されている(←不可能)特定利用をし
得る(←可能)状態にさせる行為」が可能になってるサーバとそうでない
サーバがあって〜ID:A9QpxCqeによると〜 可能になってるサーバで何を
しても合法だそうですよ〜
いいですか〜 世間では〜 「その制限されている(←不可能)特定利用をし
得る(←可能)状態にさせる行為」が可能になってるサーバとそうでない
サーバがあって〜ID:A9QpxCqeによると〜 可能になってるサーバで何を
しても合法だそうですよ〜
>>590
バッファオーバランとcgiへの引数の違いに関わったのは間違いだったね。
全然知識なかったもん。すまそすまそー。
違いは「不可能状態を可能状態に変えたのか」「可能状態を利用したのか」
っつーことでした。今にして思えば。
バッファオーバランとcgiへの引数の違いに関わったのは間違いだったね。
全然知識なかったもん。すまそすまそー。
違いは「不可能状態を可能状態に変えたのか」「可能状態を利用したのか」
っつーことでした。今にして思えば。
597 :名無しさん@4周年:04/02/07 03:46 ID:UNEfDC6r
何かバッファオーバフローは神レベルのスパーハカーしかできないので不可能
CGIに与えるパラメータはオヒスでもできるから機能
と言ってるようにしか見えんな
ちょいと知識のある者にとってはオーバーフローもCGIの書き換えも差して変わらん
逆に全く知識の無い、ブラウザでクリックする事しかできない程度の者にとっては
CGIのパラメータ替える事すらもスーパーハカーの仕業と映るだろう
要するに773はオヒス並って事で
CGIに与えるパラメータはオヒスでもできるから機能
と言ってるようにしか見えんな
ちょいと知識のある者にとってはオーバーフローもCGIの書き換えも差して変わらん
逆に全く知識の無い、ブラウザでクリックする事しかできない程度の者にとっては
CGIのパラメータ替える事すらもスーパーハカーの仕業と映るだろう
要するに773はオヒス並って事で
598 :名無しさん@4周年:04/02/07 03:48 ID:xAT+1lgi
>>593
と、いうか、今回officeこと河合を非難することは、実はACCS非難でもある
んだけどな。officeが主催者に名を連ねていたグループAD200XのACCSとの
太いパイプは広く知られている。
と、いうか、今回officeこと河合を非難することは、実はACCS非難でもある
んだけどな。officeが主催者に名を連ねていたグループAD200XのACCSとの
太いパイプは広く知られている。
>>595
「何をしても」ってのを「アクセスしても」に変えるとベター。
「何をしても」ってのを「アクセスしても」に変えるとベター。
600 :名無しさん@4周年:04/02/07 03:50 ID:yKKI4U16
602 :名無しさん@4周年:04/02/07 03:52 ID:oBfCw5/c
この数ヵ月はびくびくしながら生活してたんだろうな。
俺は犯罪は犯していないよな、そうだよな…
と毎日自分に言い聞かせつつ…
その一方で所有のパソコンに収集したエロ画像はきれいに処分し、
クラックしたやばいデータも消去したりしてたんだろうな。
俺は犯罪は犯していないよな、そうだよな…
と毎日自分に言い聞かせつつ…
その一方で所有のパソコンに収集したエロ画像はきれいに処分し、
クラックしたやばいデータも消去したりしてたんだろうな。
603 :名無しさん@4周年:04/02/07 03:55 ID:AcZf9d0q
exploit突くコードなんて今や配ってる時代だからね。
Linuxにはバッファーオーバーフローが機能として実装されているとしか
言いようがないわけだ。
つまりLinux入れてる鯖に対してバッファーオーバーフロー攻撃を行うexploit突くコード
を使用するのは、仕様通りの通常動作でしかないわけだから完全合法なわけだ。773によれば。
で、それを可能にしているのはディストリビューターやFSFなんだから、そいつらが
有罪になるわけだ。
Linuxにはバッファーオーバーフローが機能として実装されているとしか
言いようがないわけだ。
つまりLinux入れてる鯖に対してバッファーオーバーフロー攻撃を行うexploit突くコード
を使用するのは、仕様通りの通常動作でしかないわけだから完全合法なわけだ。773によれば。
で、それを可能にしているのはディストリビューターやFSFなんだから、そいつらが
有罪になるわけだ。
604 :名無しさん@4周年:04/02/07 03:58 ID:FlGyEBmd
バッファオーバーフローの脆弱性があるプログラムは、
誰でも自由に使える「リモートシェル機能」が実装されたプログラム
誰でも自由に使える「リモートシェル機能」が実装されたプログラム
>>603 しつこいね。
私が半端な知識で語ったバッファオーバランについては全面撤回したっしょ。
しかしバッファオーバランを悪用するのは「不可能を可能にする行為」、
今回のは「最初から可能なのを利用」しただけっしょ。
この結論は前スレのr5LDRHzzがすでに出していたのだった…。
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/802
私が半端な知識で語ったバッファオーバランについては全面撤回したっしょ。
しかしバッファオーバランを悪用するのは「不可能を可能にする行為」、
今回のは「最初から可能なのを利用」しただけっしょ。
この結論は前スレのr5LDRHzzがすでに出していたのだった…。
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/802
>>596
なるほど
あるプログラムにそのプログラムの仕様で定義していない
引数を入力することは
「不可能状態を可能状態に変えた」ることで
あるCGIスクリプトでにそのCGIスクリプトの仕様で定義していない
引数を入力することは
「可能状態を利用する」ってことか
そろそろ自分の矛盾に気付いたら?
なるほど
あるプログラムにそのプログラムの仕様で定義していない
引数を入力することは
「不可能状態を可能状態に変えた」ることで
あるCGIスクリプトでにそのCGIスクリプトの仕様で定義していない
引数を入力することは
「可能状態を利用する」ってことか
そろそろ自分の矛盾に気付いたら?
>>597
バッファオーフローは、引き起こすだけなら簡単な事かもしれんが
何かに利用しようとするには、外部から本来のプログラムの動作を
横取りして目的を達成する為のコードの注入が必要だろ?、
んで、このコードによって本来は不可能な筈な動きを引き起こして
目的を達成する訳だ、一方アホなCGIの場合はプログラムは与えら
れた引数を本来の機能に従い正常に処理した結果に過ぎない。
と言う事ではないのかな?
バッファオーフローは、引き起こすだけなら簡単な事かもしれんが
何かに利用しようとするには、外部から本来のプログラムの動作を
横取りして目的を達成する為のコードの注入が必要だろ?、
んで、このコードによって本来は不可能な筈な動きを引き起こして
目的を達成する訳だ、一方アホなCGIの場合はプログラムは与えら
れた引数を本来の機能に従い正常に処理した結果に過ぎない。
と言う事ではないのかな?
608 :名無しさん@4周年:04/02/07 04:05 ID:xAT+1lgi
610 :名無しさん@4周年:04/02/07 04:06 ID:AcZf9d0q
>605
いーや、アンタの説に従えばディストリビューターやFSFがバッファーオーバーフローを
可能にしているんだから、どんなパケットを送ってシェルコード送っても、
送る前から利用可能になっているわけだ。
だから送った奴は無罪だよな?
いやいやバッファーオーバーフローを可能にした最初の人間って誰だろうな?
カーニハン&リッチーまでさかのぼるかもなw
いーや、アンタの説に従えばディストリビューターやFSFがバッファーオーバーフローを
可能にしているんだから、どんなパケットを送ってシェルコード送っても、
送る前から利用可能になっているわけだ。
だから送った奴は無罪だよな?
いやいやバッファーオーバーフローを可能にした最初の人間って誰だろうな?
カーニハン&リッチーまでさかのぼるかもなw
>>610
「限されている特定利用をし得る状態にさせる行為」と、
その状態を利用することを混同してないかい?
バッファオーバフロウを使うこと自体は問題ないけど(合法)、
それによって「限されている特定利用をし得る状態に」変えたら違法だよ。
「限されている特定利用をし得る状態にさせる行為」と、
その状態を利用することを混同してないかい?
バッファオーバフロウを使うこと自体は問題ないけど(合法)、
それによって「限されている特定利用をし得る状態に」変えたら違法だよ。
613 :名無しさん@4周年:04/02/07 04:11 ID:xAT+1lgi
>>612 で「バッファオーバフロウを使うこと」って具体的に何よ?
615 :名無しさん@4周年:04/02/07 04:12 ID:UNEfDC6r
オヒス問題のくだらない喩え
普通の通行人からは見えない所に扉があって「女性専用」と書かれていた。
構わず開けたら地図があり、その地図の場所へ行く「女湯」と書かれた扉があった。
覗き趣味のO氏はカメラを抱えて扉を開け激写。
その後覗き趣味者の集まる集会で「簡単に覗ける女湯があるぞ〜」と言って
写真をばら撒いて逮捕された。
ID:A9QpxCqe的解釈
扉は男でも女でも通過できるのだから、いくら「女性専用」とか「女湯」と
書かれていても、通っても構わない。
普通の通行人からは見えない所に扉があって「女性専用」と書かれていた。
構わず開けたら地図があり、その地図の場所へ行く「女湯」と書かれた扉があった。
覗き趣味のO氏はカメラを抱えて扉を開け激写。
その後覗き趣味者の集まる集会で「簡単に覗ける女湯があるぞ〜」と言って
写真をばら撒いて逮捕された。
ID:A9QpxCqe的解釈
扉は男でも女でも通過できるのだから、いくら「女性専用」とか「女湯」と
書かれていても、通っても構わない。
616 :名無しさん@4周年:04/02/07 04:12 ID:AcZf9d0q
>612
はいダウト〜〜〜!
おまえの定義による「ファイルアクセス機能を実装したCGI」
の引数に、ファイル名を与える事自体は問題なくて、
限定されている特定利用をしうる引数を与えたら違法って事だな。
ご苦労さんwww
はいダウト〜〜〜!
おまえの定義による「ファイルアクセス機能を実装したCGI」
の引数に、ファイル名を与える事自体は問題なくて、
限定されている特定利用をしうる引数を与えたら違法って事だな。
ご苦労さんwww
あー、やっとr5LDRHzzの言いたいことが分かってきた〜。
満足満足。
満足満足。
問2. バグを修復せずに放置しました。バグは仕様ですか (選択です)
a.仕様ではありません。
b. バグを含めて仕様です。
c. 好きにしてくれ。
a.仕様ではありません。
b. バグを含めて仕様です。
c. 好きにしてくれ。
横槍です。
基本的に計算機にとってデータとプログラムは等価です。
自己書き換えやブートストラップが可能なように。
バッファオーバフロー(これだけに固執する理由が分からんが)を起こす文字列も
正規のクエリーも、おなじもの。 受け手はそれを見越して管理するのが望ましいわけ。
まあ、故意にそういうクエリを打つのはかなり黒いグレーゾーンだとは思うけどね。
っていうかバッファフローは黒。正式なクエリとするには、あきらかにじょうきをいする。
基本的に計算機にとってデータとプログラムは等価です。
自己書き換えやブートストラップが可能なように。
バッファオーバフロー(これだけに固執する理由が分からんが)を起こす文字列も
正規のクエリーも、おなじもの。 受け手はそれを見越して管理するのが望ましいわけ。
まあ、故意にそういうクエリを打つのはかなり黒いグレーゾーンだとは思うけどね。
っていうかバッファフローは黒。正式なクエリとするには、あきらかにじょうきをいする。
622 :名無しさん@4周年:04/02/07 04:18 ID:vH7CzGK9
.... ...... .. ... .. .... . ..... .... .. ..... ............. ........... .. ..... .... .............
::.... .... ..:.... .... ..... .... .. .:.... .... .. ..... ..:.. .. ..... ............. .. ........ ......
:.... .... ..:.... .... ..... .... .. :.:.... .... .. ..... .... .. ..... ............. .. . .............
.... .... ..:.... .... ..... .... .. .:.... .... .. ..... .... .. ..... ............. .. . ........ ......
:.... . ∧∧ ∧∧ ∧∧ ∧∧ .... .... .. .:.... .... ..... .... .. .
... ..:( )ゝ ( )ゝ( )ゝ( )ゝ サヨウナラ オヒス・・・......
.... i⌒ / i⌒ / i⌒ / i⌒ / .. ..... ................... .. . ...
.. 三 | 三 | 三 | 三 | ... ............. ........... . .....
... ∪ ∪ ∪ ∪ ∪ ∪ ∪ ∪ ............. ............. .. ........ ...
三三 三三 三三 三三
三三 三三 三三 三三
::.... .... ..:.... .... ..... .... .. .:.... .... .. ..... ..:.. .. ..... ............. .. ........ ......
:.... .... ..:.... .... ..... .... .. :.:.... .... .. ..... .... .. ..... ............. .. . .............
.... .... ..:.... .... ..... .... .. .:.... .... .. ..... .... .. ..... ............. .. . ........ ......
:.... . ∧∧ ∧∧ ∧∧ ∧∧ .... .... .. .:.... .... ..... .... .. .
... ..:( )ゝ ( )ゝ( )ゝ( )ゝ サヨウナラ オヒス・・・......
.... i⌒ / i⌒ / i⌒ / i⌒ / .. ..... ................... .. . ...
.. 三 | 三 | 三 | 三 | ... ............. ........... . .....
... ∪ ∪ ∪ ∪ ∪ ∪ ∪ ∪ ............. ............. .. ........ ...
三三 三三 三三 三三
三三 三三 三三 三三
623 :名無しさん@4周年:04/02/07 04:19 ID:yKKI4U16
>>618
a.仕様ではありません。
a.仕様ではありません。
624 :名無しさん@4周年:04/02/07 04:20 ID:FlGyEBmd
root権限で実行されているプログラムなら
バッファオーバーフローの脆弱性を
「リモートシェル機能」として使っても不正アクセスではない
可能状態を利用しただけだから
バッファオーバーフローの脆弱性を
「リモートシェル機能」として使っても不正アクセスではない
可能状態を利用しただけだから
結局チキン君の説が成立するためには
件のCGIスクリプトは仕様設計段階から
フォーム内で特定のファイルを表示することが目的ではなく
サーバ内の全てのファイルを表示することを目的として
設計されプログラムされていた
ってことが必要だね
だからその仕様にしたがって任意のファイル名を引数
として投入することは「可能状態を利用」しただけだから
まったく問題ないということ
件のCGIスクリプトは仕様設計段階から
フォーム内で特定のファイルを表示することが目的ではなく
サーバ内の全てのファイルを表示することを目的として
設計されプログラムされていた
ってことが必要だね
だからその仕様にしたがって任意のファイル名を引数
として投入することは「可能状態を利用」しただけだから
まったく問題ないということ
626 :名無しさん@4周年:04/02/07 04:26 ID:AcZf9d0q
>624
バッファーオーバーフローってのはな、単にコードを実行させるためにやるんじゃないんだよ。
CGI実行権限がルートでなくとも、リターンすればrootに権限がわたる。
そのときに任意のコードを実行させるためにスタック領域にシェルコードを書くわけだ。OK?
>620
つまりOffice有罪を認めたって事だな?
なにしろOfficeは、「ファイル呼び出し機能が実装されているCGI」に、
入れてはならない特定利用を行うパラメーターを入れちゃったんだからw
バッファーオーバーフローってのはな、単にコードを実行させるためにやるんじゃないんだよ。
CGI実行権限がルートでなくとも、リターンすればrootに権限がわたる。
そのときに任意のコードを実行させるためにスタック領域にシェルコードを書くわけだ。OK?
>620
つまりOffice有罪を認めたって事だな?
なにしろOfficeは、「ファイル呼び出し機能が実装されているCGI」に、
入れてはならない特定利用を行うパラメーターを入れちゃったんだからw
>>625
後半は全面的に合ってる。でも前半が違ってる。
cgi設計者の意図目的は関係なし。
cgi管理者の意図目的も関係なし。
「制限されている特定利用をし得る状態」というのは、
つまり鯖上の全ファイルにアクセスできる状態のこと。
いつ誰がそういう状態にしたのか…office氏でないことだけは確か。
後半は全面的に合ってる。でも前半が違ってる。
cgi設計者の意図目的は関係なし。
cgi管理者の意図目的も関係なし。
「制限されている特定利用をし得る状態」というのは、
つまり鯖上の全ファイルにアクセスできる状態のこと。
いつ誰がそういう状態にしたのか…office氏でないことだけは確か。
628 :名無しさん@4周年:04/02/07 04:29 ID:UNEfDC6r
>>626
普通、CGIは特権ユーザで動きませんので、rootに権限が移譲されることは
まずありません。そんなのOSじゃない。
例えば、IA-32アーキテクチャ、Linuxの場合、プロセスのセグメントレジスタに特権用のhssでビット判定
しているので、仮に.dss部を書き換えるないし.data部を書き換えたとしても、特権がないので
管理者権限で実行されることはありませぬ。セグフォだすのが落ち。
普通、CGIは特権ユーザで動きませんので、rootに権限が移譲されることは
まずありません。そんなのOSじゃない。
例えば、IA-32アーキテクチャ、Linuxの場合、プロセスのセグメントレジスタに特権用のhssでビット判定
しているので、仮に.dss部を書き換えるないし.data部を書き換えたとしても、特権がないので
管理者権限で実行されることはありませぬ。セグフォだすのが落ち。
>>627
仕様が関係ないなら、みんなが言ってるように
セキュリティーホールがあるプログラムの置いてあるサーバは
「制限されている特定利用をし得る状態」ってことだろ
だってセキュリティーホールのあるプログラムに特定の引数をいれれば
「鯖上の全ファイルにアクセスできる」んだから
仕様が関係ないなら、みんなが言ってるように
セキュリティーホールがあるプログラムの置いてあるサーバは
「制限されている特定利用をし得る状態」ってことだろ
だってセキュリティーホールのあるプログラムに特定の引数をいれれば
「鯖上の全ファイルにアクセスできる」んだから
632 :名無しさん@4周年:04/02/07 04:35 ID:AcZf9d0q
>628
リターンってのはCGIが終了する事じゃなくて
マシンコードのretとかだよ。
これでデーモンのプロセスから抜けてrootのプロセスに戻る。
リターンってのはCGIが終了する事じゃなくて
マシンコードのretとかだよ。
これでデーモンのプロセスから抜けてrootのプロセスに戻る。
633 :名無しさん@4周年:04/02/07 04:35 ID:UNEfDC6r
>>629
ファイル名=特定利用の制限を免れることができる情報
ファイル名=特定利用の制限を免れることができる情報
>>634
「潜在」と「顕在」の違いは?
「潜在」と「顕在」の違いは?
計算機の話をする場合、「できるできない」を議論するのは不毛だよ。
できないことをできないと証明する方法は無いわけで、逆説的には
できないことはないとすることもできるわけで。
だから、できることはやっていいこととするならば、できる人とできない人の解釈が異なるわけで、
そうした所に議論の軸をおくのは、不毛。
できないことをできないと証明する方法は無いわけで、逆説的には
できないことはないとすることもできるわけで。
だから、できることはやっていいこととするならば、できる人とできない人の解釈が異なるわけで、
そうした所に議論の軸をおくのは、不毛。
637 :名無しさん@4周年:04/02/07 04:38 ID:AcZf9d0q
>634
潜在的にファイル名が入れられるだけでは「可能な状態」とは呼べないな。
「ファイル呼び出し機能」を悪用して、「不可能を可能に変えた」瞬間に犯罪となる。
潜在的にファイル名が入れられるだけでは「可能な状態」とは呼べないな。
「ファイル呼び出し機能」を悪用して、「不可能を可能に変えた」瞬間に犯罪となる。
639 :名無しさん@4周年:04/02/07 04:41 ID:AcZf9d0q
>630
あのさぁ、オーバーフローの原理わかってないでしょ?
シェルコードはオーバーフローでかかれたときに実行されるんじゃないんだよ。
デーモンがretとかでルートに権限を移譲するときに本来の戻り先とは違うところに
飛ぶようにスタック領域を潰すんだよ。
このタイミングで実行されるからこそrootが取れる。
じゃないとバッファーオーバーフローなんか保護違反起こすだけだろうがw
あのさぁ、オーバーフローの原理わかってないでしょ?
シェルコードはオーバーフローでかかれたときに実行されるんじゃないんだよ。
デーモンがretとかでルートに権限を移譲するときに本来の戻り先とは違うところに
飛ぶようにスタック領域を潰すんだよ。
このタイミングで実行されるからこそrootが取れる。
じゃないとバッファーオーバーフローなんか保護違反起こすだけだろうがw
640 :名無しさん@4周年:04/02/07 04:42 ID:l8HVxSbG
ここも、すげえよ
http://koibarikko.ddo.jp/
しかも悪いと知りながら堂々と運営。
http://koibarikko.ddo.jp/hikkoshi.html
mp3にするのは簡単。リンクのプロパティのhtmlをmp3に書き換えれば終わりだ。
http://koibarikko.ddo.jp/01313miamore.mp3
http://koibarikko.ddo.jp/
しかも悪いと知りながら堂々と運営。
http://koibarikko.ddo.jp/hikkoshi.html
mp3にするのは簡単。リンクのプロパティのhtmlをmp3に書き換えれば終わりだ。
http://koibarikko.ddo.jp/01313miamore.mp3
641 :名無しさん@4周年:04/02/07 04:42 ID:UNEfDC6r
>>636
って言うかさ、誰にもできない事なら法律で縛る必要も無いんだよな
結局法律で縛るという事は誰かにとっては可能な事で、その「誰か」というのが
スーパーハカー程度なのかオヒス程度なのかという違いだけ
だから「できるんだからやってもいいじゃないか」というのは「不正アクセスは存在しない」
というのと同義
って言うかさ、誰にもできない事なら法律で縛る必要も無いんだよな
結局法律で縛るという事は誰かにとっては可能な事で、その「誰か」というのが
スーパーハカー程度なのかオヒス程度なのかという違いだけ
だから「できるんだからやってもいいじゃないか」というのは「不正アクセスは存在しない」
というのと同義
>>1だけじゃよく分からんのだけど、
「河合容疑者がイベントで個人情報を公開した」
「その情報の入手方法が2chに晒された」
「河合容疑者がaccsに不正アクセスした」
の3つの事件が一斉に起こったの?
