5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【ネット】"2ちゃんねるに流出" ACCSサイトへ不正アクセス、京都大研究員逮捕★4

1 :☆ばぐ太☆φ ★:04/02/06 21:09 ID:???
★<不正アクセス>データ入手方法「2ちゃんねる」に流出

・社団法人「コンピュータソフトウェア著作権協会」(東京都)のホームページから個人
 情報が引き出された不正アクセス行為禁止法違反事件で、逮捕された京都大研究員、
 河合一穂容疑者(40)が、ネットの安全性に関するイベントで公開した個人データと
 その入手方法が、インターネット掲示板「2ちゃんねる」に書き込まれていたことが
 分かった。

 警視庁はイベント参加者からデータが流出し、掲示板に紹介された可能性もあると
 みて調べている。

 調べでは、掲示板に書き込みがあったのは先月27、28日。河合容疑者が引き
 出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
 見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
 書き込みを削除させた。イベント主催者は同協会に「参加者ら12人がデータを入手
 したが破棄しており、流出の恐れはない」と説明したという。

 河合容疑者は昨年7月、広く使われている「CGI」という情報収集プログラムの安全性に
 欠陥があることを発見。同11月、このプログラムを使っている同協会のサイトに侵入し、
 約1200人分の個人データを入手した。
 http://headlines.yahoo.co.jp/hl?a=20040205-00000136-mai-soci

※前スレ:http://news5.2ch.net/test/read.cgi/newsplus/1076000765/

2 :名無しさん@4周年:04/02/06 21:09 ID:F0u28bbk
            _,,,,,,,,,,,,_
         , :'"´ _... --、 `゙丶、
        / _.. - ''    ..:  .:.::ヽ   ===
       /:, '       ` 、  .:.:::::',    ======
      i:'       __   .. ` 、.. .:.:::',
      !    ,,:='''´    : .  : .:.:::::,!_  そんなエサで俺様が福男ーーーー!!
 \    !,,:=、    _,,,,,_,   :  ` 、r',r ヽ
   \  ! _.. ;   ´ ̄    : .   ! iヽ :|  =====
    \ l'´- /   -、       :  ! ー 'ノ ====
      \ r_  r=ノ    . :    :r-ィ'
      ヽ\ __............  :      ! l   ======   (´⌒
        ', ,\___,,.--‐'´  .   :,' |      (´⌒;;(´⌒;;
        ヽ 、 ̄,,.. ''´   :   .:/  !、    (´;;⌒  (´⌒;; ズザザザ
         ',  ̄    . :  , :'": :  ト、\    (´⌒; (´⌒;;;

3 :名無しさん@4周年:04/02/06 21:09 ID:IomJqtey
3

4 :773:04/02/06 21:12 ID:u0p5dcBT
静観。というか寝よかな。

5 :773:04/02/06 21:14 ID:u0p5dcBT
もはや速報ですらなくなったし

6 :名無しさん@4周年:04/02/06 21:22 ID:RKWgAVP+
とりあえず
6

7 :名無しさん@4周年:04/02/06 21:23 ID:awdS9Wh3


8 :名無しさん@4周年:04/02/06 21:24 ID:j851klhb
2ちゃんねる2ちゃんねる2ちゃんねる

9 :名無しさん@4周年:04/02/06 21:24 ID:jhEdiftC
通常の利用ってhttpに従った利用なんじゃないの?

10 :名無しさん@4周年:04/02/06 21:25 ID:awdS9Wh3
なんだ、officeを弁護してやろうという男気のある香具師はもうおらんのか?

11 :名無しさん@4周年:04/02/06 21:27 ID:RKWgAVP+
一番暴れてた奴が勝利宣言wして出て行ったし
もういないんじゃないの?

12 :773:04/02/06 21:27 ID:u0p5dcBT
結論はID:r5LDRHzz氏出してるし

13 :名無しさん@4周年:04/02/06 21:28 ID:cLJeO5K+
結局不正アクセス禁止法では起訴できなさそう。

14 :名無しさん@4周年:04/02/06 21:28 ID:STa1DBxk
>9
httpに従った通常利用でバッファーオーバーフロー出来ますが何か?
法律のどこに「通常利用ならば不正アクセスと見なさない」って書いてあるんだ?
ソース出せゴルァ

15 :名無しさん@4周年:04/02/06 21:29 ID:/ZdAJqUD
厨の時間は終わったんだろ。

http://product.esbooks.co.jp/product/keyword/keyword?accd=30930997

16 :名無しさん@4周年:04/02/06 21:29 ID:0KMAK42E
どっかで隠し扉のたとえが出てたけど昔話ふうにしてみた。
むかーしむかしあるところにaccs城がありました。
accs城はDQNな輩にウザイイッテヨシ等と噂されていました。
accs城に恨みのあるオカワどん、
どーにかこーにかしてaccs城に侵入してやろうと思っていました。
そしてある日偶然にも、accs城に侵入する方法を見つけたのです。
その方法とは、accs城を取り囲んでいる、
塀の脆い部分を壊して侵入するというものでした。
侵入した事にまわりのものは誰も気が付きません。

17 :773:04/02/06 21:29 ID:u0p5dcBT
>>1
忘れてたけどスレ立て乙

18 :名無しさん@4周年:04/02/06 21:31 ID:RKWgAVP+
>>12
あれのどこが結論なのか小一時間(ry

19 :名無しさん@4周年:04/02/06 21:33 ID:awdS9Wh3
>18

わしの分もあわせて2時間だ。

20 :名無しさん@4周年:04/02/06 21:34 ID:L7uNoF3U
これ単に書き込んだ場所が2chなだけでなんで2が主語になってんの?
仮に流出先が新聞社や雑誌だったらこんな書きかたしたのけ?

21 :名無しさん@4周年:04/02/06 21:34 ID:0KMAK42E
accs城に侵入できることなど考えもしなそうです。
DQNばっかだな・・・
城から脱出すると、不思議なことに塀は元どおりになりました。
そこでオカワどんに猿の浅知恵が浮かびました。
他のみんなにこの事を知らせてaccs城を困らせてやれ
といういかにもDQNな考えでした。
そしてオヒツどんは色々な人にこの事を知らせて回りました。
すると案の定、accs城は大騒ぎとなりました。
オカワどん思わずにんまりです。
しかし結局、オカワどんは奉行所の連中に捕まり、市中引きずり回しの刑になりましたとさ。
めでたしめでたし。

22 :773:04/02/06 21:36 ID:u0p5dcBT
>>16
彼は壊してないよ

23 :名無しさん@4周年:04/02/06 21:37 ID:+paFN0C5
CGIを利用できる状態に設置したのは管理側で、CGIはロジックどおりに動きました。
かといって、個人情報のファイルが全く制限されていないとも言い難い。
この法律が管理側の責任を問う法律で無いことを考えると、
結局不起訴にせざる終えないと予想。

24 :名無しさん@4周年:04/02/06 21:38 ID:jhEdiftC
>>14
法律のどこに「通常利用ではなければ不正アクセスと見なす」って書いてあるんだ?
ソース出せゴルァ

25 :名無しさん@4周年:04/02/06 21:39 ID:STa1DBxk
>23
「アクセス制御機構の回避」により真っ黒。
条文読めゴルァ

26 :名無しさん@4周年:04/02/06 21:39 ID:awdS9Wh3
>>22

おまいは、男気があるのう。

27 :名無しさん@4周年:04/02/06 21:41 ID:RKWgAVP+
>>26
男気というより単なる無知

28 :773:04/02/06 21:41 ID:u0p5dcBT
>>26-27 27が正解。

29 :名無しさん@4周年:04/02/06 21:42 ID:STa1DBxk
無知と言うより白痴。

30 :773:04/02/06 21:43 ID:u0p5dcBT
堅忍不抜のaccs城に大穴開けたのはヨゼフたんですよ

31 :名無しさん@4周年:04/02/06 21:44 ID:k4G+A/Q/
指令!!

Webサーバ(公開情報)の情報をブラウザーで表示させて何故不正アクセス違反に
なるか証明せよ

32 :名無しさん@4周年:04/02/06 21:46 ID:ake5QoO0
考える基本と言うのか、スタートが皆違っている、ということはない?

33 :名無しさん@4周年:04/02/06 21:46 ID:jhEdiftC
>>25
「制限されている利用を可能にする行為」ではないので真っ白。
条文読めゴルァ

34 :名無しさん@4周年:04/02/06 21:46 ID:RKWgAVP+
>>31
>Webサーバ(公開情報)の情報

すでにここが違うから証明もへったくれもない

35 :名無しさん@4周年:04/02/06 21:48 ID:3dggJfGb
これはやばい?

ACCS不正アクセス 京大研究員逮捕事件に関するテンプレ
ttp://www.geocities.jp/officeandaccs/index.html#1
から
「office氏、自webサイトでACCSに対する謝罪文を公表」
リンクをクリックした後ディレクトリをさかのぼり

ttp://www.office.ac/tearoom/
を表示するとパスワードが…

テンプレの中にあるURLは不正アクセス禁止法に該当するもので、アクセスすると刑法に
該当する?

この場合、私の適切な行為とは?
管理者に知らせた方が良い?
これはCGIの不具合?
それとも、パスワードを表示する画面は本物ではない?




36 :名無しさん@4周年:04/02/06 21:52 ID:Dyo9PL3J
個人情報が漏れてしまったという被害における
関係者間の責任の割合ってどれくらいになるかな?
(法律抜きの道義的な本音で)

俺は、office(4):ACCS(2):1st+ヨセフ(4)
位かと思うんだけど。

37 :名無しさん@4周年:04/02/06 21:52 ID:RKWgAVP+
>>35
該当CGIへのアクセスにアクセス制御がされていないんだから
別に全然やばくないよ

もともとあの掲示板へのリンク自体
以前からofficeが公表していたリンクだし

38 :名無しさん@4周年:04/02/06 21:52 ID:ZvIq4Re/
>>35
ほれ
http://www.office.ac/tearoom/noframe.cgi

39 :名無しさん@4周年:04/02/06 21:54 ID:3dggJfGb
>>37
これって、今回の問題に酷似していない?
表示にCGIを使っているし、その動作は仕様どおり。

じゃ、パスワードは何だろう?
管理者(O)が、ここは「アクセス制御機能を有する特定電子計算機」と
宣言しているようにも思える。


40 :名無しさん@4周年:04/02/06 21:58 ID:RKWgAVP+
>>39
全然違う
どこにも脆弱性はない

たとえばnoframe.cgiの引数に色々入れたら
DocumentRoot配下じゃないファイルを見れたってのなら
脆弱性を利用した不正アクセスだが

あるサイトが一般に公開してるBBSが
http://example.com/cig-bin/bbs.cgi
だけど
http://exmaple.com/cgi-bin/
だと403になるのは良くある話

41 :773:04/02/06 22:01 ID:u0p5dcBT
>>35
ネタ振りうまいなぁ

42 :テンプレの人(1):04/02/06 22:05 ID:LEqWjhLk
ここ本スレでいいの?
更新してみたよ。脆弱性派と仕様派の主張、分けてみた。
みてみて叩いてちょうだい。
http://www.geocities.jp/officeandaccs/index.html#6

43 :773:04/02/06 22:05 ID:u0p5dcBT
>>40
それって不正な利用をしうる状態にさせる行為なのだろうか。。。

44 :名無しさん@4周年:04/02/06 22:06 ID:STa1DBxk
>33
ハァ????
思いっきり制限されていますが何か?
じゃあ今すぐACCSのWebサーバーのドキュメントルート以外のファイル取ってきてよ。
制限されてないんでしょ?

無知丸出しw

45 :名無しさん@4周年:04/02/06 22:08 ID:/+F/5KDD
歳坊主がさらされているようですが、大丈夫でしょうか?

46 :名無しさん@4周年:04/02/06 22:08 ID:RKWgAVP+
>>43
だから脆弱性自体がないんだから(ry

47 :名無しさん@4周年:04/02/06 22:10 ID:3dggJfGb
>>40
Tnx
でも、パスワードで保護した事実はあるんだよなぁ。

48 :名無しさん@4周年:04/02/06 22:10 ID:jhEdiftC
>>42
これはリンクしてある?
http://www.tains.tohoku.ac.jp/news/st-news-21/2640.html

49 :名無しさん@4周年:04/02/06 22:12 ID:NDaikCLK
ところでヨセフの声明文とコラムと取引先削除の件はどうでもいいのか

50 :773:04/02/06 22:13 ID:u0p5dcBT
>>42
おつかれさまでしたぁ〜
scvmail.log<タイポ

51 :名無しさん@4周年:04/02/06 22:14 ID:3dggJfGb
>>41
自分でもびっくりしたわ

52 :名無しさん@4周年:04/02/06 22:17 ID:jhEdiftC
>>44
「制限されている利用を可能にする行為」
利用を可能にする行為じゃなく、単に利用しただけ

53 :773:04/02/06 22:17 ID:u0p5dcBT
>>49
それ自体犯罪性ないし…でもなんか気になるね

54 :名無しさん@4周年:04/02/06 22:18 ID:uu3ZdQJU
不正アクセスじゃないと言い張っていた子は前スレのこれ
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/979
はどう解釈するつもりだろう。

・セキュリティホールを突き、パスワードを入力することなく不正アクセス
・不特定多数の者が当該掲示板にアクセスできるようなリンク

55 :名無しさん@4周年:04/02/06 22:20 ID:3dggJfGb
テンプレ様乙

で、
「セキュリティホールを一般公開するのはセキュリティ業界ではよくあることなんでしょ? 何か問題あんの?」
なんですが、今回の件はセキュリティホール自体は公開されており、サイト固有の問題のような気がするのですが、いかがでしょうか。



56 :名無しさん@4周年:04/02/06 22:20 ID:uu3ZdQJU
一人奮闘しているjhEdiftCは
http://pc.2ch.net/test/read.cgi/sec/1075915643/358
の恥ずかしい投稿しちゃった子と同一人物みたいだね

57 :773:04/02/06 22:20 ID:u0p5dcBT
>>54
普通にあかんしょ

58 :名無しさん@4周年:04/02/06 22:22 ID:STa1DBxk
>52

ぎゃはははは
めちゃウケたよ。

「利用を可能にする」事をしないでどうやって利用できるの?ww
「利用が不可能なのに利用できた」www

最高!

59 :名無しさん@4周年:04/02/06 22:22 ID:DXsDscXY
このCGIには条文にあるような符号識別によるアクセス制御は無い。
しかし、計算機総体で考えるとアクセス制御があるって所に
論理の飛躍があると思うんだが。

60 :名無しさん@4周年:04/02/06 22:23 ID:jhEdiftC
>>54
一応貼っとこう

http://news5.2ch.net/test/read.cgi/newsplus/1076000765/
ニュース [ニュース速報+] “【ネット】"2ちゃんねるに流出" ACCSサイトへ不正アクセス、京都大研究員逮捕★3”

979 名前:名無しさん@4周年[] 投稿日:04/02/06 21:07 ID:wOsSrC0m
あ、そういやまだ解決してないこと思いだした。
これって結局何したの?これ読んでもさっぱり分からない。これが具体的に
何をしたかで、ずいぶん見通しが明るくなると思うんだが。
だれも教えてくれないし。。。

(2)有料掲示板「2ショットチャット」の認証機能が甘いことに乗じ、
自作CGIプログラムを使用してセキュリティホールを突き、
パスワードを入力することなく不正アクセスした。
また、不特定多数の者が当該掲示板にアクセスできるようなリンクを
自分の管理するホームページ上に作成した。(平成12年6月検挙。北海道、富山)

61 :773:04/02/06 22:23 ID:u0p5dcBT
>>58
最初から利用可能

62 :名無しさん@4周年:04/02/06 22:23 ID:RKWgAVP+
>>55
csvmail.cgiの脆弱性は公開されてないよ

あとcsvmail.cgi自体ACCS、ファーストサーバだけじゃなく
いろんなサイトで利用されてたから結構大騒ぎになったよ

63 :名無しさん@4周年:04/02/06 22:23 ID:9O/rvGt6
ファイル名を指定すれば、それを引っ張ってくるCGIを
何も考えずに乗っけていたACCSがヴォケ。

ダウンロードサイトでもないのにHIDDENパラメタに
堂々とファイル名を含めている当り、もう見てらんない。

64 :名無しさん@4周年:04/02/06 22:24 ID:NDaikCLK
また符号識別か・・もういいよ・・

65 :テンプレの人(1):04/02/06 22:25 ID:LEqWjhLk
>>48
ありがとう、盛り込みました。
>>50
tipo指摘サンクスでつ。

66 :名無しさん@4周年:04/02/06 22:25 ID:STa1DBxk
>59
CGIにアクセス制御があるかどうか、なんて誰も問題にしていませんが何か?
Webサーバーの非公開部分はUNIX等のOSのファイルシステムによりアクセス制御が行われており、
たとえサーバーの目の前にたっていたとしても該当ファイルを読み出す事は出来ない。
このアクセス制御機構を、CGIの欠陥を利用して回避したということ。
手段が何であるかなど問われていない。
ファイルシステムによりアクセス制御が行われているものを、何らかの手段を用いて
回避したという事が重要。


67 :名無しさん@4周年:04/02/06 22:27 ID:jhEdiftC
>>58
利用を可能にしたのは、管理者がCGIを設置した行為。
OfficeはCGIを利用しただけ。

やっと前スレの復習ができた。

68 :名無しさん@4周年:04/02/06 22:27 ID:RKWgAVP+
まぁ簡単にいうと普通にググってアクセスできるようなところなら
それは不正アクセスじゃないってことだ

69 :名無しさん@4周年:04/02/06 22:29 ID:3dggJfGb
>>62
https://www.netsecurity.ne.jp/article/1/4828.html
これとは違うの?

70 :名無しさん@4周年:04/02/06 22:29 ID:RKWgAVP+
>>67
利用を可能にしたのは、管理者がセキュリティホールのあるソフトを設置した行為
○○はそれを利用しただけ

こうするとその理論がおかしいことが理解できると思うんだが
なぜ理解できないんだろう?

71 :名無しさん@4周年:04/02/06 22:29 ID:STa1DBxk
>67
なるほど、じゃあおまえでも今すぐ利用出来るように管理者がしてくれたと言い張りたいわけだ?
はやくドキュメントルート以外のファイルもってこいって言ってるだろ?

合法で、最初から利用可能だという証拠をおまえが今見せてくれ。
で、その与えるべき引数も最初から利用できる、誰でも知ってるもので合法なんだから
今ここに書けるよな?