上2つは関連してるけど、3つ目も関連してるの?
それとも全く別の事件?
「河合容疑者がイベントで個人情報を公開した」
「その情報の入手方法が2chに晒された」
「河合容疑者がaccsに不正アクセスした」
の3つの事件が一斉に起こったの?
上2つは関連してるけど、3つ目も関連してるの?
それとも全く別の事件?
643 :名無しさん@4周年:04/02/07 04:48 ID:g4yUPpac
>>639
そう、普通は保護違反(windows)を起こす。セグメント違反ってやつね。
でもELF実行形式の場合、スタック領域、.dss部の間や、実行部の.rdata .text
間にすき間があって、そこにコードを埋め込むわけなのよ。
あと、管理者権限はユーザ権限とプロセスの空間をかえてるわけで(Linuxの場合)
非特権ユーザは、特権ユーザのセグメントには不可侵なのだ。
普通はこうした処理はCPU内のセグメントの権限管理を利用していて、
Ia-32アーキテクチャでは2bitの権限設定をもっています。
つまり、ハード的に特権ユーザは守られてるの。
そう、普通は保護違反(windows)を起こす。セグメント違反ってやつね。
でもELF実行形式の場合、スタック領域、.dss部の間や、実行部の.rdata .text
間にすき間があって、そこにコードを埋め込むわけなのよ。
あと、管理者権限はユーザ権限とプロセスの空間をかえてるわけで(Linuxの場合)
非特権ユーザは、特権ユーザのセグメントには不可侵なのだ。
普通はこうした処理はCPU内のセグメントの権限管理を利用していて、
Ia-32アーキテクチャでは2bitの権限設定をもっています。
つまり、ハード的に特権ユーザは守られてるの。
644 :名無しさん@4周年:04/02/07 04:49 ID:UNEfDC6r
>>639
あんたこそOSわかってないでしょ
生成されたプロセスが終了する時は、親にretするんじゃなくて
forkされたプロセスが放棄されるだけ
無論リソースは回収されるが
そもそも、単に子プロセスがretする時にrootに権限昇格できるのであれば
ローカル権限持ってるユーザは誰でもrootになれるという事じゃん
Windows9xじゃないんだからさぁ(w
そんな仕組みがあったら立派な脆弱性だよ
あんたこそOSわかってないでしょ
生成されたプロセスが終了する時は、親にretするんじゃなくて
forkされたプロセスが放棄されるだけ
無論リソースは回収されるが
そもそも、単に子プロセスがretする時にrootに権限昇格できるのであれば
ローカル権限持ってるユーザは誰でもrootになれるという事じゃん
Windows9xじゃないんだからさぁ(w
そんな仕組みがあったら立派な脆弱性だよ
645 :名無しさん@4周年:04/02/07 04:49 ID:AcZf9d0q
>642
順番としては、
(1)「河合容疑者がaccsに不正アクセスした」(事前に確認)
(2)「河合容疑者がaccsに不正アクセスした」&「河合容疑者がイベントで個人情報を公開した」
(3)「その情報の入手方法が2chに晒された」
順番としては、
(1)「河合容疑者がaccsに不正アクセスした」(事前に確認)
(2)「河合容疑者がaccsに不正アクセスした」&「河合容疑者がイベントで個人情報を公開した」
(3)「その情報の入手方法が2chに晒された」
返答ないよ…orz
647 :名無しさん@4周年:04/02/07 04:49 ID:vH7CzGK9
>642
1つ1つ別の事件でばらばらに別人が逮捕されています
1つ1つ別の事件でばらばらに別人が逮捕されています
>>638
CGIの引数にCGIの仕様にないファイル名を入れた瞬間
つかなんとなくチキン君のいいたいことが分かってきたような気が
チキン君1行コメントしかしないんで類推するしかないのがつらいんだが
つまりチキン君の考えでは
特定の引数をいれていっぺんrootを奪って、その上でファイルにアクセス可能
になるような、実際のアクセスに2段階必要なセキュリティーホールを利用する
のが不正アクセス
特定の引数をいれてることによって直接ファイルにアクセス可能になるような
実際のアクセスが1段階で出来るセキュリティーホールを利用するのは
不正アクセスではない
こういうことか
CGIの引数にCGIの仕様にないファイル名を入れた瞬間
つかなんとなくチキン君のいいたいことが分かってきたような気が
チキン君1行コメントしかしないんで類推するしかないのがつらいんだが
つまりチキン君の考えでは
特定の引数をいれていっぺんrootを奪って、その上でファイルにアクセス可能
になるような、実際のアクセスに2段階必要なセキュリティーホールを利用する
のが不正アクセス
特定の引数をいれてることによって直接ファイルにアクセス可能になるような
実際のアクセスが1段階で出来るセキュリティーホールを利用するのは
不正アクセスではない
こういうことか
>>643
あと、たまにwindows等で権限が上る致命的なバグが発見ってのがあるけど、
それが管理者権限でのプロセスの実行を可能にするような穴。
でも、これは基本的にバッファフローなんてことでは起きず、
クリティカルリージョンでのミス等で起きるのがほとんど。ようはタイミングでおこるわけ。
あと、たまにwindows等で権限が上る致命的なバグが発見ってのがあるけど、
それが管理者権限でのプロセスの実行を可能にするような穴。
でも、これは基本的にバッファフローなんてことでは起きず、
クリティカルリージョンでのミス等で起きるのがほとんど。ようはタイミングでおこるわけ。
20分もかかるような難しい問題ではなかろう…orz
>>653
あい、おつかれ
あい、おつかれ
655 :名無しさん@4周年:04/02/07 05:09 ID:nHflVB7t
これ読んでね。
859 :名無しさん@4周年 :04/02/06 20:00 ID:r5LDRHzz
>>854
セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
今回のケースではバッファオーバーランにおけるバッファを溢れさせるまでのパケットに該当するデータの送信がないでしょ。
だから不正アクセス防止法には触れない。当然起訴は無理。
859 :名無しさん@4周年 :04/02/06 20:00 ID:r5LDRHzz
>>854
セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。
バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。
今回のケースではバッファオーバーランにおけるバッファを溢れさせるまでのパケットに該当するデータの送信がないでしょ。
だから不正アクセス防止法には触れない。当然起訴は無理。
656 :名無しさん@4周年:04/02/07 05:14 ID:Nu/rpuOe
もう釈放されたの?必死に擁護してるのはオヒスでしょ?
とりあえず40分待ってみた…レスこなーい♪
寝ますわいな。ではー
寝ますわいな。ではー
658 :名無しさん@4周年:04/02/07 05:21 ID:nHflVB7t
>>656
昨日のニュースによると黙秘しているということだったんでまだ釈放になってないんじゃない?
昨日のニュースによると黙秘しているということだったんでまだ釈放になってないんじゃない?
659 :名無しさん@4周年:04/02/07 07:23 ID:oWgN+YkR
不正アクセス行為の3だね。
電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に
電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為
状態にさせる行為とされていて利用する行為とはされてない。
1、2、は今回と関係ないから規定されてる不正アクセス行為に今回の行為は該当せず。
電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に
電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為
状態にさせる行為とされていて利用する行為とはされてない。
1、2、は今回と関係ないから規定されてる不正アクセス行為に今回の行為は該当せず。
660 :名無しさん@4周年:04/02/07 07:45 ID:jfyCjqLg
わざわざセミナーみたいのを開く。
その参加者がわざわざ2chにうpする。
という状況だけでも、普通は許可されていない人間が
アクセスできないようになっている、と言えるわな。
その参加者がわざわざ2chにうpする。
という状況だけでも、普通は許可されていない人間が
アクセスできないようになっている、と言えるわな。
前スレの773って言ってること滅茶苦茶だな。
格好悪いよあいつ。
格好悪いよあいつ。
今回の事件って問題とされるべきoffice氏の行動は某会場での個人情報晒
しであって、これはそのまま晒す必要がない訳だからマスコミで報道されてる
ように功名心みたいな部分は否定できないかなぁと。
でもACCSとそのHPの管理会社が本来必要でない個人情報を集めていた事
と、約1200人もの個人情報をセキュリティ上の脆弱性によって危険に晒して
いたことについて
「スマン!(・∀・)」
「反省してまつ(ノ∀`)」
と口だけで、済ましているのが納得いかないんだよなぁ。
office氏をスケープゴートにして批判をそらしてるみたいな印象がするんですよ。
1200人もの個人情報をネット上で晒しものにしてたACCSはもっと自身で反省
するべき事があるんじゃないですかねぇ。
宇治市の個人情報流出の時って賠償一人当り15000円ぐらいでしたっけ?
本来は全員訴訟をおこしたら1200人×15000=1800万円というぐらいの大
事だと思うんですけど。
まぁ、実際は全員訴訟なんてありえませんけどね。
でも、全員訴訟起こりそうになったら
「個人情報が流出したのは実際は4人だけで大した問題ではありません」
とか言ったりして…まさかね(ノ∀`)
しであって、これはそのまま晒す必要がない訳だからマスコミで報道されてる
ように功名心みたいな部分は否定できないかなぁと。
でもACCSとそのHPの管理会社が本来必要でない個人情報を集めていた事
と、約1200人もの個人情報をセキュリティ上の脆弱性によって危険に晒して
いたことについて
「スマン!(・∀・)」
「反省してまつ(ノ∀`)」
と口だけで、済ましているのが納得いかないんだよなぁ。
office氏をスケープゴートにして批判をそらしてるみたいな印象がするんですよ。
1200人もの個人情報をネット上で晒しものにしてたACCSはもっと自身で反省
するべき事があるんじゃないですかねぇ。
宇治市の個人情報流出の時って賠償一人当り15000円ぐらいでしたっけ?
本来は全員訴訟をおこしたら1200人×15000=1800万円というぐらいの大
事だと思うんですけど。
まぁ、実際は全員訴訟なんてありえませんけどね。
でも、全員訴訟起こりそうになったら
「個人情報が流出したのは実際は4人だけで大した問題ではありません」
とか言ったりして…まさかね(ノ∀`)
663 :名無しさん@4周年:04/02/07 09:25 ID:+DB9Xnmg
あえて一つの解釈に持っていかなくても、複数の解釈を上げておいて(弁護側(複数可)、検察側)
争わせたときに、どうやって相手の主張をくずすかも考えておいた方がいいかも。
あと、これを機にどうするか、が一番重要かと。
争わせたときに、どうやって相手の主張をくずすかも考えておいた方がいいかも。
あと、これを機にどうするか、が一番重要かと。
おはよう。眠いね。昨日の論戦のまとめはどんな感じ?
665 :名無しさん@4周年:04/02/07 09:44 ID:SdhyEyWg
仕様書がなきゃプログラムは書けないとでも思ってるのかね。
プログラムはプログラムだ。
プログラムはプログラムだ。
666 :名無しさん@4周年:04/02/07 09:47 ID:nHflVB7t
>>662
全員が訴訟を起こさなくても、全員に賠償しなきゃならなくなんじゃない?
>>659
それは全く関係ない。アクセス制御用のコンピュータが別にある場合について定めた条文だよ。
今回の場合、アクセス制御用の別のコンピュータなんてないし。
全員が訴訟を起こさなくても、全員に賠償しなきゃならなくなんじゃない?
>>659
それは全く関係ない。アクセス制御用のコンピュータが別にある場合について定めた条文だよ。
今回の場合、アクセス制御用の別のコンピュータなんてないし。
667 :名無しさん@4周年:04/02/07 09:51 ID:1MiV5KMV
668 :名無しさん@4周年:04/02/07 09:56 ID:nHflVB7t
まとめサイトみたけど、ファーストサーバってセキュリティホールを故意に放置していたんだ。
こっちも検挙されるかもね。あとACCSは当初office意外の人間はデータの読み出しをしていないと発表していたのに、
警察によると他の人によるハッキングもあったという。
これって情報隠蔽工作があったってことじゃないかな?
ACCSと管理会社の徹底した責任追求が必要な悪寒。
こっちも検挙されるかもね。あとACCSは当初office意外の人間はデータの読み出しをしていないと発表していたのに、
警察によると他の人によるハッキングもあったという。
これって情報隠蔽工作があったってことじゃないかな?
ACCSと管理会社の徹底した責任追求が必要な悪寒。
669 :名無しさん@4周年:04/02/07 10:00 ID:nHflVB7t
ヨセフアンドレオンの声明とか
http://216.239.57.104/search?q=cache:GMVUonNztOUJ:www.josephandleon.co.jp/seimei.html+&hl=ja&lr=lang_ja&ie=UTF-8
取引先リスト変遷とか
一昨日
http://216.239.57.104/search?q=cache:3x1k61esyMsJ:www.josephandleon.co.jp/kaisha.html+%E3%83%A8%E3%82%BB%E3%83%95%E3%82%A2%E3%83%B3%E3%83%89%E3%83%AC%E3%82%AA%E3%83%B3+%E4%B8%BB%E3%81%AA%E5%8F%96%E5%BC%95%E5%85%88&hl=ja&ie=UTF-8
本日
http://www.josephandleon.co.jp/kaisha.html
ヨセフ関連情報はまとめないの?
http://216.239.57.104/search?q=cache:GMVUonNztOUJ:www.josephandleon.co.jp/seimei.html+&hl=ja&lr=lang_ja&ie=UTF-8
取引先リスト変遷とか
一昨日
http://216.239.57.104/search?q=cache:3x1k61esyMsJ:www.josephandleon.co.jp/kaisha.html+%E3%83%A8%E3%82%BB%E3%83%95%E3%82%A2%E3%83%B3%E3%83%89%E3%83%AC%E3%82%AA%E3%83%B3+%E4%B8%BB%E3%81%AA%E5%8F%96%E5%BC%95%E5%85%88&hl=ja&ie=UTF-8
本日
http://www.josephandleon.co.jp/kaisha.html
ヨセフ関連情報はまとめないの?
670 :名無しさん@4周年:04/02/07 10:01 ID:z1FSkgj8
仕様に無いって?朝方まで何馬鹿なこと言ってんだ。
ユーザーに仕様書公開してたとでも言うのかね。
そーかそんなの一般人は契約結んでないから制限うけないじゃん。アホか。
ユーザーに仕様書公開してたとでも言うのかね。
そーかそんなの一般人は契約結んでないから制限うけないじゃん。アホか。
671 :名無しさん@4周年:04/02/07 10:04 ID:z1FSkgj8
きちんとACCSとヨセフアンドレオンの企業としてのモラルの無さが
放置されてる現状が一番問題。
放置されてる現状が一番問題。
672 :671:04/02/07 10:07 ID:z1FSkgj8
>>656
必死になっているのは真似して実行してしまった子だろ。
Unixやファイルシステムについての知識が誤っているし
憧れのハカーofficeさんの公演を見て真似してやっちまって慌てているんだろう。
必死になっているのは真似して実行してしまった子だろ。
Unixやファイルシステムについての知識が誤っているし
憧れのハカーofficeさんの公演を見て真似してやっちまって慌てているんだろう。
674 :名無しさん@4周年:04/02/07 10:10 ID:V28vSRk1
-,---γ''''''''--_
/ ;;; ;;;;;;ミミ ミミ \
/ ;;; ;;;;;; ミミミミミミミミミ \
( (( ( ( ( ( ( ( ミミミミミミミミ从ミ
///ノノノノノノ从 ミミミミミミミミミヽミ
//ノノノノ 〓〓ノ 〓〓ミミミミノ从
ノノ;ミ;ミミ -=・=- -=・=- ミミノ从
ミ;ミミミ | |ミミミ
.ミミ从 /ミミ
. ミミ:|. ヽ . ∨ / |ミミ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ミミ ! ー===-' ! ./ミミ < 一生懸命になればいい〜♪
ミミヽ  ̄ ノミミ \________
−−
/ ;;; ;;;;;;ミミ ミミ \
/ ;;; ;;;;;; ミミミミミミミミミ \
( (( ( ( ( ( ( ( ミミミミミミミミ从ミ
///ノノノノノノ从 ミミミミミミミミミヽミ
//ノノノノ 〓〓ノ 〓〓ミミミミノ从
ノノ;ミ;ミミ -=・=- -=・=- ミミノ从
ミ;ミミミ | |ミミミ
.ミミ从 /ミミ
. ミミ:|. ヽ . ∨ / |ミミ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ミミ ! ー===-' ! ./ミミ < 一生懸命になればいい〜♪
ミミヽ  ̄ ノミミ \________
−−
675 :名無しさん@4周年:04/02/07 10:38 ID:r0AXkjbJ
施工ミスは追及しないと。
677 :名無しさん@4周年:04/02/07 10:42 ID:oTHPo2UT
3-2-2じゃ無理ね。
他の条文にあてはならないかね。
他の条文にあてはならないかね。
678 :名無しさん@4周年:04/02/07 10:53 ID:zK4s7P8i
外部からセキュリティホールを突いて侵入してきた男が、校内で児童を殺傷し被害を与えた場合
男は刑事罰を受ける事になりますが、それに加えて管理者としての学校側にも親たちは今のご時世なら
管理者責任を民事(酷い場合は刑事)で追求しますよね。
ですから学校側がいくら会見で犯人の男を非難してもそれは問題の本質をそらそうとするまやかしに
しか見えないわけです。
男は刑事罰を受ける事になりますが、それに加えて管理者としての学校側にも親たちは今のご時世なら
管理者責任を民事(酷い場合は刑事)で追求しますよね。
ですから学校側がいくら会見で犯人の男を非難してもそれは問題の本質をそらそうとするまやかしに
しか見えないわけです。
680 :名無しさん@4周年:04/02/07 11:06 ID:4pBjx+t2
681 :名無しさん@4周年:04/02/07 11:08 ID:vurMG0vJ
おはよー
ところでさ
>プログラム開発会社欠陥の詳細、未公表
>欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
>しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
>情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
>同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへの移行を顧客に促してきた。
>しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。
制作者が脆弱性を把握してて新しいプログラムまで作ってる状態って既に過去のファイルがそういう仕様であると制作者が認めてるも同然なような気もするなあ
まあ、感覚的な問題でストレートに法律には関係ないけどねえ
ところでさ
>プログラム開発会社欠陥の詳細、未公表
>欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
>しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
>情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
>同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへの移行を顧客に促してきた。
>しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。
制作者が脆弱性を把握してて新しいプログラムまで作ってる状態って既に過去のファイルがそういう仕様であると制作者が認めてるも同然なような気もするなあ
まあ、感覚的な問題でストレートに法律には関係ないけどねえ
682 :名無しさん@4周年:04/02/07 11:14 ID:AKZ7x65C
この法律は穴を開ける行為そのものが問われてる。
穴を開けたのは容疑者じゃない。その穴を利用しただけ。
よって違法性は問えない。
とりあえず、これがストレートな考え方。
しかし法律は解釈や運用が重要なので、場合によっては問えるかもしれない。
ま、スレの違法派の意見の中にはftpやtelnetのアクセス制御回避だと言う
おばかさんもいるので注意。
穴を開けたのは容疑者じゃない。その穴を利用しただけ。
よって違法性は問えない。
とりあえず、これがストレートな考え方。
しかし法律は解釈や運用が重要なので、場合によっては問えるかもしれない。
ま、スレの違法派の意見の中にはftpやtelnetのアクセス制御回避だと言う
おばかさんもいるので注意。
683 :名無しさん@4周年:04/02/07 11:33 ID:7VDnR7V7
不正アクセス行為の禁止等に関する法律3-2-3
>その制限されている特定利用をし得る状態にさせる行為
これの解釈は、セキュリティホールがあった場合に、それを突いてアクセス
すること自体を制限するもの(言い換えれば、アクセスしても何もサーバに
害悪を及ぼさなければ犯罪にならない、という状況を回避する)という解釈が
妥当だと思いますよ。アクセスして、制限されている行為が出来る状態に
なったところでアウトってこと。
当該セキュリティホールを持つプログラムを設置した行為の責任が問われて
いるというのは拡大解釈、というよりちょっと無理な解釈かと。
そのような行為に対する規定は第五条でしょう。
>その制限されている特定利用をし得る状態にさせる行為
これの解釈は、セキュリティホールがあった場合に、それを突いてアクセス
すること自体を制限するもの(言い換えれば、アクセスしても何もサーバに
害悪を及ぼさなければ犯罪にならない、という状況を回避する)という解釈が
妥当だと思いますよ。アクセスして、制限されている行為が出来る状態に
なったところでアウトってこと。
当該セキュリティホールを持つプログラムを設置した行為の責任が問われて
いるというのは拡大解釈、というよりちょっと無理な解釈かと。
そのような行為に対する規定は第五条でしょう。
>>682
解釈の根拠となる文献示してくれ。
解釈の根拠となる文献示してくれ。
685 :名無しさん@4周年:04/02/07 11:42 ID:E/cpqR3K
686 :名無しさん@4周年:04/02/07 11:50 ID:zK4s7P8i
ついでに言うと、被害者とは私的な情報を公のものとされた方たちであり
間違ってもサーバー提供会社や実質的な管理会社・著作権管理団体などではありません。
彼らは信用を失っただとかメンツを潰されたというような被害はありますが
いずれも私的な情報の流出に遭った方に比べれば些細な問題です。
セキュリティホール通報者の処遇や不正アクセス防止法の適用についても
まず被害者の意向を第一に尊重すべきでしょうね。
被害者の方も正しい被害者意識を持って、被った損害を請求すべきです。
間違ってもサーバー提供会社や実質的な管理会社・著作権管理団体などではありません。
彼らは信用を失っただとかメンツを潰されたというような被害はありますが
いずれも私的な情報の流出に遭った方に比べれば些細な問題です。
セキュリティホール通報者の処遇や不正アクセス防止法の適用についても
まず被害者の意向を第一に尊重すべきでしょうね。
被害者の方も正しい被害者意識を持って、被った損害を請求すべきです。
687 :名無しさん@4周年:04/02/07 11:52 ID:7VDnR7V7
>>684
もしかして私に言ってるのでしょうか?(でなければごめんなさいね)
丁度いいので根拠も示しておきますね。この第三条は三項からなりますが、
条文を読めば、どの項目でも同じ表現を用いていることが分かります。
一部引用しますと、
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計
算機を作動させ、当該アクセス制御機能により制限されている特定利用
をし得る状態にさせる行為
この条文は、他人のパスとIDを使って不正にログインしたら、ログインした
だけで罪に問いますよと解釈できます。ログインプログラムの設置を罪に
問うとはどうやっても解釈できません。第三項も同じ事で、法の意図する
ところは第三条を通じて明白です。
あと、第三条の条文だけでも、プログラムの設置が含まれると解釈するのは
無理があります。
#>その制限を免れることができる情報又は指令を【入力】して
#>当該特定電子計算機を作動させ、
#のあたり。
もしかして私に言ってるのでしょうか?(でなければごめんなさいね)
丁度いいので根拠も示しておきますね。この第三条は三項からなりますが、
条文を読めば、どの項目でも同じ表現を用いていることが分かります。
一部引用しますと、
一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計
算機を作動させ、当該アクセス制御機能により制限されている特定利用
をし得る状態にさせる行為
この条文は、他人のパスとIDを使って不正にログインしたら、ログインした
だけで罪に問いますよと解釈できます。ログインプログラムの設置を罪に
問うとはどうやっても解釈できません。第三項も同じ事で、法の意図する
ところは第三条を通じて明白です。
あと、第三条の条文だけでも、プログラムの設置が含まれると解釈するのは
無理があります。
#>その制限を免れることができる情報又は指令を【入力】して
#>当該特定電子計算機を作動させ、
#のあたり。
だからさ、おひすのことばかりじゃなくて、ACCSとファーストサーバとヨセフをなんとか懲らしめたいよ。
特にヨセフ!DQNすぎ
特にヨセフ!DQNすぎ
689 :名無しさん@4周年:04/02/07 11:55 ID:4pBjx+t2
>当該セキュリティホールを持つプログラムを設置した行為の責任が問われて
>いるというのは拡大解釈、というよりちょっと無理な解釈かと。
じゃなくて、最初は管理者は「仕様じゃなくてセキュリティホール」と強弁できても(今回はどうかしらんが一般にはプログラム作った側は責任追及されないよう
「セキュリティホールじゃなくて仕様」というから管理者や警察の強弁なのだ)その状態を認識しつつ放置した管理者はいくらなんでも駄目でしょということ。
>いるというのは拡大解釈、というよりちょっと無理な解釈かと。
じゃなくて、最初は管理者は「仕様じゃなくてセキュリティホール」と強弁できても(今回はどうかしらんが一般にはプログラム作った側は責任追及されないよう
「セキュリティホールじゃなくて仕様」というから管理者や警察の強弁なのだ)その状態を認識しつつ放置した管理者はいくらなんでも駄目でしょということ。
1.鍵のかかっていないドアから侵入した。
2.合鍵を入手して侵入した。
3.ピッキングで侵入した。
一番罪が重いのはどれ?