今すぐ頼むわ。

72 :名無しさん@4周年:04/02/06 22:29 ID:DXsDscXY
>>66
>OSのファイルシステムによりアクセス制御が行われており
この条文は「アクセス制限機構」を符号識別に限定してますよ。
ファイルのパーミッションは含みません。

73 :名無しさん@4周年:04/02/06 22:30 ID:sw9hLghh
>>67
>利用を可能にしたのは、管理者がCGIを設置した行為

この前提が崩されたからr5LDRHzzはおねんねしたんだよw

74 :名無しさん@4周年:04/02/06 22:32 ID:RKWgAVP+
>>69
それはファーストサーバの作成した今回のCGIとは別のCGIだよ

75 :名無しさん@4周年:04/02/06 22:32 ID:sw9hLghh
>>70
そういわれてr5LDRHzzが思いっきり散っていったのになw

76 :名無しさん@4周年:04/02/06 22:32 ID:STa1DBxk
「利用を可能にしたのは、管理者がセキュリティホールのあるソフトを設置した行為」
であるためには、その時点から誰でも利用できる状態である事が必要条件だ。
ならばjhEdiftCが、今でも使われているところがあるというファーストサーバーの
件のCGIを使ってドキュメントルート以外のファイルを取得する事は最初から可能で、
合法で、当然おまえにも出来るんだろ?

早くやってくれよ〜〜〜〜
待ってるからさ〜〜〜〜〜

77 :773:04/02/06 22:33 ID:u0p5dcBT
>>70
それはちと違う。
office氏はソフトの本来想定された動作しかしていない。

78 :名無しさん@4周年:04/02/06 22:35 ID:RKWgAVP+
>>72
パーミッションって知ってる?
特定のユーザ権限でしかアクセスできないようにすることだよね
で特定のユーザになるためにはIDとパスワードを入力する必要がある

つまりアクセス制御が行われているということだ

79 :名無しさん@4周年:04/02/06 22:35 ID:e6js3Wyf
うちのサーバでは、非公開ディレクトリの下に会員情報を置いていますが、
公開していないものであり、アクセスすれば不正アクセスとなります。

  http://test.server/secret/memberlist.dat

なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。

ところが、今回のOffice→ACCSの場合も構図は全く一緒。

  http://accs.server/disp.cgi?secret/memberlist.dat

これは、もともと公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。

80 :名無しさん@4周年:04/02/06 22:36 ID:awdS9Wh3
>>77

「本来想定されている動作」 つーのが怪しい。



81 :名無しさん@4周年:04/02/06 22:36 ID:sw9hLghh
>>77
個人情報を表示するのが本来想定された動作であるといい張るなら
法廷でお願いします。
ここではまじめな話をしましょうや(ププッ

82 :名無しさん@4周年:04/02/06 22:36 ID:STa1DBxk
>72
混乱しすぎだな。
ファイルのパーミッションはファイルシステムのアクセス制御を
援用している事くらい常識だろうが。
CGIを実行させるユーザー権限にownerやotherという区別が存在しうるのはなぜだ?

83 :名無しさん@4周年:04/02/06 22:37 ID:jhEdiftC
>>73
どこで崩れたのかまったくわからないのだが。

84 :名無しさん@4周年:04/02/06 22:38 ID:dtiIVbhB
なんじゃここわ。


85 :773:04/02/06 22:38 ID:u0p5dcBT
>>81
個人情報を表示するかどうかは関係ない。
cgiは指定したファイルを開示しただけ。

86 :名無しさん@4周年:04/02/06 22:39 ID:sw9hLghh
>>79
http://test.server/secret/memberlist.dat
思いっきりドキュメントルート下ですがw
そりゃ不正アクセスにならないと判断されるだろうねえ。

87 :名無しさん@4周年:04/02/06 22:40 ID:JePZal/0
「ファイルシステムによりアクセス制御が行われているものを、何らかの手段を用いて
回避したという事が重要。 」

要はこういうことだな。

88 :名無しさん@4周年:04/02/06 22:41 ID:STa1DBxk
>86
http://test.server/secret/でディレクトリリスティングが出来れば
不正アクセスではないが、
http://test.server/secret/でディレクトリリスティングが出来ないならば
それはアクセス制御機構が存在しているわけで、
不正アクセスとなる。
このアクセス制御機構はファイルシステムに付随している。

こういう細かい点を理解できない厨が多すぎ。

89 :名無しさん@4周年:04/02/06 22:41 ID:yPn5uFkX
>>86
http://test.server/../memberlist.dat
こんな場合はどうなるんでしょ?

90 :名無しさん@4周年:04/02/06 22:41 ID:RKWgAVP+
>>79はどっかに貼ってあったコピペだね

今回の事件とTBC事件の本質的な差異について
理解してない奴が書いたんだとおもうがw

91 :名無しさん@4周年:04/02/06 22:41 ID:jhEdiftC
>>78
http://www.tains.tohoku.ac.jp/news/st-news-21/2640.html
> 「アクセス制御機能」とは,利用者が入力した識別符号(ID・パスワード等)によって,
>コンピュータの利用制限を解除する機能をいいます(2条3項)。アクセス制御という言葉は,
>コンピュータ一般の世界では,ファイアウォールによるパケットフィルタリングやルーティング制限,
>ファイルの利用パーミッション等を含む広い概念を指しますが,本法にいうアクセス制御は,
>識別符号による利用の制限に意味が限定されています。なお,ここで言うアクセス制御機能には,
>通常のログイン手続きの他,RADIUS や Kerberos など,
>目的とするコンピュータ以外のコンピュータによる認証も含まれます。

92 :名無しさん@4周年:04/02/06 22:41 ID:sw9hLghh
判例からすると本来符号識別の入力が必要な物に対して
何らかの手法で符号識別の入力を回避してアクセスしても黒のようだな。

どうする?擁護派ダウソ厨!?

93 :名無しさん@4周年:04/02/06 22:43 ID:cJbPBkRo
本質的に何が違うの?
同じでしょ。

94 :名無しさん@4周年:04/02/06 22:43 ID:dtiIVbhB
>>92
どこの判例

95 :773:04/02/06 22:43 ID:u0p5dcBT
>>92
符号入力の必要は最初からありません

96 :名無しさん@4周年:04/02/06 22:44 ID:sw9hLghh
>>89
それじゃ、アクセスできないやん。
ただ、もしhttpdに穴があってドキュメントルートより上のディレクトリを
見てしまったなら不正アクセスに問われる可能性があるな。

97 :名無しさん@4周年:04/02/06 22:44 ID:RKWgAVP+
>>93
簡単にいうとTBCの個人情報はググると出てきた
今回のログはググっても絶対に出てこない

ってな感じでw

98 :773:04/02/06 22:46 ID:u0p5dcBT
>>97
それは本質じゃないよ
たとえば掲示板のカキコもgoogleに出ない。

99 :名無しさん@4周年:04/02/06 22:47 ID:9O/rvGt6
ここの連中は穴だらけのCGIを納品されても平気なんだな。
 「大丈夫ですよ、不正アクセスする奴にすべての責任が有りますから」
って言っとけばいいんだし。

100 :名無しさん@4周年:04/02/06 22:47 ID:cJbPBkRo
>>97
本質の決め手はグーグルかよ!

101 :名無しさん@4周年:04/02/06 22:47 ID:STa1DBxk
結論から言えば今回の事件ではパーミッションの設定ミスは一切無かった。
ログファイルをhttp://test.server/../memberlist.datみたいにして
読み出そうとしても絶対に出来ない。
これはファイルシステムとWebサーバーのパーミッションにより
アクセス制御が成立しているからだ。
このアクセス制御はWebサーバーのrootのパスワードでのみ
解除でき、合法的利用が出来る。

そうでないというなら今すぐ中身を取ってきてくれ。


102 :名無しさん@4周年:04/02/06 22:48 ID:sw9hLghh
>>94
知らんw
>>95
だからファイルのパーミッション程度でもアクセス制限機構が
施されていたと考えられるわけだ。議論の余地すらない。

103 :773:04/02/06 22:49 ID:u0p5dcBT
>>101
csvmail.cgiにread属性を与えているのは管理側のミスだと思う

104 :名無しさん@4周年:04/02/06 22:50 ID:dtiIVbhB
>>102
ボケ

105 :名無しさん@4周年:04/02/06 22:50 ID:STa1DBxk
>99
あたりまえだろ?
ある企業がどんなコストをかけてどんなサービスをいつどのように提供するかは
全面的にその企業に裁量権がある。
おまえやOfficeに指図する権利がないのは明か。


106 :名無しさん@4周年:04/02/06 22:51 ID:RKWgAVP+
>>98
2ちゃんのカキコはググると出てきますがなにか?

いやまぁググるとってのはネタなんだがw


107 :773:04/02/06 22:51 ID:u0p5dcBT
>>102
csvmail.logにもread属性。

108 :名無しさん@4周年:04/02/06 22:52 ID:WtBfbbOu
>>66
>ファイルシステムによりアクセス制御が行われており

アクセスした人はどうすれは見たらダメって解るの?