2.合鍵を入手して侵入した。
3.ピッキングで侵入した。
一番罪が重いのはどれ?
691 :名無しさん@4周年:04/02/07 11:55 ID:nHflVB7t
>>683
バッファオーバーフローのようなセキュリティーホールに対しては適用されるが、単なる設定ミスは保護されんのよ。
五条は罰則ないでしょ。五条の趣旨を踏まえて四条を解釈しないと意味がない。
ハッキングの九割は内部者の犯行であるという統計上の数字も踏まえてね。
>>655をちゃんと読め。
バッファオーバーフローのようなセキュリティーホールに対しては適用されるが、単なる設定ミスは保護されんのよ。
五条は罰則ないでしょ。五条の趣旨を踏まえて四条を解釈しないと意味がない。
ハッキングの九割は内部者の犯行であるという統計上の数字も踏まえてね。
>>655をちゃんと読め。
692 :名無しさん@4周年:04/02/07 11:56 ID:7/zPOcbr
でさ、現実問題、
root権限だのパーミッションがどうだのバッファオーバーフローがどうだのって
理解出来る裁判官っているのかな?
root権限だのパーミッションがどうだのバッファオーバーフローがどうだのって
理解出来る裁判官っているのかな?
693 :名無しさん@4周年:04/02/07 12:00 ID:emRIUPd4
694 :名無しさん@4周年:04/02/07 12:00 ID:7VDnR7V7
>>689
別にそれを否定してるわけじゃないですが。
>>632の様には解釈できないと言ってるだけでね。
だからあなたの言うように、争点は「アクセス制御があったかどうか?」
になると思います。
>>691
ちゃんと読めと言われても(苦笑
>>655に反論した覚えは全くないんですが。
別にそれを否定してるわけじゃないですが。
>>632の様には解釈できないと言ってるだけでね。
だからあなたの言うように、争点は「アクセス制御があったかどうか?」
になると思います。
>>691
ちゃんと読めと言われても(苦笑
>>655に反論した覚えは全くないんですが。
HTTPはそもそも公開することが目的の仕組みなんだから、
鍵のかかってない家への侵入つー比喩はおかしいんじゃ?
鍵のかかってない家への侵入つー比喩はおかしいんじゃ?
696 :名無しさん@4周年:04/02/07 12:02 ID:nHflVB7t
>>694
いや、>>655に本当の意味でのセキュリティーホールであるたとえばバッファオーバーフローと実際はたんなる設定ミスである場合との違いと条文の文言の関係が書いてあるから。
読めばわかるでしょ。
いや、>>655に本当の意味でのセキュリティーホールであるたとえばバッファオーバーフローと実際はたんなる設定ミスである場合との違いと条文の文言の関係が書いてあるから。
読めばわかるでしょ。
697 :名無しさん@4周年:04/02/07 12:06 ID:7VDnR7V7
>>696
いや、だから>>683読んでよ。
多分あなたが反論されたと思ってるようなことは一言も言ってないから。
私が言ったのは、>>682の解釈は無理、って、それだけ。
あと>>694のなか、レスアンカー間違いね。>>682だ。
いや、だから>>683読んでよ。
多分あなたが反論されたと思ってるようなことは一言も言ってないから。
私が言ったのは、>>682の解釈は無理、って、それだけ。
あと>>694のなか、レスアンカー間違いね。>>682だ。
698 :名無しさん@4周年:04/02/07 12:06 ID:E/cpqR3K
>>691
だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて
、ファイルが見えたレベルじゃないよ。
ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見え
ないんだぞ
だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて
、ファイルが見えたレベルじゃないよ。
ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見え
ないんだぞ
699 :名無しさん@4周年:04/02/07 12:08 ID:emRIUPd4
>>692
めんどくさいから、サーバーの管理人が公開している侵入方法
以外で入ってきたら、家宅侵入罪のような形で責任を問えば良いんじゃ。
加えて、データ取得や削除をした場合は器物破損罪を適用する。
家宅=サーバー、器物=データとそれぞれ法改正してからだが。
わけのわからん法律増やすより良いだろ。
めんどくさいから、サーバーの管理人が公開している侵入方法
以外で入ってきたら、家宅侵入罪のような形で責任を問えば良いんじゃ。
加えて、データ取得や削除をした場合は器物破損罪を適用する。
家宅=サーバー、器物=データとそれぞれ法改正してからだが。
わけのわからん法律増やすより良いだろ。
家じゃなくて、ホテルのロビーって考えればいいのにね。
無能な受け付けが言われるがままに重要な書類を取ってきちゃう。
普通の人は自分の部屋の案内しか要求しないけど、実はどんな書類も見せちゃうの。
無能な受け付けが言われるがままに重要な書類を取ってきちゃう。
普通の人は自分の部屋の案内しか要求しないけど、実はどんな書類も見せちゃうの。
まだアウトだとかセーフだとかやってんのかよ。
をまいらは最初から有罪にするつもりで逮捕したんだろうというのが読めないのか?
をまいらは最初から有罪にするつもりで逮捕したんだろうというのが読めないのか?
702 :名無しさん@4周年:04/02/07 12:09 ID:4pBjx+t2
>>694
>だからあなたの言うように、争点は「アクセス制御があったかどうか?」
>になると思います。
違う。
漏れがいってるのは、争点になるとしたら「仕様か回避か」だが、そもそも管理者の意図どおりの利用なので争点などないってこと。
>だからあなたの言うように、争点は「アクセス制御があったかどうか?」
>になると思います。
違う。
漏れがいってるのは、争点になるとしたら「仕様か回避か」だが、そもそも管理者の意図どおりの利用なので争点などないってこと。
703 :名無しさん@4周年:04/02/07 12:13 ID:7VDnR7V7
>>702
あ〜。
>争点になるとしたら「仕様か回避か」
>争点は「アクセス制御があったかどうか?」
全く同じですよ。どうでもいいけど。
仕様だという主張は、「アクセス制限は無い、仕様だから」と同義。
回避だと主張すれば、その回避したアクセス制限があったと言ってるわけで。
あ〜。
>争点になるとしたら「仕様か回避か」
>争点は「アクセス制御があったかどうか?」
全く同じですよ。どうでもいいけど。
仕様だという主張は、「アクセス制限は無い、仕様だから」と同義。
回避だと主張すれば、その回避したアクセス制限があったと言ってるわけで。
どこからもリンクされていないURLがあって、作成者は心の中で
そこのアクセスはリンクが無いことにより保護されていると
考えている。そこにアクセスがあったら訴えてよい。ってことかな。
そこのアクセスはリンクが無いことにより保護されていると
考えている。そこにアクセスがあったら訴えてよい。ってことかな。
705 :名無しさん@4周年:04/02/07 12:16 ID:TV0zAI+7
>セキュリティコントロールを全く行っていないプロバイダ,組織においては,そもそも全てのアクセスが適法なアクセスになると考えるのが適当です。
>例えば,root のパスワードをシステムの導入時から変更していない,パスワードが設定されていないアカウント,利用者IDが``guest''でパスワードが``guest''といったアカウントがあるなどの場合は,
>アクセス制御機能がないと判断され,そもそも不正アクセスの問題にならない可能性もあります。
↑これは解釈の一つたが、このCGIには条文に定める所のアクセスコントロールが無いし、
不正アクセス禁止法はきついのでは?
(逆にユーザnobadyのアクセス権限を持っていると言えるが強引か?)
>例えば,root のパスワードをシステムの導入時から変更していない,パスワードが設定されていないアカウント,利用者IDが``guest''でパスワードが``guest''といったアカウントがあるなどの場合は,
>アクセス制御機能がないと判断され,そもそも不正アクセスの問題にならない可能性もあります。
↑これは解釈の一つたが、このCGIには条文に定める所のアクセスコントロールが無いし、
不正アクセス禁止法はきついのでは?
(逆にユーザnobadyのアクセス権限を持っていると言えるが強引か?)
706 :名無しさん@4周年:04/02/07 12:17 ID:nHflVB7t
>>697
今回のケースはセキュリティホールではなくて、設定ミスであるという前提で、
全然関係ないバッファオーバーフローによってハッキングされうるプログラムを設置した場合の話をしているのか?
複雑だなw
セキュリティーホールのあるプログラムを設置した場合であっても、それをあらかじめ知っていれば「特定利用をし得る状態にさせる行為」に該当しうるでしょ。
許可があったケースと考えうるかどうかは争点になるけれども。
今回の場合はセキュリティーホールではなくて、設定ミスなので「特定利用をし得る状態にさせる行為」そのものだし、放置した管理会社をより罪に問いやすいはず。
今回のケースはセキュリティホールではなくて、設定ミスであるという前提で、
全然関係ないバッファオーバーフローによってハッキングされうるプログラムを設置した場合の話をしているのか?
複雑だなw
セキュリティーホールのあるプログラムを設置した場合であっても、それをあらかじめ知っていれば「特定利用をし得る状態にさせる行為」に該当しうるでしょ。
許可があったケースと考えうるかどうかは争点になるけれども。
今回の場合はセキュリティーホールではなくて、設定ミスなので「特定利用をし得る状態にさせる行為」そのものだし、放置した管理会社をより罪に問いやすいはず。
707 :名無しさん@4周年:04/02/07 12:22 ID:7VDnR7V7
>>706
いやだから、
設定ミスあるいはセキュリティホールがあってね、それをあらかじめ
知っていたとして、また一般に知ることが出来たとして、
それは
「法の定めるアクセス制御機能を有さない。」
で、不正アクセス禁止法の適用外になり得ますが、
設置者に対して第三条の二の第三項を適用するのはどう考えたって無理です。
>>687参照
だから結局言いたいのは、間違った法の参照はやめてねってだけ。
いやだから、
設定ミスあるいはセキュリティホールがあってね、それをあらかじめ
知っていたとして、また一般に知ることが出来たとして、
それは
「法の定めるアクセス制御機能を有さない。」
で、不正アクセス禁止法の適用外になり得ますが、
設置者に対して第三条の二の第三項を適用するのはどう考えたって無理です。
>>687参照
だから結局言いたいのは、間違った法の参照はやめてねってだけ。
708 :名無しさん@4周年:04/02/07 12:22 ID:4pBjx+t2
>だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて、ファイルが見えたレベルじゃないよ。
".."でファイル見えたんじゃないの?だったら単純レベルだが。
>ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見えないんだぞ
それはまわりくどくhtmlを使ってアクセスする場合に面倒という話であって、httpを直接たたく場合には手間は同じ。
そもそも、アクセスが面倒かどうかは、telnet管理者が単純な設定ミスをしたかどうかには関係ない。
".."でファイル見えたんじゃないの?だったら単純レベルだが。
>ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見えないんだぞ
それはまわりくどくhtmlを使ってアクセスする場合に面倒という話であって、httpを直接たたく場合には手間は同じ。
そもそも、アクセスが面倒かどうかは、telnet管理者が単純な設定ミスをしたかどうかには関係ない。
709 :名無しさん@4周年:04/02/07 12:22 ID:JuZm0vHr
おまいら、ACCSの一件だけで盛り上がっていますが、
今頃当の本人は涙ぼろぼろ流して「余罪」を供述してるんだろうな。
今頃当の本人は涙ぼろぼろ流して「余罪」を供述してるんだろうな。
710 :名無しさん@4周年:04/02/07 12:24 ID:SdhyEyWg
711 :名無しさん@4周年:04/02/07 12:27 ID:zK4s7P8i
最後に、ITmediaの記事について。
貴方がたに出来る事はただひたすら被害者へ謝罪をするのみです。
決して説教などでは無いはずです。
余りに滑稽で最後まで読む事はとても出来ませんでした。
貴方がたに出来る事はただひたすら被害者へ謝罪をするのみです。
決して説教などでは無いはずです。
余りに滑稽で最後まで読む事はとても出来ませんでした。
712 :名無しさん@4周年:04/02/07 12:28 ID:nHflVB7t
>>707
だから設置者に適用できないのは条文の
「当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く」
が根拠になるわけで、設置した下請け業者であるファーストなんたらがアクセス管理者もしくは利用権者にあたるのであれば当然罪に問われることはない。
だけれども、そうでないとすれば、内部の人間のハッキング同様罪に問われる場合があるでしょ。
何を根拠として設置者が罰せられないと言っているのか意味不明。
だから設置者に適用できないのは条文の
「当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く」
が根拠になるわけで、設置した下請け業者であるファーストなんたらがアクセス管理者もしくは利用権者にあたるのであれば当然罪に問われることはない。
だけれども、そうでないとすれば、内部の人間のハッキング同様罪に問われる場合があるでしょ。
何を根拠として設置者が罰せられないと言っているのか意味不明。
713 :名無しさん@4周年:04/02/07 12:32 ID:JuZm0vHr
個人情報リストが通常アクセスできない場所に置いてあり、かつ
アクセス制限機能を回避する手段を用いて取得していたならば、
立派に不正アクセス禁止法第三条第二項に抵触します。
善意の第三者がそれを知らずにアクセスしたのであれば罪に問われない
可能性は高いですが、officeは当該情報が通常の方法でアクセスできない
ディレクトリに置かれている情報であることを認識した上で
取得したことは、取得した情報の性質や、offce自らがクラッキングの
一手法の実例として実演し、公開したことからも明らかです。
アクセス制限機能を回避する手段を用いて取得していたならば、
立派に不正アクセス禁止法第三条第二項に抵触します。
善意の第三者がそれを知らずにアクセスしたのであれば罪に問われない
可能性は高いですが、officeは当該情報が通常の方法でアクセスできない
ディレクトリに置かれている情報であることを認識した上で
取得したことは、取得した情報の性質や、offce自らがクラッキングの
一手法の実例として実演し、公開したことからも明らかです。
714 :名無しさん@4周年:04/02/07 12:34 ID:nHflVB7t
715 :名無しさん@4周年:04/02/07 12:35 ID:hrCserbH
>>713
が全てだな。
が全てだな。
716 :名無しさん@4周年:04/02/07 12:46 ID:4pBjx+t2
>officeは当該情報が通常の方法でアクセスできないディレクトリに置かれている情報であることを認識
officeの認識がどうだったかはしらんが、それが問題になるのは「当該情報が通常の方法でアクセスできないディレクトリに置かれて」いた場合だけ。
ところが当該情報はhttpという通常の方法でアクセスできるので、そもそも前提が成り立ってない。
アクセス方法であるhttpとマークアップ言語であるhtmlの区別ついてない厨は引っ込んでろ。
officeの認識がどうだったかはしらんが、それが問題になるのは「当該情報が通常の方法でアクセスできないディレクトリに置かれて」いた場合だけ。
ところが当該情報はhttpという通常の方法でアクセスできるので、そもそも前提が成り立ってない。
アクセス方法であるhttpとマークアップ言語であるhtmlの区別ついてない厨は引っ込んでろ。
officeは京大からも懲戒免職(「非常勤」だから解雇か)を食らうでしょうし、
一族の名誉を深く傷付けたことからも、親類からも排斥されるでしょう。
これだけの技術があるのだから、セキュリティ業界でやっていけるという
人もいますが、実際には行使した手法はオリジナリティの欠片もないありふれた
ものだし、動機も安易で子供じみたものであり、逮捕時には堂々とするどころか
フードで顔を隠すなど、終わってみれば全国規模で恥を晒しただけのことで、
嘲笑の対象にこそなれ誰もセキュリティ関係で彼と関わろうなどとは考えない
でしょう。
一族の名誉を深く傷付けたことからも、親類からも排斥されるでしょう。
これだけの技術があるのだから、セキュリティ業界でやっていけるという
人もいますが、実際には行使した手法はオリジナリティの欠片もないありふれた
ものだし、動機も安易で子供じみたものであり、逮捕時には堂々とするどころか
フードで顔を隠すなど、終わってみれば全国規模で恥を晒しただけのことで、
嘲笑の対象にこそなれ誰もセキュリティ関係で彼と関わろうなどとは考えない
でしょう。
718 :名無しさん@4周年:04/02/07 12:49 ID:+ud/Nm+M
設定ミスだろ。自分たちの技術レベルの低さを棚にあげてひどいね。
レベルの低い会社はインターネットには繋ぐなということか。
レベルの低い会社はインターネットには繋ぐなということか。
719 :名無しさん@4周年:04/02/07 12:52 ID:hrCserbH
便乗した人もご愁傷様。
/\
/ ::::\
/ ::::\
/ ::::\
/ ⊂○⊃ ⊂○⊃::\
/ ω ....:::::::::\
/ ∀ ::::::::::::::::::::\
| / :::::::::::::::::::\ :::::|
| ...:::| ::::::::::::::::::|....:::::|
 ̄| ̄:::::::::................x......::::::::::::::::::: ̄| ̄
|_/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\__|
/ ::::\
/ ::::\
/ ::::\
/ ⊂○⊃ ⊂○⊃::\
/ ω ....:::::::::\
/ ∀ ::::::::::::::::::::\
| / :::::::::::::::::::\ :::::|
| ...:::| ::::::::::::::::::|....:::::|
 ̄| ̄:::::::::................x......::::::::::::::::::: ̄| ̄
|_/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\__|
721 :名無しさん@4周年:04/02/07 12:54 ID:+ud/Nm+M
自分に過失があっても、
騒ぎ立てれば馬鹿が擁護してくれてなんとかなるってことか。
嫌な世の中だねえ。
騒ぎ立てれば馬鹿が擁護してくれてなんとかなるってことか。
嫌な世の中だねえ。
722 :名無しさん@4周年:04/02/07 13:00 ID:E/cpqR3K
>>708
>それはめんどくさくhttpをたたくときも同じ
httpでPOSTするのは適正な範囲だから、まぬがれる行為にならない
と言っているのか?
その論理ならhttpを使用した脆弱性をつく攻撃はどれも3-2-2が適
用されん罠
>それはめんどくさくhttpをたたくときも同じ
httpでPOSTするのは適正な範囲だから、まぬがれる行為にならない
と言っているのか?
その論理ならhttpを使用した脆弱性をつく攻撃はどれも3-2-2が適
用されん罠
723 :名無しさん@4周年:04/02/07 13:03 ID:StDmSd4c
バッファオーバーランは
memcpy(to, from, MIN(tolen, fromlen)) が間違って memcpy(to, from, fromlen) になってる類のバグ。
これをやると想定したバッファ移行のメモリ領域を触ることで様々なことができるようになる。
そういうセキュリティホール。
今回は
if (file_access_check(filepath) == OK) open(filename) のifが無いような類のバグ。
これをやると、想定しているファイル以外のファイルの閲覧ができるようになる。
今回のはそういうセキュリティホール。
設定ミスではなく、バグに起因するセキュリティホール。
memcpy(to, from, MIN(tolen, fromlen)) が間違って memcpy(to, from, fromlen) になってる類のバグ。
これをやると想定したバッファ移行のメモリ領域を触ることで様々なことができるようになる。
そういうセキュリティホール。
今回は
if (file_access_check(filepath) == OK) open(filename) のifが無いような類のバグ。
これをやると、想定しているファイル以外のファイルの閲覧ができるようになる。
今回のはそういうセキュリティホール。
設定ミスではなく、バグに起因するセキュリティホール。
724 :名無しさん@4周年:04/02/07 13:06 ID:7VDnR7V7
>>712
>何を根拠として設置者が罰せられないと言っているのか意味不明。
意味不明なのはこちらですよ・・・(泣
>設置者に対して第三条の二の第三項を適用するのはどう考えたって無理です。
↑これが「罰せられない」になっちゃうんですか・・・?
そんなこと一言も言ってないでしょうが・・・(泣
私何かあなたに悪いこと言いましたっけ?
>何を根拠として設置者が罰せられないと言っているのか意味不明。
意味不明なのはこちらですよ・・・(泣
>設置者に対して第三条の二の第三項を適用するのはどう考えたって無理です。
↑これが「罰せられない」になっちゃうんですか・・・?
そんなこと一言も言ってないでしょうが・・・(泣
私何かあなたに悪いこと言いましたっけ?
725 :名無しさん@4周年:04/02/07 13:06 ID:StDmSd4c
>>723
ちょっと補足すると、memcpyの場合は引数を無駄に伸ばしてfromlenを意図的に操作する必要がある。
openの場合は、filenameを予想かあるいは何らかの情報に基づいて意図的に操作する必要がある。
どちらもバグを突く意図がないとセキュリティホールとして機能しない。
ちょっと補足すると、memcpyの場合は引数を無駄に伸ばしてfromlenを意図的に操作する必要がある。
openの場合は、filenameを予想かあるいは何らかの情報に基づいて意図的に操作する必要がある。
どちらもバグを突く意図がないとセキュリティホールとして機能しない。
726 :名無しさん@4周年:04/02/07 13:08 ID:4pBjx+t2
>>722
>>708
>それはめんどくさくhttpをたたくときも同じ
708にそんなことは書いてないんだが、コピペくらいできんかね?
>httpでPOSTするのは適正な範囲だから、まぬがれる行為にならない
>と言っているのか?
言ってないぞ、708では。
>>708
>それはめんどくさくhttpをたたくときも同じ
708にそんなことは書いてないんだが、コピペくらいできんかね?
>httpでPOSTするのは適正な範囲だから、まぬがれる行為にならない
>と言っているのか?
言ってないぞ、708では。
実は技術的にどーのこーのというのはさして問題ではなく。
・セキュリティホールの存在を管理者に通知していたかどうか
・相当な修正期間を管理者に与えた上で、それを公知のものとしたか
・公知によって発生する社会的影響が、管理者に限定されるようにしたか
(個人情報が漏洩させるなどの直接的かつ具体的な方法まで公知としたか)
これら1つでも欠けると、善意のセキュリティホール探索者という肩書きはなくなる。
・セキュリティホールの存在を管理者に通知していたかどうか
・相当な修正期間を管理者に与えた上で、それを公知のものとしたか
・公知によって発生する社会的影響が、管理者に限定されるようにしたか
(個人情報が漏洩させるなどの直接的かつ具体的な方法まで公知としたか)
これら1つでも欠けると、善意のセキュリティホール探索者という肩書きはなくなる。
>>724
言葉遊びしたいなら幼稚園へ行くといいですよ。
言葉遊びしたいなら幼稚園へ行くといいですよ。
729 :名無しさん@4周年:04/02/07 13:14 ID:7VDnR7V7
730 :名無しさん@4周年:04/02/07 13:22 ID:+ud/Nm+M
制限されている特定利用
あいまいな言葉だな
あいまいな言葉だな
731 :名無しさん@4周年:04/02/07 13:22 ID:TV0zAI+7
>>727
>・相当な修正期間を管理者に与えた上で、それを公知のものとしたか
これがセキュリティ業界にとっちゃ痛手かなと。
不正アクセス禁止法に当てはまるかどうかは俺はわからんが、
モラトリアム無視に怒りを感じる。
>・相当な修正期間を管理者に与えた上で、それを公知のものとしたか
これがセキュリティ業界にとっちゃ痛手かなと。
不正アクセス禁止法に当てはまるかどうかは俺はわからんが、
モラトリアム無視に怒りを感じる。
732 :名無しさん@4周年:04/02/07 13:23 ID:4pBjx+t2
>>723
>バッファオーバーランは
>memcpy(to, from, MIN(tolen, fromlen)) が間違って memcpy(to, from, fromlen) になってる類のバグ。
>これをやると想定したバッファ移行のメモリ領域を触ることで様々なことができるようになる。
で、「様々なこと」の一環として他に書いてあるアクセス制御機構のコードをすっとばしたりすると「回避」で違法。
>今回は
>if (file_access_check(filepath) == OK) open(filename) のifが無いような類のバグ。
>これをやると、想定しているファイル以外のファイルの閲覧ができるようになる。
「これをやると」という行為者はプログラマで、その結果「制御機構」がそもそも存在しないから、利用者には「回避」は不可能。
しかも、このifは「制御機構」ではあっても「不正アクセス禁止法」にいう「アクセス制御機構」じゃない。
アクセス制御機構とは「識別符号であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。」だからな。
なお、厨は、レスするまえに「識別符号」の意味を自分で調べること。きみに都合のいい定義にはなってない。
>バッファオーバーランは
>memcpy(to, from, MIN(tolen, fromlen)) が間違って memcpy(to, from, fromlen) になってる類のバグ。
>これをやると想定したバッファ移行のメモリ領域を触ることで様々なことができるようになる。
で、「様々なこと」の一環として他に書いてあるアクセス制御機構のコードをすっとばしたりすると「回避」で違法。
>今回は
>if (file_access_check(filepath) == OK) open(filename) のifが無いような類のバグ。
>これをやると、想定しているファイル以外のファイルの閲覧ができるようになる。
「これをやると」という行為者はプログラマで、その結果「制御機構」がそもそも存在しないから、利用者には「回避」は不可能。
しかも、このifは「制御機構」ではあっても「不正アクセス禁止法」にいう「アクセス制御機構」じゃない。
アクセス制御機構とは「識別符号であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。」だからな。
なお、厨は、レスするまえに「識別符号」の意味を自分で調べること。きみに都合のいい定義にはなってない。
>>728
くだらん煽りいれるな。突っ込みたいならちゃんと論理的に突っ込め。
くだらん煽りいれるな。突っ込みたいならちゃんと論理的に突っ込め。
735 :名無しさん@4周年:04/02/07 13:31 ID:SdhyEyWg
>>717
京大のことなんで、有罪が確定するまでは犯罪者扱いしないと思う。
京大のことなんで、有罪が確定するまでは犯罪者扱いしないと思う。
736 :名無しさん@4周年:04/02/07 13:32 ID:33xwVikt
ひさしぶりに戻ってきたけどやっぱりループしてる。
古いけど >>300
検察の主張はそんなもんだろ。
で、弁護側の主張は「バクではなくて仕様」。
仕様どおりの動作でファイルを取れるんだから、アクセス制御はなかった。
よって不正アクセスではない。
古いけど >>300
検察の主張はそんなもんだろ。
で、弁護側の主張は「バクではなくて仕様」。
仕様どおりの動作でファイルを取れるんだから、アクセス制御はなかった。
よって不正アクセスではない。
>>736
そりゃ立花書房も知らん連中しかおらんのだからループもするだろ。
そりゃ立花書房も知らん連中しかおらんのだからループもするだろ。
738 :名無しさん@4周年:04/02/07 13:34 ID:fV8gxwyE
>>733んじゃ
「設置者」は「アクセス管理者」と同一人もしくは、「アクセス管理者」の指示を受けて設置している。
したがって、第四条
> ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。
「設置者」は「アクセス管理者」と同一人もしくは、「アクセス管理者」の指示を受けて設置している。
したがって、第四条
> ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。
739 :名無しさん@4周年:04/02/07 13:34 ID:33xwVikt
類似ケースで不正アクセス禁止法で有罪になったケースがあると
思い込んでいるやつがいるみたいだけど、
俺はそんなケース見つけられていない。
あったら誰か教えてくれ。
唯一「2ショットチャット」が似ているケースかもしれんが、
「自作CGIプログラム」がどういう動作で認証をすり抜けたかどこにも
書いていないので実際にどやったのか分からない。
不正アクセス禁止法の他のほとんどのケースは、識別符号がらみだった。
今回のケースは識別符号が関係ないことはほぼ同意が取れている。
(ファイル名やディレクトリ名が識別符号という電波もいるにはいるが)
思い込んでいるやつがいるみたいだけど、
俺はそんなケース見つけられていない。
あったら誰か教えてくれ。
唯一「2ショットチャット」が似ているケースかもしれんが、
「自作CGIプログラム」がどういう動作で認証をすり抜けたかどこにも
書いていないので実際にどやったのか分からない。
不正アクセス禁止法の他のほとんどのケースは、識別符号がらみだった。
今回のケースは識別符号が関係ないことはほぼ同意が取れている。
(ファイル名やディレクトリ名が識別符号という電波もいるにはいるが)
740 :名無しさん@4周年:04/02/07 13:34 ID:4pBjx+t2
>>698
>だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて、ファイルが見えたレベルじゃないよ。
".."でファイル見えたんじゃないの?だったら単純レベルだが。
>ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見えないんだぞ
それはまわりくどくhtmlを使ってアクセスする場合に面倒という話であって、httpを直接たたく場合には手間は同じ。
そもそも、アクセスが面倒かどうかは、telnet管理者が単純な設定ミスをしたかどうかには関係ない。
>だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて、ファイルが見えたレベルじゃないよ。
".."でファイル見えたんじゃないの?だったら単純レベルだが。
>ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見えないんだぞ
それはまわりくどくhtmlを使ってアクセスする場合に面倒という話であって、httpを直接たたく場合には手間は同じ。
そもそも、アクセスが面倒かどうかは、telnet管理者が単純な設定ミスをしたかどうかには関係ない。
741 :名無しさん@4周年:04/02/07 13:34 ID:StDmSd4c
>>723
user名、パスワードでしょ。言いたいのは。
で
ttp://username@password:www.hoge.org/
ttp://www.hoge.org/username/password/
ttp://www.hoge.org/hoge.cgi?u=username&p=passowrd
の違いを良く考えてね。
ついでに
ttp://www.hoge.org/hoge.cgi?f=hogehoge
も。で、さらにhoge.cgiの引数がuとfの違いも。
すると識別符号と認証のための共有知識情報の意味が分かるよ。
アクセス制御機構ってのがどれくらい曖昧な言葉かも分かると思うよ。
user名、パスワードでしょ。言いたいのは。
で
ttp://username@password:www.hoge.org/
ttp://www.hoge.org/username/password/
ttp://www.hoge.org/hoge.cgi?u=username&p=passowrd
の違いを良く考えてね。
ついでに
ttp://www.hoge.org/hoge.cgi?f=hogehoge
も。で、さらにhoge.cgiの引数がuとfの違いも。
すると識別符号と認証のための共有知識情報の意味が分かるよ。
アクセス制御機構ってのがどれくらい曖昧な言葉かも分かると思うよ。
742 :名無しさん@4周年:04/02/07 13:36 ID:vurMG0vJ
>>727
>・セキュリティホールの存在を管理者に通知していたかどうか
それ以前に管理者というか制作者であるファーストサーバーはセキュリテイホールの存在を2002年に把握していたわけだよなあ
やっぱファーストサーバーとヨセフアンドレオンの責任は重いだろ
officeは有罪でかまわないけど上の二社もなんらかの罪に問われて欲しいもんだ
>・セキュリティホールの存在を管理者に通知していたかどうか
それ以前に管理者というか制作者であるファーストサーバーはセキュリテイホールの存在を2002年に把握していたわけだよなあ
やっぱファーストサーバーとヨセフアンドレオンの責任は重いだろ
officeは有罪でかまわないけど上の二社もなんらかの罪に問われて欲しいもんだ
743 :名無しさん@4周年:04/02/07 13:37 ID:/biTl2N9
結局これって、情報を盗まれた側の
スキル不足を棚に上げた逆ギレじゃないの?
スキル不足を棚に上げた逆ギレじゃないの?
744 :名無しさん@4周年:04/02/07 13:39 ID:StDmSd4c
オヒス→有罪
ファーストサーバ→有罪
ヨセフアンドレオン→有罪
ACCS→有罪
ダウソ厨→有罪
検証厨→ウザイし不正アクセスの疑いが常にかかるのでときどき逮捕→ときどき有罪ときどき厳重注意
一般人→無罪
ファーストサーバ→有罪
ヨセフアンドレオン→有罪
ACCS→有罪
ダウソ厨→有罪
検証厨→ウザイし不正アクセスの疑いが常にかかるのでときどき逮捕→ときどき有罪ときどき厳重注意
一般人→無罪
745 :名無しさん@4周年:04/02/07 13:39 ID:vurMG0vJ
>>727
補足ね〜
なんでこういう言い方をしてるかというと自分がユーザーだったサイトから自分の情報を抜かれるのは迷惑だし
ファーストサーバーとかヨセフアンドレオンみたいな会社が幅をきかせていると今後自分がユーザーになる可能性があるとこがそんな情けない仕様だったら困るからねえ
しかも今回の事例が有罪ということになるとヘタすりゃ自分がサービスを受けるサイト自体が大丈夫かどうか調べることも有罪になりそーだしねー
補足ね〜
なんでこういう言い方をしてるかというと自分がユーザーだったサイトから自分の情報を抜かれるのは迷惑だし
ファーストサーバーとかヨセフアンドレオンみたいな会社が幅をきかせていると今後自分がユーザーになる可能性があるとこがそんな情けない仕様だったら困るからねえ
しかも今回の事例が有罪ということになるとヘタすりゃ自分がサービスを受けるサイト自体が大丈夫かどうか調べることも有罪になりそーだしねー
746 :名無しさん@4周年:04/02/07 13:41 ID:4pBjx+t2
>>741
立花書房(警察官僚の天下り先かなんか?)の営業は放置するとしても、法律は無料で公開されてるんだから条文くらい嫁。
「識別符号」は「当該利用権者等を他の利用権者等と区別して識別することができるように付される符号」だから曖昧性はないんだよ。
立花書房(警察官僚の天下り先かなんか?)の営業は放置するとしても、法律は無料で公開されてるんだから条文くらい嫁。
「識別符号」は「当該利用権者等を他の利用権者等と区別して識別することができるように付される符号」だから曖昧性はないんだよ。
747 :名無しさん@4周年:04/02/07 13:42 ID:33xwVikt
バッファーオーバーランと同列に扱っているやつで、
バッファーオーバーランが仕様です、
なんていってるやつは論外。
検察もそんな主張はしない。
するとしたらバッファーオーバーランも仕様外のことをさせてるし、
今回の CGI も仕様外のことをさせているから、同列、という論旨。
むろんおれは、今回は仕様内のことをさせたと考えている。
バッファーオーバーランが仕様です、
なんていってるやつは論外。
検察もそんな主張はしない。
するとしたらバッファーオーバーランも仕様外のことをさせてるし、
今回の CGI も仕様外のことをさせているから、同列、という論旨。
むろんおれは、今回は仕様内のことをさせたと考えている。
748 :名無しさん@4周年:04/02/07 13:43 ID:StDmSd4c
749 :名無しさん@4周年:04/02/07 13:43 ID:fV8gxwyE
750 :名無しさん@4周年:04/02/07 13:45 ID:4pBjx+t2
>>745
そう思うならサービス受ける前に検証させるよう要求するとか、きちんとシステム監査を
下会社を選ぶとか、ユーザー側の認識の問題も大きい。
大体今回話題になってる登場人物って、みんなセキュリティ業界をダメにしている
戦犯連中だし。
そう思うならサービス受ける前に検証させるよう要求するとか、きちんとシステム監査を
下会社を選ぶとか、ユーザー側の認識の問題も大きい。
大体今回話題になってる登場人物って、みんなセキュリティ業界をダメにしている
戦犯連中だし。
752 :名無しさん@4周年:04/02/07 13:46 ID:7VDnR7V7
753 :名無しさん@4周年:04/02/07 13:46 ID:33xwVikt
754 :名無しさん@4周年:04/02/07 13:47 ID:StDmSd4c
>>749
立花書房の逐条解説と現代刑事法のバックナンバーモナー。
立花書房の逐条解説と現代刑事法のバックナンバーモナー。
756 :名無しさん@4周年:04/02/07 13:49 ID:fV8gxwyE
>>752
設置者を罰するなどという不可能な意見でスレかき回すな。
設置者を罰するなどという不可能な意見でスレかき回すな。
757 :名無しさん@4周年:04/02/07 13:49 ID:TV0zAI+7
>>734
そう?会社のセキュ担当は結構憂慮してる。
モラトリアム無視の事もあるが、そもそも不正アクセス禁止法は管理者を罰するものじゃなく、
非常に管理者側に有利な法律。
判決理由にもよるが、今回の件で適用されたら事業者や管理者側のモラルハザードに繋がりかねないって。
「自分の身は自分で守る」が原則の人間ならではなのかもしれないが。
そう?会社のセキュ担当は結構憂慮してる。
モラトリアム無視の事もあるが、そもそも不正アクセス禁止法は管理者を罰するものじゃなく、
非常に管理者側に有利な法律。
判決理由にもよるが、今回の件で適用されたら事業者や管理者側のモラルハザードに繋がりかねないって。
「自分の身は自分で守る」が原則の人間ならではなのかもしれないが。
758 :東北人:04/02/07 13:50 ID:EUotqlAy
759 :名無しさん@4周年:04/02/07 13:50 ID:7VDnR7V7
760 :名無しさん@4周年:04/02/07 13:52 ID:vurMG0vJ
>>751
>そう思うならサービス受ける前に検証させるよう要求するとか
威力業務妨害だとか言われたりしてな(w
>ユーザー側の認識の問題も大きい。
うん、そう思うよ。
だから今回の件は徹底して法廷でやってくれたほうがいいと思うし、セキュリティ関係者も積極的にアクションを起こしたほうがいいかもしれないね
だから誰が有罪か無罪か?というのを違う側面から話し合うこと自体は無駄ではないなあと思ってる
>そう思うならサービス受ける前に検証させるよう要求するとか
威力業務妨害だとか言われたりしてな(w
>ユーザー側の認識の問題も大きい。
うん、そう思うよ。
だから今回の件は徹底して法廷でやってくれたほうがいいと思うし、セキュリティ関係者も積極的にアクションを起こしたほうがいいかもしれないね
だから誰が有罪か無罪か?というのを違う側面から話し合うこと自体は無駄ではないなあと思ってる
761 :名無しさん@4周年:04/02/07 13:52 ID:Rmpy7VAF
なんだか小難しいスレですね。
762 :名無しさん@4周年:04/02/07 13:52 ID:4pBjx+t2
>>759 スマソ
764 :名無しさん@4周年:04/02/07 13:54 ID:StDmSd4c
条文嫁厨は釣りってことで。
765 :名無しさん@4周年:04/02/07 13:55 ID:7VDnR7V7
>>763
いきなり煽られてマジ焦ったよ。
いきなり煽られてマジ焦ったよ。
766 :名無しさん@4周年:04/02/07 13:57 ID:HO4WqEhA
_,,,,,,,,,,,,_
, :'"´ _... --、 `゙丶、
/ _.. - '' ..: .:.::ヽ ===
/:, ' ` 、 .:.:::::', ======
i:' __ .. ` 、.. .:.:::',
! ,,:='''´ : . : .:.:::::,!_ この絵いいねー もらっとく 吹男
\ !,,:=、 _,,,,,_, : ` 、r',r ヽ
\ ! _.. ; ´ ̄ : . ! iヽ :| =====
\ l'´- / -、 : ! ー 'ノ ====
\ r_ r=ノ . : :r-ィ'
ヽ\ __............ : ! l ====== (´⌒
', ,\___,,.--‐'´ . :,' | (´⌒;;(´⌒;;
ヽ 、 ̄,,.. ''´ : .:/ !、 (´;;⌒ (´⌒;; ズザザザ
',  ̄ . : , :'": : ト、\ (´⌒; (´⌒;;;
, :'"´ _... --、 `゙丶、
/ _.. - '' ..: .:.::ヽ ===
/:, ' ` 、 .:.:::::', ======
i:' __ .. ` 、.. .:.:::',
! ,,:='''´ : . : .:.:::::,!_ この絵いいねー もらっとく 吹男
\ !,,:=、 _,,,,,_, : ` 、r',r ヽ
\ ! _.. ; ´ ̄ : . ! iヽ :| =====
\ l'´- / -、 : ! ー 'ノ ====
\ r_ r=ノ . : :r-ィ'
ヽ\ __............ : ! l ====== (´⌒
', ,\___,,.--‐'´ . :,' | (´⌒;;(´⌒;;
ヽ 、 ̄,,.. ''´ : .:/ !、 (´;;⌒ (´⌒;; ズザザザ
',  ̄ . : , :'": : ト、\ (´⌒; (´⌒;;;
>>762
これを営業というならとりあえず法解釈云々講釈垂れない方が良いと思うが。
特別法の法解釈に於いて法案起案した人間が書いた解説読まないで解釈云々
言ってもただのアホなんだけどね。
不正アクセス禁止法は警察庁が提案した法律だというのを忘れてる連中大杉。
これが経産省提案だったら第一法規あたりから逐条解説出てるんだろうが。
これを営業というならとりあえず法解釈云々講釈垂れない方が良いと思うが。
特別法の法解釈に於いて法案起案した人間が書いた解説読まないで解釈云々
言ってもただのアホなんだけどね。
不正アクセス禁止法は警察庁が提案した法律だというのを忘れてる連中大杉。
これが経産省提案だったら第一法規あたりから逐条解説出てるんだろうが。
768 :名無しさん@4周年:04/02/07 14:01 ID:4pBjx+t2
>>749
>法解釈ごっこしたいならhttp://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
これいい。
どうせ(書いたのは同一人物で原稿を使いまわしするだけだろうから)立花書房の本も同じ内容だろうし。
でも、立花書房の本は警察署が多数購入し、著者の警察官僚には多額の印税が支払われる仕組みと思われ。
誰か内容比較してくれない?