109 :名無しさん@4周年:04/02/06 22:52 ID:STa1DBxk
>103
与えてないだろ?
perlのopenから開いてるんだからreadが無くても
読めたって話。
これもアクセス制御機構を回避した事の根拠の一つになってるな。

110 :名無しさん@4周年:04/02/06 22:52 ID:9O/rvGt6
>>105
じゃあ、データ抜かれたぐらいで今さら騒ぐなよ。
コストに見合った結果ということで。

111 :名無しさん@4周年:04/02/06 22:52 ID:sw9hLghh
>>103
いますぐwebサーバ百個立ててこい

112 :名無しさん@4周年:04/02/06 22:54 ID:dtiIVbhB
>>111
このボケに答える必要ないですよ。

113 :名無しさん@4周年:04/02/06 22:55 ID:jhEdiftC
アクセス制御は識別符号だけだってのに

114 :773:04/02/06 22:55 ID:u0p5dcBT
>>109>>111
この辺でpc素人のアラがでるなw
read属性がなくてもcgiから開けるのか。。

115 :名無しさん@4周年:04/02/06 22:56 ID:ake5QoO0
773は糞の掲示板ぐらい作れる、といっていたわりには
経験乏しいperlプログラマだなwww
化けの皮でもはがしていくか。

116 :名無しさん@4周年:04/02/06 22:57 ID:RKWgAVP+
>>113
>>91>>78を全然否定していないと思うけど?

117 :名無しさん@4周年:04/02/06 22:58 ID:STa1DBxk
>114
ド素人イタすぎww
read属性が無くてもCGIの実行権限次第で読めるわww

「ハウス!」w

118 :名無しさん@4周年:04/02/06 23:00 ID:STa1DBxk
CGIをrootで実行させると危険性が増すっていわれても773は
何の事か理解できないんだろうなぁw

119 :773:04/02/06 23:00 ID:u0p5dcBT
>>115
お、やっときたー。
pcにも法律にも詳しいらしいから、ちゃんと参加したら?
両方がわかる論者は貴重だと思うんで、つくづくもったいない…
私の化けの皮はがしても何の実績にもならないよw

120 :名無しさん@4周年:04/02/06 23:00 ID:sw9hLghh
>>110
騒いだ主体は警視庁ですよダウソ厨君w
>>107
いますぐroot百回やってこい
>>113
与えられたパーミッション以上のことをやるには結局識別符号が必要だというのに。
>>114
お前が103で言ったんだろ(プ


121 :名無しさん@4周年:04/02/06 23:08 ID:cJbPBkRo
管理者の怠慢でも国内では捕まるかもしれない
というのなら
こうるさい日本国内を脱出して
海外からやればよかったんだよ。


122 :773:04/02/06 23:11 ID:u0p5dcBT
>>117
いずれにしてもoffice氏が
「不正な利用をしうる状態にさせる行為」をしたことにならないよ

123 :名無しさん@4周年:04/02/06 23:12 ID:awdS9Wh3
ここですか?
男気のある773がいるスレは?

本件CGIに対する特定パラメータの設定の結果が「本来想定された動作」である理由。

筋道たてて説明シチクリ

124 :名無しさん@4周年:04/02/06 23:14 ID:awdS9Wh3
>>122

不正な利用をしうる状態にさせる行為をしたから、本件の場合個人情報が入手できたのですが何か?

125 :名無しさん@4周年:04/02/06 23:16 ID:yPn5uFkX
>>122
なるでしょ。どこぞのイベントでやり方を公開してたんでしょ?

126 :773:04/02/06 23:16 ID:u0p5dcBT
>>123
cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
office氏はその機能以外利用していない。
>>124
不正利用をしうる状態にさせる行為をしたのはヨゼフ

127 :名無しさん@4周年:04/02/06 23:17 ID:DXsDscXY
>>82
拡大解釈しすぎですね。
逐条解説にあるようにファイルパーミッションは関係ありません。
またofficeが利用したのはCGIですが、これ自体に符号認識がありません。
つまり他社と利用者の区別がなされていない状況下でのアクセスに過ぎません。

128 :名無しさん@4周年:04/02/06 23:18 ID:STa1DBxk
>122
最初から利用可能なら、なんでCGIのソース見る必要があったのかね?www
最初から利用可能だというなら今すぐ取って来いって言ってるだろ?
他にも同じの未だに使ってるとこあるんだからさぁ。

明らかに、CGIのソースを見たのは不正利用すなわちアクセス制御機構の回避を目的としたもの。
アクセス制御がないのならこんな行動は取る必要がない。

129 :名無しさん@4周年:04/02/06 23:19 ID:awdS9Wh3
>>126

>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>office氏はその機能以外利用していない。

だから、なぜCGIの構造を見ただけでだけでそう判断できるのか?
何度も説明を求めているのですが何か?

>不正利用をしうる状態にさせる行為をしたのはヨゼフ

因果関係がワープしています。

130 :773:04/02/06 23:19 ID:u0p5dcBT
>>128
ソースを見る必要はなかった。

131 :名無しさん@4周年:04/02/06 23:21 ID:awdS9Wh3
>>130

では、何故CGIに与えるべきパラメータが判明したのですか?

132 :773:04/02/06 23:22 ID:u0p5dcBT
>>131
フォームの書かれたhtmlソース。これも公開情報。

133 :名無しさん@4周年:04/02/06 23:22 ID:STa1DBxk
>130
だったら今すぐおまえがやれって言ってるだろ?
早くくやれよぉ「合法でソース見る必要すらない」んだろ?

「ハウス!」w

134 :名無しさん@4周年:04/02/06 23:22 ID:y3q1OKmX
たとえ話のことなんだが、家のたとえが不適切とよく言われる。
思うんだが、
デパートにたとえるのがかなり適切じゃなかろうか。

自宅の玄関を出るとそこはもうデパートの売り場というのが、Webの世界。
デパートの売り場はデパートサイトが管理敷地内なんだが、
出入りするのは自由。
どう行動するかもそこそこ自由があって、服をいろいろいじってみたり、
本を立ち読みしたりする。
買おうと思って手に取ったものを、そのまま持ってエスカレータに乗ったりすると、
万引きと疑われてつかまるかもしれん。

レジのカウンターの中に入ると起こられるかもしれん。違法かどうかははてさて?
レジカウンターの中に、顧客のクレジットカード番号の書かれた伝票がいっぱいおいてあるのが、
外から見えるとする。手に届きそうだとしたらどうか。
店に「これはまずいでしょ」と文句を言う客もいるかもしれん。

実際に手にとって「ほら取れるじゃん」って警告したらどうなる?

135 :名無しさん@4周年:04/02/06 23:23 ID:awdS9Wh3
>>126

>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>office氏はその機能以外利用していない。

そもそも、それが「仕様」であるというのは、誰が決めるのですか?その根拠は?
管理者の意図は考慮に入れる必要は無いのですか?
一般に周知された事実であるか、考慮に入れる必要は無いのですか?

136 :名無しさん@4周年:04/02/06 23:24 ID:pZoFRsBG
風呂屋覗いたら痴漢になるのと一緒

137 :773:04/02/06 23:24 ID:u0p5dcBT
>>135
>一般に周知された事実であるか、考慮に入れる必要は無いのですか?
ないと言うにw

138 :名無しさん@4周年:04/02/06 23:25 ID:cJbPBkRo
クラッキングは犯罪という認識があるけれど
ハッキングは犯罪という認識はない。
おかしいですか私?
でもここで法律出すやつに一言言いたいことがある。
「ハッキング行為はダメだ!」と正義漢振り回したいなら
ハッカーにそう言いきかせろよ。
「ごもっとも、それでは警察に自首してきます。」
って言うハッカーがいたら見てみたいしね。


139 :名無しさん@4周年:04/02/06 23:25 ID:awdS9Wh3
>>132

>フォームの書かれたhtmlソース。これも公開情報。

それを見ただけで、本当に必要なパラメータが分かるのですか?


140 :名無しさん@4周年:04/02/06 23:25 ID:jhEdiftC
>>129
>>cgiはファイル名を引数として受け取り、そのファイル内容を返す仕様になっていた。
>>office氏はその機能以外利用していない。

>だから、なぜCGIの構造を見ただけでだけでそう判断できるのか?
>何度も説明を求めているのですが何か?
実際にやってそうだったんだから、そんなことどうでもいいじゃん。

141 :名無しさん@4周年:04/02/06 23:26 ID:JeMv1Zx+
>134
伝票の管理がそこまで朴訥だったら、顧客としては非常に不愉快極まりない。

142 :名無しさん@4周年:04/02/06 23:26 ID:awdS9Wh3
>>137

一般に知られていない知識で有れば、管理者が意図する「仕様」である可能性は低くなりますが、それで本当にいいのですか?

143 :名無しさん@4周年:04/02/06 23:27 ID:awdS9Wh3
>140

管理者の意図しないアクセスをした事実は確定的なのですが、本当にどうでもいいのですか?

144 :名無しさん@4周年:04/02/06 23:28 ID:jhEdiftC
>>139
だから、CGIのパラメータはアクセス制御機構とは関係ない。
アクセス制御機構は識別符号だけ。

145 :名無しさん@4周年:04/02/06 23:28 ID:STa1DBxk
>132
バーカ、ソース見なきゃ個人情報の入ってるログファイルのファイル名は
絶対にわかんねぇよ。

「ハウス!」w

>>128
だ〜れもファイルパーミッションの話なんかしていないが?
ファイルシステムによって不正アクセス禁止法上の識別符号と
アクセス制御機能が付与されているサーバーの、管理者の
識別符号がなければ読み出す事が出来ない領域を読み出すという
管理者の許可がない特定利用を行ったという不正アクセス行為。
ファイルシステムは利用者すべてを識別しており、識別する識別符号が
存在している。
これを援用してアクセス制御が成り立つようにしているのがWebサーバーであり、
HTTPにはアカウントログインやファイル操作までするプロトコルが実装されているのだから
パーミッションはファイルシステムの構成するアクセス制御機能を継承しているものと
見なされる。

146 :773:04/02/06 23:28 ID:u0p5dcBT
pcでも法律でもド素人の私ばっかりしゃべってるじゃん。
pcに詳しい人はそっち方面の「議論」すること。
法律に詳しい>>115もそっち方面の「議論」すること。
でないと進まないよーw

147 :名無しさん@4周年:04/02/06 23:29 ID:awdS9Wh3
>>144

違いますが何か?