ほとんど同一の場合、著作権をもたない警察官僚に印税という名目で贈賄(本の購入の職務権限を持つ)が行われていることになるから。
>法解釈ごっこしたいならhttp://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
これいい。
どうせ(書いたのは同一人物で原稿を使いまわしするだけだろうから)立花書房の本も同じ内容だろうし。
でも、立花書房の本は警察署が多数購入し、著者の警察官僚には多額の印税が支払われる仕組みと思われ。
誰か内容比較してくれない?
ほとんど同一の場合、著作権をもたない警察官僚に印税という名目で贈賄(本の購入の職務権限を持つ)が行われていることになるから。
769 :名無しさん@4周年:04/02/07 14:03 ID:StDmSd4c
スレと関係ないんだけどさ、俺「釣り」とか「釣り師」っていうのは、
釣り師 ↓ .
/| ←竿
○ / |
. (Vヽ/ |
<> |
゙'"''"''':'';;':,':;.:.,.,__|_________
|
餌(疑似餌)→.§ >゚++< 〜
の組み合わせだと思ってたんだけど、
最近自称釣り師がダイレクトで自分の本音を攻撃されて「釣れた!」とか
言ってるの多いよね。
これは、どっちかというと、
,〜〜〜〜〜〜 、
|\ ( 釣れたよ〜・・・)
| \ `〜〜〜v〜〜〜´
し \
゙'゙""''':'';;':,':;.:.,., ヽ○ノ
~~~~~|~~~~~~~ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ト>゚++<
ノ)
かと思うんだけど、どうよ?
釣り師 ↓ .
/| ←竿
○ / |
. (Vヽ/ |
<> |
゙'"''"''':'';;':,':;.:.,.,__|_________
|
餌(疑似餌)→.§ >゚++< 〜
の組み合わせだと思ってたんだけど、
最近自称釣り師がダイレクトで自分の本音を攻撃されて「釣れた!」とか
言ってるの多いよね。
これは、どっちかというと、
,〜〜〜〜〜〜 、
|\ ( 釣れたよ〜・・・)
| \ `〜〜〜v〜〜〜´
し \
゙'゙""''':'';;':,':;.:.,., ヽ○ノ
~~~~~|~~~~~~~ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ト>゚++<
ノ)
かと思うんだけど、どうよ?
770 :名無しさん@4周年:04/02/07 14:07 ID:4pBjx+t2
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
って警察の公式見解だから、立花書房に私人としての警察官僚が書いた原稿なんか読まなくてもいいよな。
で、それによると、アクセス制御機能とは、
:「特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いて
:アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)
:の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号で
:はなかった場合には利用を拒否するコンピュータの機能をいいます。
とあるから、今回の件とは無関係じゃん。
って警察の公式見解だから、立花書房に私人としての警察官僚が書いた原稿なんか読まなくてもいいよな。
で、それによると、アクセス制御機能とは、
:「特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いて
:アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)
:の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号で
:はなかった場合には利用を拒否するコンピュータの機能をいいます。
とあるから、今回の件とは無関係じゃん。
771 :名無しさん@4周年:04/02/07 14:09 ID:uBp3v6ZJ
>弁護側の主張は「バクではなくて仕様」。
作ったヤツが「仕様」といわない限りこの主張は無理だろうし、これが
仕様だったと証言するということは100%ありえねぇ。
作ったヤツが「仕様」といわない限りこの主張は無理だろうし、これが
仕様だったと証言するということは100%ありえねぇ。
772 :名無しさん@4周年:04/02/07 14:13 ID:vurMG0vJ
>>771
>作ったヤツが「仕様」といわない限りこの主張は無理だろうし、これが
>仕様だったと証言するということは100%ありえねぇ。
まあ、そうだろうね〜
でも脆弱性があることを認識していて新しいスクリプトを作っておいてユーザーに対して説明してない状況はかなり部が悪いだろうな
仕様とは言わないまでも「そういう動きをするプログラムである」という認識はあったわけだろうから
>作ったヤツが「仕様」といわない限りこの主張は無理だろうし、これが
>仕様だったと証言するということは100%ありえねぇ。
まあ、そうだろうね〜
でも脆弱性があることを認識していて新しいスクリプトを作っておいてユーザーに対して説明してない状況はかなり部が悪いだろうな
仕様とは言わないまでも「そういう動きをするプログラムである」という認識はあったわけだろうから
773 :名無しさん@4周年:04/02/07 14:14 ID:StDmSd4c
774 :名無しさん@4周年:04/02/07 14:17 ID:StDmSd4c
775 :名無しさん@4周年:04/02/07 14:25 ID:fV8gxwyE
>>770
phfがまだ生きているとしよう。
これを使って/etc/passwdを抜くのは不正アクセス禁止法に抵触するのはあきらか。
つーか、こういう行為も罰するために作られている。
この点で争うなら仕様か否かが争点になるが、これはoffice不利。
phfがまだ生きているとしよう。
これを使って/etc/passwdを抜くのは不正アクセス禁止法に抵触するのはあきらか。
つーか、こういう行為も罰するために作られている。
この点で争うなら仕様か否かが争点になるが、これはoffice不利。
776 :名無しさん@4周年:04/02/07 14:33 ID:4pBjx+t2
>>773
>telnetをhttpで回避してるし。
意味不明のカキコだが、あえて解釈すると、
telnetというツールでhttpたたけるという話を、telnetというプロトコルのユーザー認証をhttpで回避してると勘違いしたということ?
んな回避してねーよ。
この理解度、リア厨というよりリア警だろ、藻前。
>telnetをhttpで回避してるし。
意味不明のカキコだが、あえて解釈すると、
telnetというツールでhttpたたけるという話を、telnetというプロトコルのユーザー認証をhttpで回避してると勘違いしたということ?
んな回避してねーよ。
この理解度、リア厨というよりリア警だろ、藻前。
777 :名無しさん@4周年:04/02/07 14:35 ID:StDmSd4c
778 :名無しさん@4周年:04/02/07 14:39 ID:/gjPwapI
779 :名無しさん@4周年:04/02/07 14:41 ID:StDmSd4c
>>776
いや。マジphfと同じケースだよ。
>>776の書き込みの内容を理解するのにずいぶん苦労したが、>>776は完全に勘違いしてるよ。
/usr/bin/telnetでhttpを直接手で打ち込んでhttpdと通信する話じゃなくて、
計算機がファイルアクセスサービスとして提供してるtelnetサービスの話だよ。
分かる?
計算機がファイルアクセスサービスとして、認証機構を備えたtelnetサービスを提供していて
通常、管理者だけが閲覧できるファイルはその認証をクリアしないといけないのに、
cgiのバグを突いてhttpでアクセスするとその認証を回避できるということ。
いや。マジphfと同じケースだよ。
>>776の書き込みの内容を理解するのにずいぶん苦労したが、>>776は完全に勘違いしてるよ。
/usr/bin/telnetでhttpを直接手で打ち込んでhttpdと通信する話じゃなくて、
計算機がファイルアクセスサービスとして提供してるtelnetサービスの話だよ。
分かる?
計算機がファイルアクセスサービスとして、認証機構を備えたtelnetサービスを提供していて
通常、管理者だけが閲覧できるファイルはその認証をクリアしないといけないのに、
cgiのバグを突いてhttpでアクセスするとその認証を回避できるということ。
780 :名無しさん@4周年:04/02/07 14:41 ID:+ud/Nm+M
>>758
東北人だから「ログ」なの?
東北人だから「ログ」なの?
781 :名無しさん@4周年:04/02/07 14:42 ID:4pBjx+t2
>閲覧が可能なのは鯖管理者のみで、閲覧には管理者としての識別符号と認証が必要のはずなんだけど。
いろんな報道総合すると、これが警視庁の論理っぽいな。情けないことに。
ログインしての閲覧が可能なのは正規の利用者等のみで、ログインしての閲覧には利用者としての識別符号と認証が必要のはずというならわからないでもない。
これは鯖上のほとんど全てのファイルにあてはまる。
>ところがwebのバグを突くとその識別符号入力と認証を回避できちゃう。
そりゃログインとは別の話。
webを使うとログインしないで鯖上の多くのファイルがみられるが、これでログインのアクセス制御機構を回避といわれたら、webユーザは全員有罪。
今回は「多くの」が「全ての」になっただけで、ログインの(webも)アクセス制御機構の回避はないよ。
いろんな報道総合すると、これが警視庁の論理っぽいな。情けないことに。
ログインしての閲覧が可能なのは正規の利用者等のみで、ログインしての閲覧には利用者としての識別符号と認証が必要のはずというならわからないでもない。
これは鯖上のほとんど全てのファイルにあてはまる。
>ところがwebのバグを突くとその識別符号入力と認証を回避できちゃう。
そりゃログインとは別の話。
webを使うとログインしないで鯖上の多くのファイルがみられるが、これでログインのアクセス制御機構を回避といわれたら、webユーザは全員有罪。
今回は「多くの」が「全ての」になっただけで、ログインの(webも)アクセス制御機構の回避はないよ。
782 :名無しさん@4周年:04/02/07 14:42 ID:2bIotKLO
お外でお着替えしてるバカな芸能人がいて激写されて写真週刊誌で公表されて
それに激怒したバカな芸能人が訴えを起こした。
この場合、民事で扱う問題、刑事事件で扱う問題ではない!!
しかし、この事件は刑事事件として扱われていることに問題がある。
それに激怒したバカな芸能人が訴えを起こした。
この場合、民事で扱う問題、刑事事件で扱う問題ではない!!
しかし、この事件は刑事事件として扱われていることに問題がある。
783 :名無しさん@4周年:04/02/07 14:42 ID:fV8gxwyE
784 :名無しさん@4周年:04/02/07 14:44 ID:+ud/Nm+M
785 :名無しさん@4周年:04/02/07 14:45 ID:4pBjx+t2
>>779
リア厨だかリア警だかしらんけど、いいかげん勘弁してくれよ。
>計算機がファイルアクセスサービスとして提供してるtelnetサービスの話だよ。
ファイルアクセスサービスってftpのことをtelnetと勘違いしたのか?
だからとして、それがどうした?
リア厨だかリア警だかしらんけど、いいかげん勘弁してくれよ。
>計算機がファイルアクセスサービスとして提供してるtelnetサービスの話だよ。
ファイルアクセスサービスってftpのことをtelnetと勘違いしたのか?
だからとして、それがどうした?
786 :名無しさん@4周年:04/02/07 14:46 ID:ITWf1M9a
ついに47氏タイーホですか
787 :名無しさん@4周年:04/02/07 14:46 ID:StDmSd4c
>>781
違うって。
だから公開情報か明らかな非公開情報かってことも考慮しなきゃ。
で、webサービスだけ盲目的に狭い視野で見るんじゃなくて、
その計算機が保持しているファイルとその公開とアクセス制御っていう広い視野で見る
必要がある。
そうでなければphfは不正アクセス禁止法で取り締まれない。
違うって。
だから公開情報か明らかな非公開情報かってことも考慮しなきゃ。
で、webサービスだけ盲目的に狭い視野で見るんじゃなくて、
その計算機が保持しているファイルとその公開とアクセス制御っていう広い視野で見る
必要がある。
そうでなければphfは不正アクセス禁止法で取り締まれない。
788 :名無しさん@4周年:04/02/07 14:48 ID:StDmSd4c
789 :名無しさん@4周年:04/02/07 14:48 ID:3J8R5u48
つまり、
・おひすはtelnetやftpを利用する事を考えたがあえて回避したはず
・おひすはtelnetやftpの代替手段としてcgiコールを考えたはず
・$home/cgi-data/というパスのファイルは「本来」利用者に提供されたものでは無いはず
ここらへんがはっきりしないとftpやtelnetのアクセス制御機能を逃れたとは言えないと思うんだけど。
・おひすはtelnetやftpを利用する事を考えたがあえて回避したはず
・おひすはtelnetやftpの代替手段としてcgiコールを考えたはず
・$home/cgi-data/というパスのファイルは「本来」利用者に提供されたものでは無いはず
ここらへんがはっきりしないとftpやtelnetのアクセス制御機能を逃れたとは言えないと思うんだけど。
790 :名無しさん@4周年:04/02/07 14:51 ID:SdhyEyWg
じゃあ、リンクさえはらなきゃ無修正画像おいといてもOKか?
791 :名無しさん@4周年:04/02/07 14:51 ID:vurMG0vJ
>>782
どっちかというとよゐこ濱口が1万円貧乏生活してて最後に入る透明な部屋みたいなとこにACCSの情報があったというイメージだなあ(w
>>783
それがindex.htmlに置いてあったら犯罪でもなんでもないわけだしなあ
どっちかというとよゐこ濱口が1万円貧乏生活してて最後に入る透明な部屋みたいなとこにACCSの情報があったというイメージだなあ(w
>>783
それがindex.htmlに置いてあったら犯罪でもなんでもないわけだしなあ
「アクセス制御」が存在したか?
について考えてみると、今回使用されたCGIは(普通は)HTTP通して使用する
ことが想定されるから、「アクセス制御」もHTTP通して制御されてるかどうか、
もっと言えばCGI自身に「アクセス制御」と呼べるものがあったかどうかで
判断すべきじゃないのかな。
「ファイルシステムが(利用者が知る由も無くまったく意識していないアカウントによって)
提供するアクセス制御をCGIのバグが回避した」なんて屁理屈を正論にしてる人が居たけど、
それでは同様の被害が出てもすべて「実はアクセス制御してました」で
まかり通ってしまうことになる。
不正アクセス禁止法を拡大解釈することで、そんなサーバ管理が許されるのは嫌だな。
利用者がサーバ管理側に期待している「アクセス制御」の姿からはほど遠いよ。
今回の場合はサーバ管理者が設置した「アクセス制御」されてないCGIを使用したのだから、
CGIのバグを突いたとしても、法律上は不正アクセスとは言えないんじゃないでしょうか。
勝手に個人情報公開した時点でoffice氏は有罪でないと困るが、不正アクセスとは
違うと思う。
また個人情報が流出した被害を考えると、こんなBUGを放置したサーバ管理側の
責任も重大でしょう。
について考えてみると、今回使用されたCGIは(普通は)HTTP通して使用する
ことが想定されるから、「アクセス制御」もHTTP通して制御されてるかどうか、
もっと言えばCGI自身に「アクセス制御」と呼べるものがあったかどうかで
判断すべきじゃないのかな。
「ファイルシステムが(利用者が知る由も無くまったく意識していないアカウントによって)
提供するアクセス制御をCGIのバグが回避した」なんて屁理屈を正論にしてる人が居たけど、
それでは同様の被害が出てもすべて「実はアクセス制御してました」で
まかり通ってしまうことになる。
不正アクセス禁止法を拡大解釈することで、そんなサーバ管理が許されるのは嫌だな。
利用者がサーバ管理側に期待している「アクセス制御」の姿からはほど遠いよ。
今回の場合はサーバ管理者が設置した「アクセス制御」されてないCGIを使用したのだから、
CGIのバグを突いたとしても、法律上は不正アクセスとは言えないんじゃないでしょうか。
勝手に個人情報公開した時点でoffice氏は有罪でないと困るが、不正アクセスとは
違うと思う。
また個人情報が流出した被害を考えると、こんなBUGを放置したサーバ管理側の
責任も重大でしょう。
793 :名無しさん@4周年:04/02/07 14:53 ID:2bIotKLO
何処のサイトで起きた問題かで社団法人に対してこの様な不正アクセスが行われた
から罪として問われてる感がある。
これがもし、個人のサイトで行われた問題であれば、その個人の管理責任と言う事で
罪には問われなかったと思う。
から罪として問われてる感がある。
これがもし、個人のサイトで行われた問題であれば、その個人の管理責任と言う事で
罪には問われなかったと思う。
794 :名無しさん@4周年:04/02/07 14:53 ID:vurMG0vJ
おお、画期的な方法を思いついたぞ
データファイルに著作権を明記しとけば良かったんだよ(w>ACCS
そうすればお得意のジャンルで訴訟起こせたのにな
データファイルに著作権を明記しとけば良かったんだよ(w>ACCS
そうすればお得意のジャンルで訴訟起こせたのにな
795 :名無しさん@4周年:04/02/07 14:54 ID:+ud/Nm+M
telnetやsshがファイルアクセスサービスなのか〜
知らなかったなあ。
知らなかったなあ。
796 :名無しさん@4周年:04/02/07 14:54 ID:StDmSd4c
>>779
いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
揚げ足取りっていうか、変な突っ込み多いなぁ。
ファイルアクセス=ftpとか思ってるリア厨かなぁ。
man touchしてみたことある?
なんか必死に今回の件がwebがらみだからってwebに固執する人がいるけど、
条文でも常識でも、個人情報ファイルをwebで不特定多数に見せるためだけに置いておいた
とは解釈されないと思うよ。
いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
揚げ足取りっていうか、変な突っ込み多いなぁ。
ファイルアクセス=ftpとか思ってるリア厨かなぁ。
man touchしてみたことある?
なんか必死に今回の件がwebがらみだからってwebに固執する人がいるけど、
条文でも常識でも、個人情報ファイルをwebで不特定多数に見せるためだけに置いておいた
とは解釈されないと思うよ。
質問。2ちゃんのread.cgiのパラメータ
news5.2ch.net/test/read.cgi「/newsplus/XXXXXXXXXX/」
をかってに書き換えるのは違法でつか?
news5.2ch.net/test/read.cgi「/newsplus/XXXXXXXXXX/」
をかってに書き換えるのは違法でつか?
798 :名無しさん@4周年:04/02/07 14:56 ID:3Um8evJd
>>789
同意。おそらく有罪になるとは思うが、そのtelnet云々の論調は変。
全部意図してませんで終わりじゃないかな。
と思ったんだけど、そもそもこの法律は「知らないうちに不正アクセスしてるかもよ」
って部分が成立当初問題になったよね。
それ考えると当てはまるのか?という気も。
同意。おそらく有罪になるとは思うが、そのtelnet云々の論調は変。
全部意図してませんで終わりじゃないかな。
と思ったんだけど、そもそもこの法律は「知らないうちに不正アクセスしてるかもよ」
って部分が成立当初問題になったよね。
それ考えると当てはまるのか?という気も。
>>794
ダウソ自体は個人利用のためのコピーだからおっけーだが、参加者に見せたからな。
ダウソ自体は個人利用のためのコピーだからおっけーだが、参加者に見せたからな。
800 :名無しさん@4周年:04/02/07 15:01 ID:+ud/Nm+M
>>796
> いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
> 揚げ足取りっていうか、変な突っ込み多いなぁ。
> ファイルアクセス=ftpとか思ってるリア厨かなぁ。
うわー、すごい理屈。その理屈だと、read/writeを使ったソフトウェアはみな
ファイルアクセスサービスになるね。初めてきいたなあ。
> man touchしてみたことある?
何を言いたいのかわからんが?
change file access and modification times の説明を勘違いしてる?
> いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
> 揚げ足取りっていうか、変な突っ込み多いなぁ。
> ファイルアクセス=ftpとか思ってるリア厨かなぁ。
うわー、すごい理屈。その理屈だと、read/writeを使ったソフトウェアはみな
ファイルアクセスサービスになるね。初めてきいたなあ。
> man touchしてみたことある?
何を言いたいのかわからんが?
change file access and modification times の説明を勘違いしてる?