>CGIのパラメータはアクセス制御機構とは関係ない。

直接関係なくとも、アクセス制御機能を回避する結果につながっているのですが何か?



148 :名無しさん@4周年:04/02/06 23:30 ID:WtBfbbOu
紳士同盟すら業務妨害と言い放つ今日このごろ・・・・

149 :773:04/02/06 23:31 ID:u0p5dcBT
>>145
最初から利用可能だったから、それに続いてソースが見られるんだよ。
ごちゃまぜにしてないかい?

150 :名無しさん@4周年:04/02/06 23:31 ID:awdS9Wh3
>>146

少なくとも、わしの疑問を解決しないと、先に進めないよー。

151 :名無しさん@4周年:04/02/06 23:32 ID:R8CQZSqt
誰か素人にもわかりやすく説明してくれよ

152 :名無しさん@4周年:04/02/06 23:33 ID:sw9hLghh
>>127
識別符号の入力の回避という手段を使っても
不正アクセスだとあれほど言うてるだろーが

153 :名無しさん@4周年:04/02/06 23:33 ID:STa1DBxk
>149

ならば今すぐソースを貼れ。
もう利用可能で合法なんだろ?

154 :名無しさん@4周年:04/02/06 23:33 ID:jhEdiftC
>>147
CGIにアクセス制御機構はなかったってのに。

155 :名無しさん@4周年:04/02/06 23:33 ID:awdS9Wh3
>>149

>最初から利用可能だったから、それに続いてソースが見られるんだよ。

本当にそれが「仕様」なのですか?本当ですか?

管理者の意図や、一般への周知状況を確認したのですか?

CGIだけ見て判断しているのではないですか?

156 :名無しさん@4周年:04/02/06 23:33 ID:HljKo+Uy
セキュリティに穴が有った事は確かみたいだし、それを指摘、実証、証明する為に侵入
するだけなら、その行為自体が不正アクセスでも、医師による安楽死と同じで、正当行為
を主張できるんじゃないかな?と思うのだけど、どーなんでしょ。

157 :773:04/02/06 23:33 ID:u0p5dcBT
>>145>>149
分からないかな。
利用不可能な状態だったらcgiソースさえ見られない。

158 :名無しさん@4周年:04/02/06 23:34 ID:awdS9Wh3
>>154

>CGIにアクセス制御機構はなかったってのに。


CGIにアクセス制御機能が有ろうと無かろうと、他のアクセス制御機能を回避したことに変わりはないのですが何か?
つーか、何回言わせれば(以下略

159 :名無しさん@4周年:04/02/06 23:35 ID:STa1DBxk
773は当該ファイルは最初からアクセス可能だったほどに簡単で、
「最初からドアが開いているのと同じ」だという。
これはどんな奴にでも通る事が出来る事を意味していると考えざるを得ない。
ならば当然773にも通れるんだろうから、CGIのソースを今すぐ取得できるはずだ。

もしそうでないというなら、「773は開いてるドアすら通れないヘタレ」
という事が確定する。

160 :名無しさん@4周年:04/02/06 23:36 ID:A54w/IA/
すいませんが、あまりにコアな話題になりすぎて
困っちゃうんですが、どなたかさほど法律、セキュリティに詳しくないものでも
この問題の焦点はがわかるように説明していただけませんか?

161 :773:04/02/06 23:36 ID:u0p5dcBT
>>153
>>159
ヨゼフが穴あけたサーバじゃないと無理っす

162 :名無しさん@4周年:04/02/06 23:36 ID:awdS9Wh3
>>156

管理者の同意が有ればそのとーり。法律に書いてある。

163 :名無しさん@4周年:04/02/06 23:37 ID:awdS9Wh3
>161

「あけた」のですか?
意図せず「あいていた」ではないのですか?

164 :名無しさん@4周年:04/02/06 23:37 ID:STa1DBxk
知能指数がかなり低いjhEdiftCの為に懇切丁寧に教えてやろう
今アクセス制御機構が成立しているシステムを、管理者の許可を得ないで
不正アクセスするために電動ドリルを使用したとする。
おまえの言ってる事は、
「電動ドリルにはアクセス制御がないので不正アクセスはではない」
といってるのと一緒。

白痴ですか?

165 :名無しさん@4周年&rlo;(どけイイもでうど) Oo .(`・ω・´)&lro;:04/02/06 23:37 ID:MTA6exx0
この京大研究員のことより、欠陥を指摘してもらいながら逆ギレしている自称被害者の方が問題かと...
京大研究員のせいにできて本当に良かったでつね....

166 :名無しさん@4周年:04/02/06 23:38 ID:sw9hLghh
>>156
容疑者の過去の発言を見ると患者のためを思っての安楽死とは
かなりかけ離れている状況だということが分かると思うよ。

167 :名無しさん@4周年:04/02/06 23:38 ID:mYqt7bE0
>158
そんな言い分、仕事増やしたくない鯖缶の言い訳増やしてるに過ぎないと思う。

168 :名無しさん@4周年:04/02/06 23:38 ID:80MqUBK7
>>159
確かにその通りかと

http://www.geocities.co.jp/SiliconValley-Sunnyvale/5684/

169 :773:04/02/06 23:38 ID:u0p5dcBT
>>151>>160
これこれ。http://www.geocities.jp/officeandaccs/index.html
ちなみに私もクソ素人です。。

170 :名無しさん@4周年:04/02/06 23:39 ID:jhEdiftC
>>158
他のアクセス制御機構って何だよ。

171 :名無しさん@4周年:04/02/06 23:40 ID:awdS9Wh3
>>158

結果として、不正アクセスという行為を行う際のリスクが高まれば、皆の利益になる。
ともいえますがなにか?


172 :名無しさん@4周年:04/02/06 23:41 ID:sw9hLghh
http://www.tains.tohoku.ac.jp/news/st-news-21/2640.html

↑jhEdiftCのパーミッションは識別符号と無関係という主張の
よりどころはこのページだけか?
Web上のたった一つの見解を鵜呑みにしない方がいいっぞっと。

173 :名無しさん@4周年:04/02/06 23:42 ID:awdS9Wh3
>>170

貴方はwebサーバ内のコンテンツを書き換える際、どのようなプロトコルを使ってサーバと通信しますか?

その際、パスワードは入力しませんか?

174 :名無しさん@4周年:04/02/06 23:42 ID:jhEdiftC
>>172
法律にかいてあるだろうが

175 :773:04/02/06 23:43 ID:u0p5dcBT
>>163
管理者の意図は関係ない。
office氏はcgiの提供する機能を使っただけ。

176 :名無しさん@4周年:04/02/06 23:43 ID:sw9hLghh
河合一穂の意図的な犯罪>>>>(越えられない壁)>>>>鯖管のミス(ごめんねで済んじゃうレベル)


177 :名無しさん@4周年:04/02/06 23:43 ID:awdS9Wh3
>>171 は >>167へのレスであった。

178 :名無しさん@4周年:04/02/06 23:44 ID:/ZdAJqUD
>>172
当該ページの参考書籍に基本書たる立花の逐条解説が入っていないのは意図的でつか?

179 :名無しさん@4周年:04/02/06 23:45 ID:awdS9Wh3
>>174

入力された識別符号等を元に、パーミッションの解釈がなされるのですが何か?

180 :名無しさん@4周年:04/02/06 23:45 ID:jhEdiftC
>>173
ふつうにweb見るのだって、ftpやtelnetやsshなどのパスワードで保護されてるのを見てるというのに。

181 :名無しさん@4周年:04/02/06 23:46 ID:awdS9Wh3
>>175

cgiの機能と管理者の意図 その他を総合して不正アクセスか否か判断するのですが・・・

なぜ、cgiだけなの?

閉めたつもりで実は少し開いている、という状態なら本当にそこから入っても良いのですか?

182 :名無しさん@4周年:04/02/06 23:48 ID:MoXuLt79
http://pride.freeak.com/measure.jsp
IPさらしHP

183 :名無しさん@4周年:04/02/06 23:48 ID:lXKQnbgd


  A  C  C  S  必  死  だ  な  (藁



184 :名無しさん@4周年:04/02/06 23:48 ID:awdS9Wh3
>>180


そうやって見たページは、管理者当然想定する手続きであり、一般に広く周知された方法ですから不法アクセスにならないのは当たり前ですが何か?

185 :名無しさん@4周年:04/02/06 23:48 ID:7zyFnt+t
>177
管理者の責任が問われないのは困らないの?
犯罪を犯した者に賠償能力なんて無い場合のほうが多いんだから、
管理者の責任は問うてもらわないと困るよ。

186 :名無しさん@4周年:04/02/06 23:49 ID:sw9hLghh
>>175
個人情報の表示などという機能は提供してないだろ。
出来ることイコール提供した機能なら
セキュリティーホールのあるPCにはなんでもやり放題だなw

>>179
書いてねーよw
パーミッションなんて単語出てこないし。


187 :名無しさん@4周年:04/02/06 23:49 ID:yPn5uFkX
>>175
だから,提供される物でも使い方を誤ってる訳でしょ?
例えば電気ドリルを買って人の鍵をかけてある家のドアをドリルであけて
中にある情報を持ち出してタイーホ。
この場合、電気ドリルを売った金物屋は処罰の対象にはならんでしょ。

188 :名無しさん@4周年:04/02/06 23:49 ID:pp+hqJUE
まぁ、よくわからんが
セキュリティホール=設計者の意図しない動作
として、それを知りつつやったら犯罪という解釈でよい?
で、セキュリティホール解ってるのに運用してる輩も同罪ということでよい?


189 :773:04/02/06 23:49 ID:u0p5dcBT
>>181
office氏の犯罪性を問うのに管理者の意図を問題にすることは不可能。
管理者の「つもり」「つもり」でoffice氏が有罪になるのか?
なぜcgiだけかって?そのcgiだけがファイル開示機能を持っているんだろうに…。
開いていればどこにでも入っていいんだよ。

190 :名無しさん@4周年:04/02/06 23:50 ID:awdS9Wh3
>>185

私も問うていますが何か?

ただし、処罰規定が無い以上、罪には問えません。

つーても、officeの行為の評価には通常影響を与えませんが。

191 :名無しさん@4周年:04/02/06 23:50 ID:STa1DBxk
「基本書たる」とか言って左翼教授の電波言説だったりするかもしれないからなぁ
読まないと入れられないだろw

192 :名無しさん@4周年:04/02/06 23:50 ID:uu3ZdQJU
愚かな773の為に>>145の正しさを証明する資料だ
ほれ、ハウス!

#!/usr/bin/perl
#
#$Id: csvmail.cgi,v 1.2 1999/09/28 05:43:57 morikawa Exp morikawa $
#
#Copyright (c) 2000, First Server. All rights reserved.
#
# version 0 98/12/15 by morikawa
<略>
$home = "/virtual";
<略>
$log = "$home/cgi-data/csvmail.log";

193 :名無しさん@4周年:04/02/06 23:51 ID:sw9hLghh
>>180
何らかの形で公開情報ですよと分かっているものにたいしては
そちらが優先されるのは自明。

194 :名無しさん@4周年:04/02/06 23:51 ID:AaXEa+hB
なんかつまらん。

>>78
特別なユーザにならなくたって、CGIの実行ユーザで事は足りるだろ。
CGIが自身で書いたファイルを読むのにIDもパスワードもいらん。

195 :名無しさん@4周年:04/02/06 23:51 ID:jhEdiftC
>>184
管理者の想定なんか関係ない。周知されているかも関係ない。

196 :名無しさん@4周年:04/02/06 23:52 ID:awdS9Wh3
>>189

であれば、いまもしおまいのPCに穴があっったとしても、そこに入っても罪に問われないのですが何か?

197 :名無しさん@4周年:04/02/06 23:53 ID:w9WyrldC
>>180
見えるファイルは見えるように設定されているから。
また見ることは出来ても、書き換えは出来ないだろ? これは書き込みを制限されているから。
但し、それだと動的なページは作れないから、CGIで書かれたスクリプトを呼び出し、それが持っている
権限で書き込みをしてる。


198 :名無しさん@4周年:04/02/06 23:53 ID:Ih2MqYUj
>>189
じゃぁさ、あからさまに会社っぽい建物があって、
その中に顧客名簿やら帳簿やらいろんな書類があって、
管理者は隠してるつもりっぽいんだけど
鍵が開いてたから中に入って写真とってばらまくのはOK?

199 :名無しさん@4周年:04/02/06 23:53 ID:/ZdAJqUD
>>191
立法に関与した警察庁の担当者が書いた逐条解説のことですが・・・。

http://tachibanashobo.co.jp/mokuroku/html/200110-1.html

200 :773:04/02/06 23:53 ID:u0p5dcBT
>>192
csvmail.cgiとcsvmail.logの違いを理解できてないのでは?

201 :名無しさん@4周年:04/02/06 23:54 ID:awdS9Wh3
>>195

おまいにも、同じコメント。

であれば、いまもしおまいのPCに穴があっったとしても、そこに入っても罪に問われないのですが何か?

202 :名無しさん@4周年:04/02/06 23:54 ID:pyFiWCYL
>190
スマソ、気づかなかったがどこで問うてたのですか?

>つーても、officeの行為の評価には通常影響を与えませんが。
これは同意。


203 :名無しさん@4周年:04/02/06 23:55 ID:GCTk9fSQ
2ちゃんねるってどこにあるの?

204 :名無しさん@4周年:04/02/06 23:55 ID:awdS9Wh3
>>202

前スレ

205 :773:04/02/06 23:55 ID:u0p5dcBT
>>196
始めから他人が開けた穴に入るのは問題ない。
自分で穴を開けると不正アクセス。

206 :名無しさん@4周年:04/02/06 23:56 ID:Ih2MqYUj
>>205
さすがにネタだよね?

207 :名無しさん@4周年:04/02/06 23:58 ID:xgauqA8Q
>204
申し訳ない、前スレのどのスレ番か教えてください。

208 :773:04/02/06 23:58 ID:u0p5dcBT
>>206
不正アクセス禁止法が禁止しているのは、
穴を開ける行為であって、穴に入る行為ではない。
(ただし穴という表現が適切でないかも知れない)

209 :名無しさん@4周年:04/02/06 23:58 ID:uu3ZdQJU
>>200
何を言いたいのか意味不明。
まさか入力フォームを含むhtmlテキストに
<input type=“hidden” name=“ng_file” value=“/virtual/cgi-data/csvmail.log">
と初めから入っていたと思い違いをしているのではあるまいな。
これはofficeが元のファイルをデスクトップにダウンロードして
value=""の中身を奴が書き換えた後のものだぞ。
それでこのhtmlテキストを開いて投稿ボタンを押してpostし不正なコマンドを送信した。

210 :名無しさん@4周年:04/02/06 23:58 ID:awdS9Wh3
>始めから他人が開けた穴に入るのは問題ない。
>自分で穴を開けると不正アクセス。


CGIに特定のパラメータを送ること=穴を開ける

と解釈可能なのですが何か?

211 :名無しさん@4周年:04/02/06 23:59 ID:nu8LMP0e
この記事、点の打ち方がおかしいから意味を把握しづらい。
この文って要するに、
>「容疑者がイベントで公開」した個人データとその入手方法が、何者かによって書き込まれた
ということか。

・・・もしかして、もいらの読解力が低いだけか?

212 :名無しさん@4周年:04/02/06 23:59 ID:STa1DBxk
知能指数がかなり低いjhEdiftCの為に懇切丁寧に教えてやろう
今アクセス制御機構が成立しているシステムを、管理者の許可を得ないで
不正アクセスするために電動ドリルを使用し、アクセス制御機構回避をしたとする。
おまえの言ってる事は、
「電動ドリルにはアクセス制御がないので不正アクセスはではない」
といってるのと一緒。

白痴ですか?

213 :名無しさん@4周年:04/02/07 00:00 ID:mXifu1th
>>183

A  C  C  S  必  死  で  す  が  な  に  か  ?

214 :名無しさん@4周年:04/02/07 00:00 ID:x2oYGKDW
>>208
そういう解釈するならね。
ちょっと誤解を産む表現だよ。気をつけよう。

不正アクセス禁止法が禁止しているのは、
認証の回避に基づいた情報取得。


215 :名無しさん@4周年:04/02/07 00:01 ID:p97ftOpX
>>205
それだと、他人の作ったプログラムのバグを利用しても完全に無罪になる。
不正アクセス禁止法の3−2−2は、そのようなバグを利用してもいけないというのを
明文化してるだけ。


216 :名無しさん@4周年:04/02/07 00:01 ID:mXifu1th
>>207

134あたり

217 :名無しさん@4周年:04/02/07 00:01 ID:MPTg5jSl
セキュリティホールがあるマシンもファイル開示機能を持っていますが
今までたくさんの人が逮捕されてます

ダ ウ ソ 厨 憤 死 だ な ( プ ッ

218 :名無しさん@4周年:04/02/07 00:02 ID:z/IRDuEF
管理者が、適切な対応を取っていれば、事件も起こらずに済むはずだった話。

219 :773:04/02/07 00:02 ID:A9QpxCqe
>>209
利用可能なのはcgiによる任意のファイル閲覧機能。
office氏はその機能によってcgiソースを閲覧した。
その後ソースに含まれるcsvmail.logというファイル名をcgiに渡した。

利用可能であることがホールだとすれば、
それはoffice氏の開けたものではない。

220 :名無しさん@4周年:04/02/07 00:03 ID:ztgeiZlp
>>214
認証を回避して利用できる状態にすることを禁止してるんじゃないの?