801 :名無しさん@4周年:04/02/07 15:01 ID:StDmSd4c
>>789
>・おひすはtelnetやftpを利用する事を考えたがあえて回避したはず
>・おひすはtelnetやftpの代替手段としてcgiコールを考えたはず
>・$home/cgi-data/というパスのファイルは「本来」利用者に提供されたものでは無いはず
ちょっと違う。
・おひすはそもそもwebでは非公開で(telnetやftpなどの認証をクリアした人しか見れないはずの)情報を見ようとした犯意があったか
が重要。telnetやftpとか具体的なものに対応付けしたらrshやscpなどキリがない。
需要なのは「別サービスの認証をクリアした人じゃなきゃ見れないはず」を認識してcgiのバグを突いたかどうか。
>・おひすはtelnetやftpを利用する事を考えたがあえて回避したはず
>・おひすはtelnetやftpの代替手段としてcgiコールを考えたはず
>・$home/cgi-data/というパスのファイルは「本来」利用者に提供されたものでは無いはず
ちょっと違う。
・おひすはそもそもwebでは非公開で(telnetやftpなどの認証をクリアした人しか見れないはずの)情報を見ようとした犯意があったか
が重要。telnetやftpとか具体的なものに対応付けしたらrshやscpなどキリがない。
需要なのは「別サービスの認証をクリアした人じゃなきゃ見れないはず」を認識してcgiのバグを突いたかどうか。
802 :名無しさん@4周年:04/02/07 15:04 ID:wRnnDVFu
個人情報保護法案で、マスコミを制限するような法律作るより
こういう個人情報を漏らす鯖管みたいな香具師を裁く法律作れよ
こういう個人情報を漏らす鯖管みたいな香具師を裁く法律作れよ
803 :名無しさん@4周年:04/02/07 15:06 ID:StDmSd4c
>>800
うー。リア厨。ウゼー。必死なのは分かったよ。
chage file access timeって書いてあるよね?
telnetおよびshell、(さらに明示的にはtouchコマンド)でfile access timeが変更できるのに、
まだ、telnetはファイルアクセス機能を提供してないと言うか?
うー。リア厨。ウゼー。必死なのは分かったよ。
chage file access timeって書いてあるよね?
telnetおよびshell、(さらに明示的にはtouchコマンド)でfile access timeが変更できるのに、
まだ、telnetはファイルアクセス機能を提供してないと言うか?
804 :名無しさん@4周年:04/02/07 15:07 ID:p97ftOpX
>>802
個人情報保護法はマスコミが騒いでいるからマスコミ制限すると思われているけど
実際はまともに守ろうとしたら鯖管だけではなくそれを扱う企業にかなりの負担を
強いる法ですよ。
一回、まともに条文を読んだ事ある?
ただし、罰則がないけどねw
個人情報保護法はマスコミが騒いでいるからマスコミ制限すると思われているけど
実際はまともに守ろうとしたら鯖管だけではなくそれを扱う企業にかなりの負担を
強いる法ですよ。
一回、まともに条文を読んだ事ある?
ただし、罰則がないけどねw
Q 『今回の件は、不正アクセス禁止法 条文3-2-2に問えますか?』
A 以下を参照してください。
第三条
何人も、不正アクセス行為をしてはならない。
『では、不正アクセスとは何なのでしょうか?以下の定義を見ていきましょう』
2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
一 (省略) 『これは今回の件と無関係な項です』
二
アクセス制御機能を有する特定電子計算機に
『結論から言えば、当該CGI(Common Gateway Interface。サーバ上で動くプログラム)に
アクセス制御機能はありませんでした。
当該時刻、当該CGIは「アクセス制御機能を利用する必要なしに」、HTTP通信規約に
則ったPOST要求をURL(WEB上のリソース住所)と引数によって行うことでファイルシステム上の
任意の情報を表示させるものでした』
A 以下を参照してください。
第三条
何人も、不正アクセス行為をしてはならない。
『では、不正アクセスとは何なのでしょうか?以下の定義を見ていきましょう』
2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。
一 (省略) 『これは今回の件と無関係な項です』
二
アクセス制御機能を有する特定電子計算機に
『結論から言えば、当該CGI(Common Gateway Interface。サーバ上で動くプログラム)に
アクセス制御機能はありませんでした。
当該時刻、当該CGIは「アクセス制御機能を利用する必要なしに」、HTTP通信規約に
則ったPOST要求をURL(WEB上のリソース住所)と引数によって行うことでファイルシステム上の
任意の情報を表示させるものでした』
806 :名無しさん@4周年:04/02/07 15:10 ID:StDmSd4c
chage→change。ただの打ち間違い。
不本意にもこんなので釣れちゃうとウゼェ。それはかんべん。
120秒内に反応されちゃうのかなぁ・・・・・
不本意にもこんなので釣れちゃうとウゼェ。それはかんべん。
120秒内に反応されちゃうのかなぁ・・・・・
807 :名無しさん@4周年:04/02/07 15:12 ID:y74y5PGo
>>802
作れよ、つっても業者側の抵抗が強いから無理。現に不正アクセス禁止法には罰則規定ないわけだし。
情けないことに、個人情報ダダ漏れ起こすと2chで晒されるという事が一番の抑止効果になっている。
officeには是非、最高裁まで頑張って欲しいと思う。将来の利用者としての正当防衛とか主張できないかね。
作れよ、つっても業者側の抵抗が強いから無理。現に不正アクセス禁止法には罰則規定ないわけだし。
情けないことに、個人情報ダダ漏れ起こすと2chで晒されるという事が一番の抑止効果になっている。
officeには是非、最高裁まで頑張って欲しいと思う。将来の利用者としての正当防衛とか主張できないかね。
808 :名無しさん@4周年:04/02/07 15:12 ID:2bIotKLO
まあ、おひすは夜の公園でxxxxしてるアベックの激写専門のカメラマンでその
どの様に激写するかの公演も開催してたお坊ちゃま
で、ある時、その公園で思わぬ大物政治家の不倫現場を目撃してしまった。
それをネタに公演で大ハッウル!!
怒った政治家は警察に圧力をかけてお坊ちゃまを逮捕、めでたしめでたし。
どの様に激写するかの公演も開催してたお坊ちゃま
で、ある時、その公園で思わぬ大物政治家の不倫現場を目撃してしまった。
それをネタに公演で大ハッウル!!
怒った政治家は警察に圧力をかけてお坊ちゃまを逮捕、めでたしめでたし。
電気通信回線を通じて
『RFC(インターネット関連技術の標準を勧告したもの)には伝書鳩によるIP通信規約が
規定されています。今となっては全くの時代遅れとなった感が否めない項です。
電気通信回線を解さない(法的には罪に問えない)攻撃手法についての早急な
法整備が望まれます』
当該アクセス制御機能による特定利用の制限を免れることができる情報
(識別符号であるものを除く。)
『識別符号=パスワードと解釈していいでしょう。このように、パスワードを送る行為自体は
禁止されていません』
又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為
これに該当するものとして、バッファオーバーフロー脆弱性を利用した攻撃
(プログラムにより確保された記憶領域を超える情報を送り、処理装置が実行する
(ほぼ)最小単位の処理に介入し、任意の処理を行わせるという攻撃)のため
異常パケット情報を送信する行為等があります。
『RFC(インターネット関連技術の標準を勧告したもの)には伝書鳩によるIP通信規約が
規定されています。今となっては全くの時代遅れとなった感が否めない項です。
電気通信回線を解さない(法的には罪に問えない)攻撃手法についての早急な
法整備が望まれます』
当該アクセス制御機能による特定利用の制限を免れることができる情報
(識別符号であるものを除く。)
『識別符号=パスワードと解釈していいでしょう。このように、パスワードを送る行為自体は
禁止されていません』
又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為
これに該当するものとして、バッファオーバーフロー脆弱性を利用した攻撃
(プログラムにより確保された記憶領域を超える情報を送り、処理装置が実行する
(ほぼ)最小単位の処理に介入し、任意の処理を行わせるという攻撃)のため
異常パケット情報を送信する行為等があります。
811 :名無しさん@4周年:04/02/07 15:15 ID:+ud/Nm+M
>>803
> うー。リア厨。ウゼー。必死なのは分かったよ。
リア厨は誰だろうねえ。
> chage file access timeって書いてあるよね?
chageってなんだよ、というのは置いておいて。
> telnetおよびshell、(さらに明示的にはtouchコマンド)でfile access timeが変更できるのに、
telnetにはその機能はないんだけどな。touchに拘っているようだけど、shell
にもtouchの機能はない。shellのコマンドラインからtouchという「外部プロ
グラム」を呼び出すことができるだけ。
> まだ、telnetはファイルアクセス機能を提供してないと言うか?
はい。当然です。面白すぎるよ。
> うー。リア厨。ウゼー。必死なのは分かったよ。
リア厨は誰だろうねえ。
> chage file access timeって書いてあるよね?
chageってなんだよ、というのは置いておいて。
> telnetおよびshell、(さらに明示的にはtouchコマンド)でfile access timeが変更できるのに、
telnetにはその機能はないんだけどな。touchに拘っているようだけど、shell
にもtouchの機能はない。shellのコマンドラインからtouchという「外部プロ
グラム」を呼び出すことができるだけ。
> まだ、telnetはファイルアクセス機能を提供してないと言うか?
はい。当然です。面白すぎるよ。
今回は当該CGIに渡す引数の変更がこれに該当する可能性がありますが、後述する通り
問題とするべきアクセス制御機能自体が存在しないというのが私の見解です。
office氏の行為を具体的な事例を挙げて検証すると、
0. 当該CGIにアクセス - これは来訪者の自由です。
1. HTMLをPC上に保存 - 主要なWEBブラウザが自動的に行っていることです。
2. HTMLの情報を改変 - 公開情報の個人利用目的での改変はもちろん合法です。
3. HTMLを利用して情報を送信、結果を取得。
- この情報送信はHTTP(Hyper Text Transport Protocolの略。
当初はWEB上でHTML文書を公開するための通信規約だったが、
現在はWEB上で任意のリソースを公開するための通信規約標準となっている)
に則ったPOST要求(比較的長い引数を含む投函要求、及び、それに付随する
返信情報の取得要求)の発行です。
- HTTPでのPOST要求はURLと、引数を要求します。URLについては利用者にとって
公知であり。また引数について当該CGI設置経験者にとって公知でした。
問題とするべきアクセス制御機能自体が存在しないというのが私の見解です。
office氏の行為を具体的な事例を挙げて検証すると、
0. 当該CGIにアクセス - これは来訪者の自由です。
1. HTMLをPC上に保存 - 主要なWEBブラウザが自動的に行っていることです。
2. HTMLの情報を改変 - 公開情報の個人利用目的での改変はもちろん合法です。
3. HTMLを利用して情報を送信、結果を取得。
- この情報送信はHTTP(Hyper Text Transport Protocolの略。
当初はWEB上でHTML文書を公開するための通信規約だったが、
現在はWEB上で任意のリソースを公開するための通信規約標準となっている)
に則ったPOST要求(比較的長い引数を含む投函要求、及び、それに付随する
返信情報の取得要求)の発行です。
- HTTPでのPOST要求はURLと、引数を要求します。URLについては利用者にとって
公知であり。また引数について当該CGI設置経験者にとって公知でした。
813 :名無しさん@4周年:04/02/07 15:17 ID:bBR0Rgjn
814 :名無しさん@4周年:04/02/07 15:17 ID:StDmSd4c
>>811
じゃ、telnetがそもそも外部コマンドであるshellを起動しないとすると、
telnetは何をサービスするためにあるの?
そもそもshellを起動した時点でshellコマンドの実体ファイルに
アクセスしているのだが・・・
じゃ、telnetがそもそも外部コマンドであるshellを起動しないとすると、
telnetは何をサービスするためにあるの?
そもそもshellを起動した時点でshellコマンドの実体ファイルに
アクセスしているのだが・・・
815 :名無しさん@4周年:04/02/07 15:17 ID:y74y5PGo
816 :名無しさん@4周年:04/02/07 15:20 ID:StDmSd4c
>>811
もう揚げ足取りに対応するのはイヤなので、telnetじゃなくscpの認証を回避と読み変えてください。
もう揚げ足取りに対応するのはイヤなので、telnetじゃなくscpの認証を回避と読み変えてください。
817 :名無しさん@4周年:04/02/07 15:20 ID:+ud/Nm+M
- POST要求の利用にはWEBブラウザを利用する方法が一般的ですが、HTTPはあくまで
通信規約であるため、ソフトウェア的な制約は一切存在せず、ユーザはWEBを利用する
ための手段を自由に選択できます。
例えば、telnetと呼ばれる自由度の最も高いプログラムは、WEBブラウザの行う
要求を完全に模倣することができます。
したがって通信障害等を無視すれば、『アクセス制御機能が存在しない限り』
全ての利用者がURL(WEB上のリソースの住所)によって要求したリソースを取得する
ことができます。
- 今回の件で当該URLからリソースが取得できたということは、そのURLに対する
『アクセス制御が存在しなかった』ということに他なりません。
4. 結果をもとに2に戻り、目的の情報を取得できる状態になるまで繰り返す。
- 当然ですが、繰り返すこと自体には何ら違法性はありません。
今回の場合、繰り返す回数は数回から十数回で十分であり、計算機への負荷により
業務に影響を与えた可能性も全くありません』
(当該アクセス制御機能を付加したアクセス管理者がするもの
及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 (省略) 『これも今回の件と無関係な項です』
通信規約であるため、ソフトウェア的な制約は一切存在せず、ユーザはWEBを利用する
ための手段を自由に選択できます。
例えば、telnetと呼ばれる自由度の最も高いプログラムは、WEBブラウザの行う
要求を完全に模倣することができます。
したがって通信障害等を無視すれば、『アクセス制御機能が存在しない限り』
全ての利用者がURL(WEB上のリソースの住所)によって要求したリソースを取得する
ことができます。
- 今回の件で当該URLからリソースが取得できたということは、そのURLに対する
『アクセス制御が存在しなかった』ということに他なりません。
4. 結果をもとに2に戻り、目的の情報を取得できる状態になるまで繰り返す。
- 当然ですが、繰り返すこと自体には何ら違法性はありません。
今回の場合、繰り返す回数は数回から十数回で十分であり、計算機への負荷により
業務に影響を与えた可能性も全くありません』
(当該アクセス制御機能を付加したアクセス管理者がするもの
及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)
三 (省略) 『これも今回の件と無関係な項です』
819 :名無しさん@4周年:04/02/07 15:23 ID:StDmSd4c
【結論】
1. 当該CGIにおける『アクセス制御機能』の欠如
2. (管理者の認識に基づく)不正アクセスを『し得る状態にさせる行為』は
利用者ではなく、『アクセス制御機能』の欠如対策を行わなかった管理者によって
間接的に行われた。
上記の理由により、office氏を不正アクセス禁止法3-2-2に問うことは極めて難しいと思われます。
1. 当該CGIにおける『アクセス制御機能』の欠如
2. (管理者の認識に基づく)不正アクセスを『し得る状態にさせる行為』は
利用者ではなく、『アクセス制御機能』の欠如対策を行わなかった管理者によって
間接的に行われた。
上記の理由により、office氏を不正アクセス禁止法3-2-2に問うことは極めて難しいと思われます。
頼むから法律板でこの件に関してのスレが建たない理由考えようや>厨ども
822 :785:04/02/07 15:30 ID:4pBjx+t2
>>796
>いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
うわー。しばらく席はずしてる間に悲惨なことんなってるな。
ま、シェルのリダイレクションをファイルアクセスというならそうだが、telnetとは無関係だし、そもそも不正アクセス禁止法が禁止してるのはファイルアクセスではないぞ。
>いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
うわー。しばらく席はずしてる間に悲惨なことんなってるな。
ま、シェルのリダイレクションをファイルアクセスというならそうだが、telnetとは無関係だし、そもそも不正アクセス禁止法が禁止してるのはファイルアクセスではないぞ。
823 :名無しさん@4周年:04/02/07 15:31 ID:StDmSd4c
>>820
そんな結論が出たら、日本中のスクリプト厨がphfや今回の件みたいな、
そもそもユーザ認証は無関係なcgiなんだけどバグっててファイルが見放題
ってのをひたすら試しまくってしまってウザいことこの上ないし、
そういう厨房が無罪放免ということになったらシャレにならない被害が出そう。
そんな結論が出たら、日本中のスクリプト厨がphfや今回の件みたいな、
そもそもユーザ認証は無関係なcgiなんだけどバグっててファイルが見放題
ってのをひたすら試しまくってしまってウザいことこの上ないし、
そういう厨房が無罪放免ということになったらシャレにならない被害が出そう。
824 :名無しさん@4周年:04/02/07 15:34 ID:a+SiXva0
・CGIに限らず、計算機総体ではtelnet,ftp等のプロトコルに符号識別アクセス制限機構がある。
・今回利用したのはCGIであり、他のプロトコルは問題にならない。
どうなんでしょうねえ。
・今回利用したのはCGIであり、他のプロトコルは問題にならない。
どうなんでしょうねえ。
825 :名無しさん@4周年:04/02/07 15:34 ID:StDmSd4c
>>822
面倒なので、scpって読み替えて。
面倒なので、scpって読み替えて。
>>823
法人がユーザ認証は無関係なcgiなんだけどバグっててファイルが見放題
ってのをひたすら隠しまくって利用者が危険なことこの上ないし、
そういう法人が訴訟天国ということになったらシャレにならない被害が出そう。
法人がユーザ認証は無関係なcgiなんだけどバグっててファイルが見放題
ってのをひたすら隠しまくって利用者が危険なことこの上ないし、
そういう法人が訴訟天国ということになったらシャレにならない被害が出そう。
828 :名無しさん@4周年:04/02/07 15:37 ID:PntqH25i
今日の擁護派ダウソ厨は4pBjx+t2ですか?
829 :名無しさん@4周年:04/02/07 15:38 ID:StDmSd4c
>>826
ACCSや鯖屋が裁かれないからといってoffice=白というわけではない。
ACCSも鯖屋もofficeも全員裁かれるべきなんだよね。
全員白ってのが一番酷い。
とりあえずofficeは黒ってことで、その後ゆっくりACCSと鯖屋も黒にするべく努力してほしい。
ACCSや鯖屋が裁かれないからといってoffice=白というわけではない。
ACCSも鯖屋もofficeも全員裁かれるべきなんだよね。
全員白ってのが一番酷い。
とりあえずofficeは黒ってことで、その後ゆっくりACCSと鯖屋も黒にするべく努力してほしい。
830 :名無しさん@4周年:04/02/07 15:39 ID:PntqH25i
831 :名無しさん@4周年:04/02/07 15:39 ID:2bIotKLO
インタープリター言語???の時代が終わりつつある今日このごろ・・・
832 :785:04/02/07 15:40 ID:4pBjx+t2
>>801
>・おひすはそもそもwebでは非公開で(telnetやftpなどの認証をクリアした人しか見れないはずの)情報を見ようとした犯意があったか
>が重要。telnetやftpとか具体的なものに対応付けしたらrshやscpなどキリがない。
は、いいとして。
>需要なのは「別サービスの認証をクリアした人じゃなきゃ見れないはず」を認識してcgiのバグを突いたかどうか。
全然違うだろ。webで見える以上別サービスは無関係。
普通のwebファイルは、http以外の方法では「別サービスの認証をクリアした人じゃなきゃ見れないはず」だ。
2チャンのこの掲示板自体もそうだ。
webでなんの認証もなく見えるファイルをwebで見るのは回避じゃないんだよ。
>・おひすはそもそもwebでは非公開で(telnetやftpなどの認証をクリアした人しか見れないはずの)情報を見ようとした犯意があったか
>が重要。telnetやftpとか具体的なものに対応付けしたらrshやscpなどキリがない。
は、いいとして。
>需要なのは「別サービスの認証をクリアした人じゃなきゃ見れないはず」を認識してcgiのバグを突いたかどうか。
全然違うだろ。webで見える以上別サービスは無関係。
普通のwebファイルは、http以外の方法では「別サービスの認証をクリアした人じゃなきゃ見れないはず」だ。
2チャンのこの掲示板自体もそうだ。
webでなんの認証もなく見えるファイルをwebで見るのは回避じゃないんだよ。
833 :名無しさん@4周年:04/02/07 15:41 ID:StDmSd4c
>>832
じゃ、世界中のweb鯖にphf.cgiで/etc/passwd試してきてください。
じゃ、世界中のweb鯖にphf.cgiで/etc/passwd試してきてください。
834 :名無しさん@4周年:04/02/07 15:42 ID:nHflVB7t
不正アクセス禁止法3-2-2は今の容疑者には適用不能。
むしろCGIを設置した業者の責任追及に使うことができそうってことでFAにしとけ。
むしろCGIを設置した業者の責任追及に使うことができそうってことでFAにしとけ。
835 :名無しさん@4周年:04/02/07 15:43 ID:PntqH25i
836 :785:04/02/07 15:44 ID:4pBjx+t2
>>825
ftpでもscpでもtelnetでもなんでもいいが、785みれ。
ftpでもscpでもtelnetでもなんでもいいが、785みれ。
837 :ID:+ud/Nm+MID:+ud/Nm+M:04/02/07 15:45 ID:7vs2KiPG
>>814
別にshellじゃなくてもいいんだぜ?
実体ファイルにアクセスしてるからファイルアクセスサービスというのなら、
なんでもかんでもファイルアクセスサービスと見做せるな。
>>816
あげあしと認めるわけだ。自説を通すために電波を飛ばしてはいけませんなあ。
>>818
echo も、例えば、FreeBSDの場合、IPFIREWALLを設定しておけばログに残るが、
それもファイルアクセスサービスか? ntpもntp.driftというファイルにアク
セスしているがどうなんだ。つまり、君の理屈では、
全てネットワークサービスは、ファイルアクセスサービスということになる。
#投稿制限してるのかよ。まったく。
別にshellじゃなくてもいいんだぜ?