221 :名無しさん@4周年:04/02/07 00:03 ID:AcZf9d0q
773の電波学説を要約すると項だな。

老人Aのポケットに入っている札束は、誰にでも取る事が出来るほど
見え見えで、ポケットからはみ出していた。
だから773がその札束を持って行っても、最初から老人Aは所有していたとは言えないのだから
自分は窃盗ではない。



222 :mXifu1thことawdS9Wh3である。:04/02/07 00:03 ID:mXifu1th
>>218

そのとーりであるが、コトが起きてしまった以上、コトを起こしたofficeタソは責任をとらなければならない。

大人なのだから。

223 :名無しさん@4周年:04/02/07 00:05 ID:vurMG0vJ
不正アクセスの法律はアホウを保護する法律なんでしゃーない

今回の件で「不正アクセスじゃない」というやつは法律を理解してないアホウだし
「不正アクセスだ」としたいやつはマトモなコードを書けないアホウな

224 :名無しさん@4周年:04/02/07 00:05 ID:p97ftOpX
>>218
だからといって勝手にアクセスしても良いという事ではない。
それを禁止する為に、法律で【DQN】な管理者を保護してる。

ネットを利用する管理者が全て100%の管理を出来るなら
こんな法律はいらないが、現実は不完全である為に法律で
禁止している。


225 :773:04/02/07 00:05 ID:A9QpxCqe
>>221
それは無理。
日本の法律では路上に落ちている物でも自分の所有物にはできない。

226 :名無しさん@4周年:04/02/07 00:06 ID:ztgeiZlp
>>221
窃盗なんか関係ない

227 :名無しさん@4周年:04/02/07 00:06 ID:23zAZ03E
キチガイのおかげで2ちゃんねるが迷惑こうむるのはかんべんだな。

掲示板として面白いところなのに

228 :名無しさん@4周年:04/02/07 00:06 ID:MPTg5jSl
>>218
違うよ。京都大学研究員河合一穂(40)が犯罪を行わなければ
事件も起こらずに済むはずだった話、だよ。

>>219
なに「利用可能」とか言ってトーンダウンしてんの?
鯖側が「提供してる」んじゃなかったの?ww

229 :名無しさん@4周年:04/02/07 00:07 ID:p97ftOpX
>>225
日本の法律でも勝手に他人のコンピュータに保管されているものを
アクセス出来ないようになってますよ。


230 :773:04/02/07 00:08 ID:A9QpxCqe
あれれ…いつの間にかID変わっとる…why?

231 :名無しさん@4周年:04/02/07 00:09 ID:bZQ5NhBa
>調べでは、掲示板に書き込みがあったのは先月27、28日。河合容疑者が引き
>出した個人データを保管するホームページのアドレスが掲載されていた。掲示板を
>見た同協会は、実際にデータが存在することを確認。掲示板の管理者に要請して、
>書き込みを削除させた。


どうやら何の問題もないのに削除しちゃったらしいねw

232 :名無しさん@4周年:04/02/07 00:09 ID:9WskgvAk
問題は、不正アクセスしてセキュ穴を指摘したことより、それで得た個人情報
ばら撒いてしまったことなんじゃないかな。と思うのだが。
http://www.kantei.go.jp/jp/it/privacy/houseika/hourituan/

233 :名無しさん@4周年:04/02/07 00:10 ID:x2oYGKDW
オヒスはアウト!派の意見はこんな感じで良い?

情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
   あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される

今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である

不正アクセスについて:
3-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反

今回の件では:
4-1) 2-1)より誰が見ても明らかな非公開情報を、cgiのパラメータを変更することで
  隠蔽のための機構を意図的に回避している
4-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
   中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
   非公開情報と認識したうえで公開しており犯意は認められる

したがって、不正アクセス禁止法違反でアウト!

234 :名無しさん@4周年:04/02/07 00:10 ID:+aFWfuIH
要は773はこのCGIは最初からサーバ上の全てのファイルを
読み出すことを意図してつくられたっていってんだろ

でその根拠はどこにもない
あえていえば773の脳内にのみある

でその他大勢はこのCGIは特定のフォーム上で特定のファイルを読み出す
ことを意図してつくられた。つまり任意のファイルを読み出すことが
できたのは本来のCGIの仕様ではなく脆弱性でしかない

でその根拠は
1.一般論としていくら鯖管が糞でも鯖上の任意のファイルを読める
 CGIを自ら意図して設置することは考えられない
2.作成者であるファーストサーバもこのCGIの脆弱性に関しては認識して、
 脆弱性をなくしたスクリプトをリリースしている
 (ただし脆弱性に関して周知はしていない)

235 :名無しさん@4周年:04/02/07 00:10 ID:fXuBPj1Y
>>228
ACCSの管理がずさんなだけ

236 :773:04/02/07 00:10 ID:A9QpxCqe
>>228
サーバが提供しているから利用可能なんだよ
>>229
ネット上では公開が原則。鍵かかってなければね。

237 :名無しさん@4周年:04/02/07 00:11 ID:MPTg5jSl
773が「よく釣れたな」と勝利宣言を出すまであと何分?

238 :名無しさん@4周年:04/02/07 00:11 ID:mXifu1th
>>230

>始めから他人が開けた穴に入るのは問題ない。
>自分で穴を開けると不正アクセス。

繰り返すが

CGIに特定のパラメータを送ること=穴を開ける

と解釈可能なのですが何か?


239 :名無しさん@4周年:04/02/07 00:12 ID:ztgeiZlp
>>234
CGIの設置の意図なんか関係ない。

240 :773:04/02/07 00:13 ID:A9QpxCqe
>>234
管理者の意図は関係ない。
現実に動作していることと、それが公開されていること。

241 :名無しさん@4周年:04/02/07 00:14 ID:mXifu1th
>>233

4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他のプロトコルにかかる機構を含む。

を追加してクリ

242 :名無しさん@4周年:04/02/07 00:14 ID:fTup6VPD
officeはどうでもいいが、個人情報を扱ってる場所に大穴空けてたACCSには、
死んで詫びて欲しい気持ちですね。

243 :名無しさん@4周年:04/02/07 00:15 ID:sN8jtXA7
>>152
他のアクセス機構を回避したと言うのは拡大解釈です。
ファイルパーミッションが条文のアクセス制限機構にあたらないのと同様です。
利用者にとって、ファイルのパーミッションや他のアクセス手段は影響しません。

244 :名無しさん@4周年:04/02/07 00:15 ID:+aFWfuIH
>>240
その理論でいくと全てのセキュリティホールは現実に動作する
から「仕様」だってことになるが?

245 :名無しさん@4周年:04/02/07 00:15 ID:MPTg5jSl
>>236
セキュリティーホールがあるマシンもいろいろな機能を提供しているが
外部の人間がいろいろな機能を実際行うと逮捕されるらしいよ。
どう思う?

>ネット上では公開が原則
ネットに繋がったマシンは全てのディレクトリが公開原則なんだww

246 :名無しさん@4周年:04/02/07 00:15 ID:AcZf9d0q
>225
その通りだ。
不正アクセス禁止法は不正アクセス以前に不正アクセスが可能だったかどうか
を問うている法律ではない。
故におまえの言ってる事はデタラメ。

247 :名無しさん@4周年:04/02/07 00:16 ID:p97ftOpX
>>242
それはそれで、個人情報保護法違反で告訴し、民事で損害賠償を提訴すれば
よろし、ただし個人情報を公開された本人ね。


248 :773:04/02/07 00:16 ID:A9QpxCqe
>>237
それはない。だいいち私はクソ素人なのに…w
>>238
cgiがファイル名を引数として受け取り、そのファイル内容を開示するのは仕様。
もしそれが穴を開ける行為なら、cgiにアクセスした全員が有罪になってしまう。

249 :名無しさん@4周年:04/02/07 00:16 ID:52fJavle
>>242
漏れ的には腹切って詫びるのはヨセフなんとかだと思うのだが。
気のせい?

250 :名無しさん@4周年:04/02/07 00:16 ID:mXifu1th
>>240

さっきからオウムになっているが・・・

>現実に動作していることと、それが公開されていること。

が成り立つなら、おまいのPCに意図しない穴があった場合も、当然不正アクセスにならない。

>始めから他人が開けた穴に入るのは問題ない。
>自分で穴を開けると不正アクセス。

(繰り返し)

CGIに特定のパラメータを送ること=穴を開ける

と解釈可能なのですが何か?



251 :名無しさん@4周年:04/02/07 00:17 ID:c2QR2E1o
>216
そっか、それはスマナンダ。

252 :名無しさん@4周年:04/02/07 00:17 ID:x2oYGKDW
ちょっと直した。cgiについて。

情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
   あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される

今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である

今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
   していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
   実装上のバグであると言って過言ではなく、また、
   システム上の全ファイルを公開する機能のcgiを実現しようとしていたつもり
   ではないことにオヒスは気付いていた。だからこそセキュリティホールであると
   通告していた。

不正アクセスについて:
4-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反

今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
  変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
   中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
   非公開情報と認識したうえで公開しており犯意は認められる

したがって、不正アクセス禁止法違反でアウト!


253 :名無しさん@4周年:04/02/07 00:18 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。


254 :名無しさん@4周年:04/02/07 00:18 ID:3wv5kSYd
バーチャル世界の法律も現実社会と同じだけの法律が必要なのかな・・・
あんな単純な法律だけじゃ治まらないバーチャル世界が存在してる・・・

255 :名無しさん@4周年:04/02/07 00:18 ID:E/cpqR3K
>>233
30点。
認証機能というとWeb認証のイメージになるのでアクセス制御とすべき
cgiのパラメータというのは誤解をうむ。cgiを改造し通常発生しない
POSTリクエストにより通常見えないファイルを入手した
見たか保存したか晒したかは法律上関係ない、不正なアクセスがあったかどうかだ

256 :名無しさん@4周年:04/02/07 00:18 ID:mXifu1th
>>248

>cgiにアクセスした全員が有罪になってしまう。

cgiに特定のパラメータを設定した全員が有罪になるのですが・・・
本件の場合、犯罪として認知されているのはofficeだけね。

257 :名無しさん@4周年:04/02/07 00:19 ID:MPTg5jSl
>>248
「仕様」の解釈が異常なキミがゴネてるだけ

>>244 >>245あたりにきちんと答えないと敗北宣言と見なしちゃうぞw

258 :名無しさん@4周年:04/02/07 00:19 ID:fTup6VPD
>>247
個人情報を公開された本人でもなんでも無いが、断固糾弾するね。

259 :名無しさん@4周年:04/02/07 00:20 ID:x2oYGKDW
>>241を反映してみたよ。
情報公開について一般論:
1-1) webは原則公開
1-2) 認証機構やディレクトリ構造を利用して隠蔽しているのが明らか、
   あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される

今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である

今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
   していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
   実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
   公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
   だからこそセキュリティホールであると通告していた。

不正アクセスについて:
4-1) 認証機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
   プロトコルにかかる機構を含む。

今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
  変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
   中身を見ただけでは犯意は問えないが、見て、保存し、公開した、ので
   非公開情報と認識したうえで公開しており犯意は認められる

したがって、不正アクセス禁止法違反でアウト!