実体ファイルにアクセスしてるからファイルアクセスサービスというのなら、
なんでもかんでもファイルアクセスサービスと見做せるな。
>>816
あげあしと認めるわけだ。自説を通すために電波を飛ばしてはいけませんなあ。
>>818
echo も、例えば、FreeBSDの場合、IPFIREWALLを設定しておけばログに残るが、
それもファイルアクセスサービスか? ntpもntp.driftというファイルにアク
セスしているがどうなんだ。つまり、君の理屈では、
全てネットワークサービスは、ファイルアクセスサービスということになる。
#投稿制限してるのかよ。まったく。
838 :名無しさん@4周年:04/02/07 15:46 ID:StDmSd4c
4pBjx+t2はAD2002に行ってオヒスの真似しちゃった人?
だとしたら必死に回避してないとか言うのも頷ける。
がんばれよ。
だとしたら必死に回避してないとか言うのも頷ける。
がんばれよ。
つまりスクリプトのセキュリティホールを突くのは無問題ってことか
よーし、パパ明日からいろいろのぞきまくっちゃうぞ
世の中にはアフォなCGIいっぱいあるからな
よーし、パパ明日からいろいろのぞきまくっちゃうぞ
世の中にはアフォなCGIいっぱいあるからな
分かりやすく家に例えると
玄関に鍵かけたけど窓が開いてたってことでしょ?
管理責任だと思うけどなー
玄関に鍵かけたけど窓が開いてたってことでしょ?
管理責任だと思うけどなー
841 :ID:+ud/Nm+M:04/02/07 15:49 ID:7vs2KiPG
>>840
まさにそれだ。
まさにそれだ。
843 :名無しさん@4周年:04/02/07 15:50 ID:StDmSd4c
>>837
それは極論だけどそう思うんだったらそう思えばいいよ。
実装依存だけど組み込みシステムとかdisklessシステムとかいきなり排除して都合の良い方向に持っていくだけだし。
とりあえず今は面倒なのでscpとftpってことで良い?
それは極論だけどそう思うんだったらそう思えばいいよ。
実装依存だけど組み込みシステムとかdisklessシステムとかいきなり排除して都合の良い方向に持っていくだけだし。
とりあえず今は面倒なのでscpとftpってことで良い?
844 :名無しさん@4周年:04/02/07 15:51 ID:PntqH25i
845 :名無しさん@4周年:04/02/07 15:51 ID:pBg0sKaY
846 :ID:+ud/Nm+M:04/02/07 15:51 ID:7vs2KiPG
>>842
サービス管理側の意図かどうか、どうやってわかるのかね?
サービス管理側の意図かどうか、どうやってわかるのかね?
847 :名無しさん@4周年:04/02/07 15:53 ID:StDmSd4c
まぁオヒスが無罪だと思う人は、バグってるcgi突いて個人情報ガンガンゲットしてみてください。
もうやっちゃった人もいるみたいだけど。
もうやっちゃった人もいるみたいだけど。
848 :名無しさん@4周年:04/02/07 15:53 ID:mXcgBl23
850 :名無しさん@4周年:04/02/07 15:54 ID:PntqH25i
851 :名無しさん@4周年:04/02/07 15:55 ID:cVsE+Dcn
852 :名無しさん@4周年:04/02/07 15:56 ID:StDmSd4c
ところで、このスレに本当に次に頭に上着被りそうな人がいたら
是非
「もうだめぽりすがスティングになっちゃう」
と最後に言い残して「もうだめぽ」の「ぽ」を明らかにしてから消えて欲すぃ。
是非
「もうだめぽりすがスティングになっちゃう」
と最後に言い残して「もうだめぽ」の「ぽ」を明らかにしてから消えて欲すぃ。
853 :ID:+ud/Nm+M:04/02/07 15:57 ID:7vs2KiPG
854 :名無しさん@4周年:04/02/07 15:58 ID:PntqH25i
そもそも意図は無視できても客観性は無視できないんだよね。
技術的にどうこうではなく、該当CGIがどのような機能を提供していたかどうか。
擁護派ダウソ厨は該当CGIが任意のファイルを表示する機能を提供していたと
客観的に判断しているようだけどw
技術的にどうこうではなく、該当CGIがどのような機能を提供していたかどうか。
擁護派ダウソ厨は該当CGIが任意のファイルを表示する機能を提供していたと
客観的に判断しているようだけどw
856 :名無しさん@4周年:04/02/07 16:02 ID:PntqH25i
857 :名無しさん@4周年:04/02/07 16:02 ID:4pBjx+t2
>技術的にどうこうではなく、該当CGIがどのような機能を提供していたかどうか。
>擁護派ダウソ厨は該当CGIが任意のファイルを表示する機能を提供していたと
>客観的に判断しているようだけどw
客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。
>擁護派ダウソ厨は該当CGIが任意のファイルを表示する機能を提供していたと
>客観的に判断しているようだけどw
客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。
858 :名無しさん@4周年:04/02/07 16:04 ID:StDmSd4c
とりあえずオヒスが無罪になるって自信がある人は、cgiのバグ突いていろんな個人情報ゲットして、
名簿屋に売るなりして稼げばいいのに。
名簿屋に売るなりして稼げばいいのに。
859 :名無しさん@4周年:04/02/07 16:05 ID:PntqH25i
860 :名無しさん@4周年:04/02/07 16:05 ID:NDUW3NRr
俺も次はツーカーにします。
auってインチキくさいからあまり好きじゃない。
auってインチキくさいからあまり好きじゃない。
861 :ID:+ud/Nm+M:04/02/07 16:07 ID:7vs2KiPG
まあ、本物の盗賊は形跡も残らないように一瞬で仕事をするわけだがね。
このおふぃすって人も、わざわざ教えてやらなくてもいいのに、お人よしだね。
このおふぃすって人も、わざわざ教えてやらなくてもいいのに、お人よしだね。
862 :名無しさん@4周年:04/02/07 16:07 ID:vurMG0vJ
>>857
>客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。
それは事実誤認でしょ
開発者は知っていたしそれを回避するためのCGIを作って提供もしていたが昔のCGIのその仕様をユーザーに説明していなかったが正解
それ以前に管理者であるヨセフアンドレオンにそんな能力は無いだろ
>客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。
それは事実誤認でしょ
開発者は知っていたしそれを回避するためのCGIを作って提供もしていたが昔のCGIのその仕様をユーザーに説明していなかったが正解
それ以前に管理者であるヨセフアンドレオンにそんな能力は無いだろ
864 :名無しさん@4周年:04/02/07 16:08 ID:PntqH25i
俺いちいちセキュリティーホールの不具合の詳細なんて把握してないよ。
真剣に穴の詳細を見るのはsendmailとかの激ヤバクラスのみ。
4pBjx+t2クンはどう?
真剣に穴の詳細を見るのはsendmailとかの激ヤバクラスのみ。
4pBjx+t2クンはどう?
865 :ID:+ud/Nm+M:04/02/07 16:10 ID:7vs2KiPG
引数チェックも無しでsystem()に渡すような三流プログラマは
世の中にはたくさんいるんだろうねえ。
世の中にはたくさんいるんだろうねえ。
866 :名無しさん@4周年:04/02/07 16:10 ID:PntqH25i
867 :名無しさん@4周年:04/02/07 16:15 ID:PntqH25i
868 :名無しさん@4周年:04/02/07 16:15 ID:2bIotKLO
セキュリティホールを指摘したのはホントにおひすだけなんだろな、
それ以前に指摘した人は絶対にいないんだろな、
ホントに個人情報を公開してたのは知らなかったんだろな
ACCS、鯖屋、関係者で一人も知ってる人がいなかったんだろな・・・・・
それ以前に指摘した人は絶対にいないんだろな、
ホントに個人情報を公開してたのは知らなかったんだろな
ACCS、鯖屋、関係者で一人も知ってる人がいなかったんだろな・・・・・
869 :ID:+ud/Nm+M:04/02/07 16:17 ID:7vs2KiPG
>>867
セキュリティの重要性が認識されれば、そんなことも言ってられないだろうね。
セキュリティの重要性が認識されれば、そんなことも言ってられないだろうね。
870 :名無しさん@4周年:04/02/07 16:18 ID:cVsE+Dcn
871 :名無しさん@4周年:04/02/07 16:21 ID:33xwVikt
>>869
「儲けにつながらない=重要ではない」これ常識。
現状では何か問題起きてもその時小銭払っておいた方がまし。
この状態を変えるのはオヒスのような偽善者ではない。
巨額の賠償金を勝ち取れるようになる法律。
オヒスは完全に先走りの無駄死にでしたねw
「儲けにつながらない=重要ではない」これ常識。
現状では何か問題起きてもその時小銭払っておいた方がまし。
この状態を変えるのはオヒスのような偽善者ではない。
巨額の賠償金を勝ち取れるようになる法律。
オヒスは完全に先走りの無駄死にでしたねw
しかしofficeも迷惑な奴だよな。
何も脆弱性を指摘しているのは彼だけではない。
表に出ないで公開している奴は少なくない。
あんな軽はずみな行動を取ってもらうと迷惑。
office擁護は過去の功績を訴えるが未来にとっては大きな損失。
何も脆弱性を指摘しているのは彼だけではない。
表に出ないで公開している奴は少なくない。
あんな軽はずみな行動を取ってもらうと迷惑。
office擁護は過去の功績を訴えるが未来にとっては大きな損失。
874 :ID:+ud/Nm+M:04/02/07 16:26 ID:7vs2KiPG
875 :名無しさん@4周年:04/02/07 16:29 ID:PntqH25i
>>821
判例がないとわからない馬鹿どもだから。
>>871
明白なのに逮捕して、そのうえ凶悪犯並みのニュースでの扱いなのか。
見せしめ効果抜群だなw
>>874
指摘だけなら逮捕されなかった可能性が非常に高いのにね。
指摘だけなら他にもいろんな人がして円満解決してるのにね。
ほんとオヒスって馬鹿だなw
判例がないとわからない馬鹿どもだから。
>>871
明白なのに逮捕して、そのうえ凶悪犯並みのニュースでの扱いなのか。
見せしめ効果抜群だなw
>>874
指摘だけなら逮捕されなかった可能性が非常に高いのにね。
指摘だけなら他にもいろんな人がして円満解決してるのにね。
ほんとオヒスって馬鹿だなw
876 :名無しさん@4周年:04/02/07 16:30 ID:cVsE+Dcn
公益性を考えて、発見した脆弱性を2chで晒せばお咎めなしという法律作ろうぜ。
877 :ID:+ud/Nm+M:04/02/07 16:31 ID:7vs2KiPG
それでも不正アクセス禁止法を逆手にとって、
「不正アクセスした人間が処罰されているんだからウチ(サーバ管理者)
には何の責任も無い」
という主張を民事でやられると、俺ら貧乏人には為すすべが無いよ。
今回の件が不正アクセスに認定されちゃ困る。
「不正アクセスした人間が処罰されているんだからウチ(サーバ管理者)
には何の責任も無い」
という主張を民事でやられると、俺ら貧乏人には為すすべが無いよ。
今回の件が不正アクセスに認定されちゃ困る。
879 :名無しさん@4周年:04/02/07 16:31 ID:RQiCTXJU
まあ何があろうとSEは奴隷なわけだが
880 :名無しさん@4周年:04/02/07 16:36 ID:2bIotKLO
医療ミスの隠蔽見たくなってなって参りました。
882 :名無しさん@4周年:04/02/07 16:37 ID:PntqH25i
>>878
主張しても責任0にはならないよ。
しかるべき法律が施行されれば。
よくあるたとえ話で考えればわかるでしょ。
なんか今回の件を無理矢理一般論に当てはめたり
妙に不安がっている人が多すぎなような。
世間知らずの坊やがタイミングとサジ加減を間違えたって
懲らしめられたってだけの話なのに。
主張しても責任0にはならないよ。
しかるべき法律が施行されれば。
よくあるたとえ話で考えればわかるでしょ。
なんか今回の件を無理矢理一般論に当てはめたり
妙に不安がっている人が多すぎなような。
世間知らずの坊やがタイミングとサジ加減を間違えたって
懲らしめられたってだけの話なのに。
883 :名無しさん@4周年:04/02/07 16:37 ID:6EIF0mBp
∧_∧∩ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( ´Д`)/< 先生!作者の意図通りに動くcgiってあるんですか?
_ / / / \__________________
\⊂ノ ̄ ̄ ̄ ̄\
||\ \
||\|| ̄ ̄ ̄ ̄ ̄||
|| || ̄ ̄ ̄ ̄ ̄||
.|| ||
886 :名無しさん@4周年:04/02/07 16:43 ID:78pSyCZj
昨日のID:awdS9Wh3の人は今日はどのウンコIDですか?
officeは言動にちょっとばかし問題が有るので、
海外みたいに○週間のボランティア活動とかにして、
色々と考えて問題点を改めてほしい。
海外みたいに○週間のボランティア活動とかにして、
色々と考えて問題点を改めてほしい。
>>883 CGIは作者が作ったとおりに動く事が多いです。
890 :名無しさん@4周年:04/02/07 16:46 ID:StDmSd4c
ちなみにオヒスはACCSにpenetration testを仕掛けるけど、
自分のところにpenetration testされると「ハウス!」。
自分のところにpenetration testされると「ハウス!」。
>>885
本当に善意の、過去においても良識ある言動を行っていた人物が
企業とネットワークの発展を考えて
「ちょっとだけ」行き過ぎた行動を起こしたというのなら、
多くの人間がその人間を擁護するだろう。
今回はそういうのとはかけ離れすぎていてww
本当に善意の、過去においても良識ある言動を行っていた人物が
企業とネットワークの発展を考えて
「ちょっとだけ」行き過ぎた行動を起こしたというのなら、
多くの人間がその人間を擁護するだろう。
今回はそういうのとはかけ離れすぎていてww
893 :名無しさん@4周年:04/02/07 16:50 ID:nHflVB7t
とりあえず今回に限ってはどう贔屓目に見ても善意の行動ではない。
管理側に通告する前にどこか特定可能な上にイベントで実名リストまで公開。
これは悪意の行動と取られても否定不能で自称・セキュリティ専門家として恥ずべき行為。
自分の立場も考えないでとった軽はずみな行動。
有罪・無罪関係なしに彼にとっては良いお灸になったと思う。
これで反省の色が見えなかったら人間的に脆弱。
管理側に通告する前にどこか特定可能な上にイベントで実名リストまで公開。
これは悪意の行動と取られても否定不能で自称・セキュリティ専門家として恥ずべき行為。
自分の立場も考えないでとった軽はずみな行動。
有罪・無罪関係なしに彼にとっては良いお灸になったと思う。
これで反省の色が見えなかったら人間的に脆弱。
>>870
新事実でも何でもない。
新事実でも何でもない。
office氏を不正アクセス禁止法で有罪にするためには
彼が「不可能を可能に変える」必要がある。
今回の件では無理。
彼が「不可能を可能に変える」必要がある。
今回の件では無理。
はや!
office氏の掲示板見てて思ったんだけど
管理者がいなくなったあと荒らしが入らないようにして、
それと過去ログ改竄できないようにする仕組みは必要だな
管理者がいなくなったあと荒らしが入らないようにして、
それと過去ログ改竄できないようにする仕組みは必要だな
902 :名無しさん@4周年:04/02/07 17:12 ID:vurMG0vJ
いや、ザル法の感は否めないけど、
条文ではそうとしかならないんですよ…
第三条を見ると全項目で、不正アクセスとは
「制限されている特定利用をし得る状態にさせる行為」
とあるの。
http://www.ipa.go.jp/security/ciadr/law199908.html
条文ではそうとしかならないんですよ…
第三条を見ると全項目で、不正アクセスとは
「制限されている特定利用をし得る状態にさせる行為」
とあるの。
http://www.ipa.go.jp/security/ciadr/law199908.html
たとえ可能であっても、やったら犯罪。そのように解釈して欲しいな。>不正アクセス法
905 :名無しさん@4周年:04/02/07 17:16 ID:StDmSd4c
オヒスが無罪になる自信がある人は、
どーせ似たような問題抱えてるcgiはいっぱいあるだろうし
そういうcgiから個人情報ゲットしまくって
公の場に晒しまくってみてください。
タイーホされたら記念にスレ立ててあげます。
どーせ似たような問題抱えてるcgiはいっぱいあるだろうし
そういうcgiから個人情報ゲットしまくって
公の場に晒しまくってみてください。
タイーホされたら記念にスレ立ててあげます。
906 :名無しさん@4周年:04/02/07 17:18 ID:vurMG0vJ
俺の感覚だとこんな感じ
制作者はofficeが行った行為をそのプログラムで行うことが可能であると把握していた
なので新しいスクリプトを作成したがそんなマヌケなプログラムを使わせていたのがバレると恥ずかしいし「じゃあ、今までデータはダダ漏れだったんだな?」とユーザーに訴訟を起こされることが怖くて黙っていた
つまり制作者はofficeが行ったことをそのプログラムで出来るという事実を認識していた
ということは制作者の意図しないバグではないということになる
つまり、それは機能
今回の件はofficeとACCSという構図で考えると面倒になる
ACCSはそのプログラムは漏れないものだという認識で利用していたわけだからね
でもofficeとファーストサーバーという構図にすると制作者が認知していた機能なので不正アクセスは成り立たせるのが難しくなる
一番わかりやすいのはACCSがファーストサーバーを民事で訴える図式なんだろうなあ
制作者はofficeが行った行為をそのプログラムで行うことが可能であると把握していた
なので新しいスクリプトを作成したがそんなマヌケなプログラムを使わせていたのがバレると恥ずかしいし「じゃあ、今までデータはダダ漏れだったんだな?」とユーザーに訴訟を起こされることが怖くて黙っていた
つまり制作者はofficeが行ったことをそのプログラムで出来るという事実を認識していた
ということは制作者の意図しないバグではないということになる
つまり、それは機能
今回の件はofficeとACCSという構図で考えると面倒になる
ACCSはそのプログラムは漏れないものだという認識で利用していたわけだからね
でもofficeとファーストサーバーという構図にすると制作者が認知していた機能なので不正アクセスは成り立たせるのが難しくなる
一番わかりやすいのはACCSがファーストサーバーを民事で訴える図式なんだろうなあ
908 :名無しさん@4周年:04/02/07 17:20 ID:StDmSd4c
909 :名無しさん@4周年:04/02/07 17:21 ID:nHflVB7t
910 :名無しさん@4周年:04/02/07 17:21 ID:vurMG0vJ
良く見ると俺のもかなり極論だ(w
この図式で考えると罪に問われる者が存在しなくなってしまう可能性あるな
そういう結末も考えられるけど(w
この図式で考えると罪に問われる者が存在しなくなってしまう可能性あるな
そういう結末も考えられるけど(w
>>906
ACCSとかファーストサーバの本音という部分ではそんな感じですね〜
office氏はoffice氏の責任、ACCSにはACCSの責任、
ファーストサーバもヨゼフアンドレオンもそれぞれの責任。
全部分けて考えないとダメ。
ACCSとかファーストサーバの本音という部分ではそんな感じですね〜
office氏はoffice氏の責任、ACCSにはACCSの責任、
ファーストサーバもヨゼフアンドレオンもそれぞれの責任。
全部分けて考えないとダメ。
>しかしそうすると、今度はブラウザからhtmlにアクセスしただけで
>管理者が意図しなかったというだけで逮捕されることになりうるのでは?
それでいいんじゃない?
>管理者が意図しなかったというだけで逮捕されることになりうるのでは?
それでいいんじゃない?
913 :名無しさん@4周年:04/02/07 17:26 ID:RyanK4KC
http://www.okumura-tanaka-law.com/www/okumura/access/access.htm
Qセキュリティホール発見者の対応
A ルール化されたものはない。
逐条解説不正アクセス行為の禁止等に関する法律P89
経済産業省セキュリティホール報告書
http://www.meti.go.jp/policy/netsecurity/Foreign_Law_Report.pdf
Qセキュリティホール発見者の対応
A ルール化されたものはない。
逐条解説不正アクセス行為の禁止等に関する法律P89
経済産業省セキュリティホール報告書
http://www.meti.go.jp/policy/netsecurity/Foreign_Law_Report.pdf
914 :名無しさん@4周年:04/02/07 17:26 ID:StDmSd4c
まぁいずれにせよオヒスは余罪追及されてそっちでもアウト!に1000カノッサ。
おそらくヨゼフアンドレオンは己の非に気付いたんだろう
だから声明文を取り下げ、取引先リストを改竄したんだと…。
>>908
刑法で産業スパイを禁止する法律なかったっけ
>>909
うん、office氏の責任を問うことができないってのは分かります。
ただアクセスできれば必然的に個人情報の流出につながる可能性は高く、
そうなると個人情報が守られなくなるからそっちが心配で…
だから声明文を取り下げ、取引先リストを改竄したんだと…。
>>908
刑法で産業スパイを禁止する法律なかったっけ
>>909
うん、office氏の責任を問うことができないってのは分かります。
ただアクセスできれば必然的に個人情報の流出につながる可能性は高く、
そうなると個人情報が守られなくなるからそっちが心配で…
916 :名無しさん@4周年:04/02/07 17:28 ID:4pBjx+t2
>>862
>>客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。
>それは事実誤認でしょ
どっちが。
>開発者は知っていたしそれを回避するためのCGIを作って提供もしていたが昔のCGIのその仕様をユーザーに説明していなかったが正解
ファースト鯖は貸鯖屋であって、CGI開発者であるだけでなく鯖管理者だろ。
>それ以前に管理者であるヨセフアンドレオンにそんな能力は無いだろ
ACCSだってヨセフアンドレオンだって管理者側だが、ファースト鯖含めた管理者側の不手際でアクセス側を罪に問えるか。
管理者側は鯖の状態を承知の上放置。これが事実。
>>客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。
>それは事実誤認でしょ
どっちが。
>開発者は知っていたしそれを回避するためのCGIを作って提供もしていたが昔のCGIのその仕様をユーザーに説明していなかったが正解
ファースト鯖は貸鯖屋であって、CGI開発者であるだけでなく鯖管理者だろ。
>それ以前に管理者であるヨセフアンドレオンにそんな能力は無いだろ
ACCSだってヨセフアンドレオンだって管理者側だが、ファースト鯖含めた管理者側の不手際でアクセス側を罪に問えるか。
管理者側は鯖の状態を承知の上放置。これが事実。
>>912
むちゃくちゃ過ぎw
むちゃくちゃ過ぎw
918 :名無しさん@4周年:04/02/07 17:30 ID:uBp3v6ZJ
>>895
たぶん刑務所に入って出てきたとしても自分は正しいといいはると
思うぞ。あいつの性格からして。黙秘をしているという報道を聞いて、
ああ、officeはofficeだなと思った。
あの人(officeとは違う、みんなの嫌われ者)が警察に捕まったら、
「そういうことにしたいのですね」と、絶対言うと思う。
たぶん刑務所に入って出てきたとしても自分は正しいといいはると
思うぞ。あいつの性格からして。黙秘をしているという報道を聞いて、
ああ、officeはofficeだなと思った。
あの人(officeとは違う、みんなの嫌われ者)が警察に捕まったら、
「そういうことにしたいのですね」と、絶対言うと思う。
容疑者が黙秘をするのは常套手段。office氏に限らない。
有罪にもならないから刑務所もない。
有罪にもならないから刑務所もない。
920 :名無しさん@4周年:04/02/07 17:33 ID:oWgN+YkR
不正アクセス行為と定められてる行為に今回の行為が含まれてないのに、
鍵の開いてる家に侵入するのは犯罪だろとか言ってるやつがいる意味不明だ。
不法侵入にでも当てはまるのか?
鍵の開いてる家に侵入するのは犯罪だろとか言ってるやつがいる意味不明だ。
不法侵入にでも当てはまるのか?
922 :名無しさん@4周年:04/02/07 17:36 ID:mXcgBl23
不正アクセスにはならない。以上。
923 :名無しさん@4周年:04/02/07 17:36 ID:ztgeiZlp
>>921
裁判官気取りなんて、このスレにはたくさんいるだろうが
裁判官気取りなんて、このスレにはたくさんいるだろうが
925 :名無しさん@4周年:04/02/07 17:37 ID:StDmSd4c
これで不正アクセスってことになったら、ここで「ならない」とか言い切ってる人って
ガクガクブルブルだったりするの?
ガクガクブルブルだったりするの?
926 :名無しさん@4周年:04/02/07 17:37 ID:0EJ5Ueig
取り調べ中に警官の拳銃が暴発してofficeが氏んだ、と聞いても
「あぁ、暴発じゃしょうがない」と納得出来ると思う。
「あぁ、暴発じゃしょうがない」と納得出来ると思う。
927 :名無しさん@4周年:04/02/07 17:37 ID:SfQKfKao
928 :名無しさん@4周年:04/02/07 17:38 ID:ztgeiZlp
>>927
これ流行ってるの?
これ流行ってるの?
929 :名無しさん@4周年:04/02/07 17:39 ID:uBp3v6ZJ
931 :(;´Д`)ハァハァ:04/02/07 17:41 ID:u+NM301r
(;´Д`)ハァハァ
932 :名無しさん@4周年:04/02/07 17:42 ID:oWgN+YkR
ガクガクブルブルはコンピュータ利用者全員だ。
今回のが不正アクセス行為になったら、
何が不正アクセス行為になるからわからん。
だって条文になくても不正アクセス行為になるんだから。
変な言いがかりつけられて捕まったら、法の場で意図してないことを証明するために頑張るか
今回のが不正アクセス行為になったら、
何が不正アクセス行為になるからわからん。
だって条文になくても不正アクセス行為になるんだから。
変な言いがかりつけられて捕まったら、法の場で意図してないことを証明するために頑張るか
厳密には不正アクセスに該当するが、
オヒスの馬鹿のようによほど目に余る行為さえなければ
逮捕も起訴もされない、そんなの世の中になるだろう。
警察の権限が拡大とか言うあほもいるだろうが
すでにそんなことは些細なことと思えるほど世の中はそうなっている。
オヒスの馬鹿のようによほど目に余る行為さえなければ
逮捕も起訴もされない、そんなの世の中になるだろう。
警察の権限が拡大とか言うあほもいるだろうが
すでにそんなことは些細なことと思えるほど世の中はそうなっている。
934 :名無しさん@4周年:04/02/07 17:44 ID:Jd/zXY4B
>>932
もしかして痴漢冤罪事件みたいなもんすか?
もしかして痴漢冤罪事件みたいなもんすか?
935 :名無しさん@4周年:04/02/07 17:45 ID:uBp3v6ZJ
俺がこまわり君だったらofficeは死刑!
937 :名無しさん@4周年:04/02/07 17:48 ID:4pBjx+t2
立法意図もなにも、警察の公式文書、
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
に、アクセス制御機能を、
>特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いて
>アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)
>の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号
>ではなかった場合には利用を拒否するコンピュータの機能
と書いてあるのに、識別符号なんか使ってない攻撃がこの法に引っかかるわけないだろ。
みんな、この文書改竄された場合に備えてダウンロードしとこうぜ。
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
に、アクセス制御機能を、
>特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いて
>アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)
>の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号
>ではなかった場合には利用を拒否するコンピュータの機能
と書いてあるのに、識別符号なんか使ってない攻撃がこの法に引っかかるわけないだろ。
みんな、この文書改竄された場合に備えてダウンロードしとこうぜ。
938 :名無しさん@4周年:04/02/07 17:49 ID:uBp3v6ZJ
普通のコンピュータ利用者はcgiのコードを読んで特定のファイル
を割り出し、その特定ファイルを表示できるようなPOSTを組み込んだ
スクリプトをわざわざ書いて実行するとは思えんが。
すくなくとも漏れの母親は自分のPCを持っていて普通に
メールをやりとりしたりWebサイトを見ている
普通のコンピュータ利用だと思うが、
どうかんがえてもそんな面倒なことをしそうにもないぞ。
を割り出し、その特定ファイルを表示できるようなPOSTを組み込んだ
スクリプトをわざわざ書いて実行するとは思えんが。
すくなくとも漏れの母親は自分のPCを持っていて普通に
メールをやりとりしたりWebサイトを見ている
普通のコンピュータ利用だと思うが、
どうかんがえてもそんな面倒なことをしそうにもないぞ。
↓札幌ゆきまつりでモナーの雪像ハケーンしますた!
ttp://up.isp.2ch.net/up/0c40579d8055.jpg
雪祭りでモナーが!!!
http://news2.2ch.net/test/read.cgi/news7/1075213041/
ttp://up.isp.2ch.net/up/0c40579d8055.jpg
雪祭りでモナーが!!!
http://news2.2ch.net/test/read.cgi/news7/1075213041/
941 :名無しさん@4周年:04/02/07 17:51 ID:mXcgBl23
ここが噂の無能の吹き溜まりにしてセキュリティ無視的サーバ管理で有名な
ファーストサーバー様と逆切れ激昂のACCS様と先走った早漏警察機構殿が
折角拘束したoffice氏が不起訴→誤認逮捕確定で自爆して四肢断裂して
五臓六腑爆裂してしまう救えない感じのサイバーパンクTRPG題材になりそうなスレですか?
ファーストサーバー様と逆切れ激昂のACCS様と先走った早漏警察機構殿が
折角拘束したoffice氏が不起訴→誤認逮捕確定で自爆して四肢断裂して
五臓六腑爆裂してしまう救えない感じのサイバーパンクTRPG題材になりそうなスレですか?
942 :名無しさん@4周年:04/02/07 17:52 ID:Jd/zXY4B
>>940
あのー冤罪って書いてあるの読めます?
あのー冤罪って書いてあるの読めます?
944 :名無しさん@4周年:04/02/07 17:53 ID:4pBjx+t2
>>932
>ガクガクブルブルはコンピュータ利用者全員だ。
>今回のが不正アクセス行為になったら、
>何が不正アクセス行為になるからわからん。
httpで公開されててもscpではアクセス制限されてるファイルは、httpでアクセスしたらアクセス制御機構の回避になるというのが警察の論理(w)らしいから、笑い事じゃないよ(w
ほとんどのウェブアクセスが該当するからな。
>ガクガクブルブルはコンピュータ利用者全員だ。
>今回のが不正アクセス行為になったら、
>何が不正アクセス行為になるからわからん。
httpで公開されててもscpではアクセス制限されてるファイルは、httpでアクセスしたらアクセス制御機構の回避になるというのが警察の論理(w)らしいから、笑い事じゃないよ(w
ほとんどのウェブアクセスが該当するからな。
945 :名無しさん@4周年:04/02/07 17:53 ID:StDmSd4c
>>933そうだね。
厳密には違法でも突出した馬鹿が捕まるだけだし。通常。
いちいち厳密に逮捕してたら日本人全員捕まりそうだよ。
スピード違反とか。
オヒス擁護してる人は必死にイメージアップがんばってるようだけど、
もし上着被せられるようなことがあったら、
上着被ったままコマネチのポーズやってくれないかな?お願い。あめちゃんあげるから。
厳密には違法でも突出した馬鹿が捕まるだけだし。通常。
いちいち厳密に逮捕してたら日本人全員捕まりそうだよ。
スピード違反とか。
オヒス擁護してる人は必死にイメージアップがんばってるようだけど、
もし上着被せられるようなことがあったら、
上着被ったままコマネチのポーズやってくれないかな?お願い。あめちゃんあげるから。
946 :名無しさん@4周年:04/02/07 17:54 ID:Jd/zXY4B
947 :名無しさん@4周年:04/02/07 17:56 ID:uBp3v6ZJ
949 :名無しさん@4周年:04/02/07 17:57 ID:4pBjx+t2
>>938
>普通のコンピュータ利用だと思うが、
>どうかんがえてもそんな面倒なことをしそうにもないぞ。
犯意があったかどうかという話か?
そもそも犯罪じゃない行為に犯意があったかどうかは関係ないぞ。
>普通のコンピュータ利用だと思うが、
>どうかんがえてもそんな面倒なことをしそうにもないぞ。
犯意があったかどうかという話か?
そもそも犯罪じゃない行為に犯意があったかどうかは関係ないぞ。
cgiへ渡してる引数はパスワードに該当するだろ。
>>947
だからcsvmail.cgiがサーバとして機能してたんですよ
だからcsvmail.cgiがサーバとして機能してたんですよ
952 :名無しさん@4周年:04/02/07 17:59 ID:6Cg7LcS2
まとめサイトどこ〜?チンチン!
954 :名無しさん@4周年:04/02/07 18:01 ID:uBp3v6ZJ
左翼おとくいの「不当逮捕」でつか?
955 :名無しさん@4周年:04/02/07 18:02 ID:4pBjx+t2
>>947
>ログインにはパスワードが必要なシステムであるという要件だよ。
>だから普通のサーバ機を使っていれば、「アクセス制御機能を持つ」
>と解釈される。
だからなんだ?
普通のサーバでscpはアクセス制御機能を持ち一般人にはほとんどのファイルが読めない。
それらのファイルがhttpで公開されてても、一般人がhttpでそれらのファイルをアクセスしたらscpのアクセス制御機能の回避だ。
これで不正アクセス禁止法違反になるっていうなら、全インターネットユーザタイーホしろ。
>ログインにはパスワードが必要なシステムであるという要件だよ。
>だから普通のサーバ機を使っていれば、「アクセス制御機能を持つ」
>と解釈される。
だからなんだ?
普通のサーバでscpはアクセス制御機能を持ち一般人にはほとんどのファイルが読めない。
それらのファイルがhttpで公開されてても、一般人がhttpでそれらのファイルをアクセスしたらscpのアクセス制御機能の回避だ。
これで不正アクセス禁止法違反になるっていうなら、全インターネットユーザタイーホしろ。
956 :名無しさん@4周年:04/02/07 18:02 ID:StDmSd4c
>>949
4pBjx+t2ってさ、ぶっちゃけphfどう思う?
4pBjx+t2ってさ、ぶっちゃけphfどう思う?
>>953
該当しないってのには、同意しないな。忘れるつもりは無い。
>引数を渡す以前から、件のcgiはroot権限のない全ユーザに
>鯖上の全ファイルを開示するサービスをしていた。
そんなサービスやってないだろ。
それはセキュリティホール。
該当しないってのには、同意しないな。忘れるつもりは無い。
>引数を渡す以前から、件のcgiはroot権限のない全ユーザに
>鯖上の全ファイルを開示するサービスをしていた。
そんなサービスやってないだろ。
それはセキュリティホール。
960 :名無しさん@4周年:04/02/07 18:05 ID:Jd/zXY4B
961 :名無しさん@4周年:04/02/07 18:06 ID:uBp3v6ZJ
>>951
だから、それは仕様書に「このcgiを使えばどこにでもアクセス
できます」とでも書いていないと駄目なんだってば。
機能していても、「はい、それはバグです。セキュリティホールを
ついて本来のアクセス制御を回避されてしまいました」で終わりなの。
あの法律はホスト側にアマアマで作っているの。でも法律は法律。
だから、それは仕様書に「このcgiを使えばどこにでもアクセス
できます」とでも書いていないと駄目なんだってば。
機能していても、「はい、それはバグです。セキュリティホールを
ついて本来のアクセス制御を回避されてしまいました」で終わりなの。
あの法律はホスト側にアマアマで作っているの。でも法律は法律。
962 :名無しさん@4周年:04/02/07 18:07 ID:oWgN+YkR
>>959
サービスとセキュリティホールの違いで何が違うのか不正アクセス法に関わる部分で教えてくれ。
サービスとセキュリティホールの違いで何が違うのか不正アクセス法に関わる部分で教えてくれ。
>>959
あなたは多分セキュリティ専門なんだろう。
だから逆に勘違いしているんだと思う。
不正アクセス行為そのものと、それができる状態(ホール)とは別物だ。
office氏は不正アクセスをしていない。
あなたは多分セキュリティ専門なんだろう。
だから逆に勘違いしているんだと思う。
不正アクセス行為そのものと、それができる状態(ホール)とは別物だ。
office氏は不正アクセスをしていない。
964 :名無しさん@4周年:04/02/07 18:07 ID:StDmSd4c
office冤罪説支持者はphf attackも不正アクセス禁止法でタイーホされないと思ってたりするの?
965 :名無しさん@4周年:04/02/07 18:08 ID:4pBjx+t2
966 :名無しさん@4周年:04/02/07 18:08 ID:uBp3v6ZJ
967 :名無しさん@4周年:04/02/07 18:09 ID:ueaRtLTx
>>961
「アクセス制御してます」と書いてなきゃ駄目なんちゃう?
「アクセス制御してます」と書いてなきゃ駄目なんちゃう?
968 :名無しさん@4周年:04/02/07 18:09 ID:oWgN+YkR
>>961
不正アクセス防止法はその前段階のアクセス制限を破れる状態にすることが不正アクセス行為として書かれてないか?
不正アクセス防止法はその前段階のアクセス制限を破れる状態にすることが不正アクセス行為として書かれてないか?
969 :名無しさん@4周年:04/02/07 18:11 ID:SdhyEyWg
えーと、俺がまとめよう。
法律が整備されてなかった。
以上。
法律が整備されてなかった。
以上。
970 :名無しさん@4周年:04/02/07 18:11 ID:yKKI4U16
972 :名無しさん@4周年:04/02/07 18:12 ID:ztgeiZlp
>>969
法律がないのに逮捕したらまずいだろ
法律がないのに逮捕したらまずいだろ
973 :名無しさん@4周年:04/02/07 18:12 ID:0EJ5Ueig
>>995はがんがれ。
>>955
terraと名乗ってた作者はサイトたたんで逃亡。
出版社、IPA、JPCERTにも報告してあるが放置されている、任意コマンド実行可能なCGIの攻撃方法がここにある。
http://pc.2ch.net/test/read.cgi/sec/1025492970/142n-
利用者は知らされずに放置されてるので、今でも実行可能だろう。
犯罪じゃないというなら実行してみてくれ。
terraと名乗ってた作者はサイトたたんで逃亡。
出版社、IPA、JPCERTにも報告してあるが放置されている、任意コマンド実行可能なCGIの攻撃方法がここにある。
http://pc.2ch.net/test/read.cgi/sec/1025492970/142n-
利用者は知らされずに放置されてるので、今でも実行可能だろう。
犯罪じゃないというなら実行してみてくれ。
>>974
任意コマンドの内容が「不可能を可能にする」ものではないか?
任意コマンドの内容が「不可能を可能にする」ものではないか?
976 :名無しさん@4周年:04/02/07 18:14 ID:4pBjx+t2
不正アクセス禁止法の「不正アクセス」はパスワードとID等による狭い意味のアクセス制御しか想定してないので、それ以外の方法で「アクセス制御」しててそれを回避しても法による「アクセス制御機構の回避」にならないんだよ。
977 :名無しさん@4周年:04/02/07 18:14 ID:oWgN+YkR
>>974
たとえ犯罪じゃないと考えてても公の線引きが出来てない時にぎりぎりの場所に行くのはただの馬鹿だろ。
たとえ犯罪じゃないと考えてても公の線引きが出来てない時にぎりぎりの場所に行くのはただの馬鹿だろ。
978 :名無しさん@4周年:04/02/07 18:15 ID:StDmSd4c
>>964
いや。聞きたいのはphf attackは白か黒か?ってこと。
いや。聞きたいのはphf attackは白か黒か?ってこと。
アドレス削ったら凄い物が見つかっちゃった程度の話だったら笑えるが
980 :名無しさん@4周年:04/02/07 18:15 ID:baOXU3Oj
結局47氏だったんだな。
981 :名無しさん@4周年:04/02/07 18:17 ID:Jd/zXY4B
>>977
奴の中では明確に犯罪ではないんだろう?
奴の中では明確に犯罪ではないんだろう?
984 :名無しさん@4周年:04/02/07 18:17 ID:uBp3v6ZJ
>>968
それは3の1だろ。こっちは3の3。
それは3の1だろ。こっちは3の3。
さすがにもう擁護派ダウソ厨の
詭弁の中に注目に値するものがなくなってきたな
詭弁の中に注目に値するものがなくなってきたな
986 :名無しさん@4周年:04/02/07 18:18 ID:4pBjx+t2
>いや。聞きたいのはphf attackは白か黒か?ってこと。
なんか粘着だな。
判例でもあるのか?
なんか粘着だな。
判例でもあるのか?
987 :名無しさん@4周年:04/02/07 18:18 ID:StDmSd4c
今この掲示板をWebブラウザで見ている奴は、telnetやftpではパスワードを
入力しない限りアクセス出来ない情報を、read.cgiを利用し/newsplus/....な
引数を渡すことによって引き出している。
ひろゆきが「その情報を公開する意図はなかった。アクセス者を全員告発する」と
言って行動にでればタイーホ祭りが発生するのか?
入力しない限りアクセス出来ない情報を、read.cgiを利用し/newsplus/....な
引数を渡すことによって引き出している。
ひろゆきが「その情報を公開する意図はなかった。アクセス者を全員告発する」と
言って行動にでればタイーホ祭りが発生するのか?
990 :名無しさん@4周年:04/02/07 18:21 ID:4pBjx+t2
>いや。聞きたいのはphf attackは白か黒か?ってこと。
あ、そうか。
黒だよ。
/etc/passwd抜いてパスワードクラックするんだろ。
あ、そうか。
黒だよ。
/etc/passwd抜いてパスワードクラックするんだろ。
991 :名無しさん@4周年:04/02/07 18:21 ID:oWgN+YkR
>>984
3の1、3に限らず全てに「特定利用をし得る状態にさせる行為」と書かれてるけど?
3の1、3に限らず全てに「特定利用をし得る状態にさせる行為」と書かれてるけど?
よぉ〜し、パパ1000とっちゃうぞ!
新スレ立てなくていいの?
994 :名無しさん@4周年:04/02/07 18:23 ID:PntqH25i
もともと真意などとは関係なくここはディベートの場としてみてる面もある。
結論をやたらと急ぐということは擁護派ダウソ厨の意見はもう出尽くしたということなのだろう。
結論をやたらと急ぐということは擁護派ダウソ厨の意見はもう出尽くしたということなのだろう。
995 :名無しさん@4周年:04/02/07 18:23 ID:Jd/zXY4B
結論もくそもねーし。
20日後にダウソ厨全員((( ;゚Д゚)))ガクガクブルブル
20日後にダウソ厨全員((( ;゚Д゚)))ガクガクブルブル
997 :名無しさん@4周年:04/02/07 18:24 ID:uBp3v6ZJ
998 :名無しさん@4周年:04/02/07 18:25 ID:c2lsbY58
_| ̄|○ アァァァァ・・・・ヤッテモタ・・・・・・
999 :名無しさん@4周年:04/02/07 18:25 ID:7/zPOcbr
1000獲り合戦もないくらい下火になったな
1000 :gogoooo:04/02/07 18:25 ID:VzH/1+/h
1000
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。