260 :名無しさん@4周年:04/02/07 00:20 ID:rrHWj/Qq
つまりだ、
とある操作をして個人情報を入手しても
ご丁寧に管理者に教えて上げるのは
後ろ手にまわるからやめようね!
ってことでしょ。
素直に2chにさらした方がよいかも。
それだといくらなんでも管理者が気づくでしょw

261 :名無しさん@4周年:04/02/07 00:21 ID:p97ftOpX
>>255
今回はcgi本体は改造していない
改造したのはhtmlファイルで、その目的は第三者が簡単に
意図しないパラメータをcgiへ渡し、問題のファイルを参照
出来るようにするため。


262 :名無しさん@4周年:04/02/07 00:21 ID:mXifu1th
>>259

為のが1個多かった。スマソ

263 :名無しさん@4周年:04/02/07 00:23 ID:E/cpqR3K
773は脆弱性の意味もわからない厨だ
そっと放置しといてやれ

264 :名無しさん@4周年:04/02/07 00:23 ID:+aFWfuIH
前スレのコピペ

917 名無しさん@4周年 sage 04/02/06 20:34 ID:RKWgAVP+
いろいろ議論されてるが
>>858で書いた内容がすべてだろ

不正アクセス否定派はCGIの引数がサニタイズされていないのは「仕様」と主張
つまり管理者によるアクセス制御はなされていなかった

不正アクセス肯定派はCGIの引数がサニタイズされていないのは「脆弱性」と主張
つまり管理者によるアクセス制御の回避にあたる

ここの認識が違ってるかぎりたぶん平行線
一部を除いてほとんどのヤシは下の認識だと思うが


921 773 sage 04/02/06 20:36 ID:u0p5dcBT
>>917
今回の一件では客観的に後者の見方が妥当だと思う。
ただ裁判となると、office氏の故意性が問題になりそう…

やっぱり773は釣り師の悪寒w

265 :名無しさん@4周年:04/02/07 00:24 ID:x2oYGKDW
>>255も反映。
情報公開について一般論:
1-1) webは原則公開
1-2) アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
   あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報
1-3) そのどちらともつかない情報は、宣言と告知によって非公開性が決定される

今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である

今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
   していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
   実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
   公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
   だからこそセキュリティホールであると通告していた。

不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
   プロトコルにかかる機構を含む。

今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
  変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
   中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
   ので非公開情報と認識したうえで公開しており犯意は認められる

したがって、不正アクセス禁止法違反でアウト!


266 :名無しさん@4周年:04/02/07 00:24 ID:AcZf9d0q
>248
電動ドリルで金庫破りをした人間がいる。
電動ドリルがスイッチを押すと対象物に穴を空けるのは仕様。
だから電動ドリルを使用した人は全員有罪になってしまう。

267 :名無しさん@4周年:04/02/07 00:24 ID:z/IRDuEF
>>228
不正アクセスの仕方が2ちゃんの掲示板上で説明できるくらいに簡単で、
そんな貧弱なセキュリティレベルで個人情報を扱っているという
ACCSのプライバシー保護に対する意識の低さが一番問題だと思う。

268 :名無しさん@4周年:04/02/07 00:24 ID:p97ftOpX
>>260
ここへ晒しても不正アクセスしたのなら捕まる
方法だけ書いて、DQNがそれを実行し内容を晒すのをニヤニヤするだけ
なら不正アクセスでは捕まらない

但し、業務妨害での損害賠償訴訟は起こされる可能性は高い


269 :名無しさん@4周年:04/02/07 00:24 ID:MPTg5jSl
>>258
ダ ウ ソ 厨 必 死 だ な ( w

office訴えた方がいいよ
だってあいつは「自分の意志」で個人情報ばらまいたんだからww

>>260
せめてばらまく前に教えてあげようって事だな。
どっかの馬鹿と違って感謝されて円満解決も多いんだから。

270 :773:04/02/07 00:25 ID:A9QpxCqe
>>244
公開されたものではない
>>245
目的外に使うと問題になるだろう
>>250
office氏が与えた引数はファイル名のみ。それは本来の機能しか用いていない。
バッファオーバランとは同列にしてはいけない。
>>253
無理
>>256
「特定」と「非特定」はどう判断するのか…

つかやっぱり「穴」の表現まちがってるぽ。
今後は「穴なぞ始めからなかった」で行きます。

271 :名無しさん@4周年:04/02/07 00:25 ID:Nu/rpuOe
個人が誰でも脆弱性の検査をできるっていうのを、
免許か何かで規制して、事前の通知や事後の報告を義務付けないと、
悪意を持ったユーザーとの区別ができない。

272 :名無しさん@4周年:04/02/07 00:25 ID:fTup6VPD
言葉の解釈自体でなんとでも言えそうな条文だなしかし。
『さぁ僕を見て不毛な平行線議論をしてください』と嘲笑っているかにも見える。
犯罪になる例の例え話持ち出したりならない例の例え話持ち出したり、両者必死すぎ。

273 :名無しさん@4周年:04/02/07 00:26 ID:mXifu1th
>>272

必  死  で  す  が  何  か  ?

274 :名無しさん@4周年:04/02/07 00:26 ID:p97ftOpX
>>267
それは別時次元の問題だって
ACCSが糞なのは同意するけど、不正アクセスを容認する理由には
ならない

275 :名無しさん@4周年:04/02/07 00:27 ID:MPTg5jSl
773は無知であることにあらかじめ逃げを売ってるだけのゴロでしょ。
こいつのせいでこのスレに入ってから何一つ進展してないじゃねーか。

276 :名無しさん@4周年:04/02/07 00:28 ID:mXifu1th
>>270

貴方は、立論する際に「理由」というものを添えた方がいいのでは?



277 :名無しさん@4周年:04/02/07 00:28 ID:x2oYGKDW
たとえばその>>265でまとめたような場合、
法廷では弁護士はどのへんに論点を絞ってくるのかな?
まさか「心神喪失状態云々」とかじゃないよね?

278 :名無しさん@4周年:04/02/07 00:29 ID:4U62kJyZ
1-1) webは原則公開
これはおかしいので消せ

279 :名無しさん@4周年:04/02/07 00:29 ID:QdyUoNBi
★情報漏えいに揺れたACCS、「モラルに沿った脆弱性指摘を」
http://www.itmedia.co.jp/enterprise/0402/06/epn04.html

血の付いた斧を背後に覗かせながら言われても、ねぇ?(苦笑

280 :名無しさん@4周年:04/02/07 00:29 ID:fTup6VPD
>>271
IDがぬるぽに近い。
>>269
そういった姿勢がWeb管理者の姿勢に胡座をかかせてユーザーの危機意識を低くする。
細かい糾弾が無いと、本当に悪意をもった人間の犯罪に加担することになる。

281 :名無しさん@4周年:04/02/07 00:29 ID:mXifu1th
>>277

漏れの予想。

「反省してるから量刑下げてクリ」

282 :名無しさん@4周年:04/02/07 00:30 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。

283 :名無しさん@4周年:04/02/07 00:30 ID:MPTg5jSl
>>270
「目的」って誰が決めるの?w
意図とか関係ないんだからその機能が実際に
提供されていれば何でもやっていいんじゃないの?

目的云々言うならば、今回の件では例のCGIは
個人情報を表示する目的で作られたはずはないと思うが
そう思いませんか?w

284 :名無しさん@4周年:04/02/07 00:30 ID:FlGyEBmd
ACCSに情報を送信する過程で
何かの情報(エラー?)を表示するために使われているcgiを
「一般に公開されたファイル閲覧機能だ」という主張にはとても違和感を感じる

285 :773:04/02/07 00:31 ID:A9QpxCqe
>>276
そうなんだけど前スレで既出なのね。
それも私なんかよりちゃんと知識があるID:r5LDRHzzが理由も説明してる。

>>275
初めから、クソ素人なんかほっといて詳しいやつ同士で「議論」しろと言ってるw

286 :267:04/02/07 00:33 ID:z/IRDuEF
>>274
不正アクセスを容認するつもりはないです。
河合一穂容疑者は警告や晒してただけでもマシ。
素のテキストファイルをサーバーにおいて、それを単純なCGIで読みに
いっているだけのCGIが多すぎ。

287 :名無しさん@4周年:04/02/07 00:33 ID:MPTg5jSl
>>280
完全に別件。
管理者の怠慢は現行法ではごめんねで済むレベル。
河合一穂クンは犯罪者候補。

288 :名無しさん@4周年:04/02/07 00:33 ID:mXifu1th
>>285

ID:r5LDRHzzは、

>>容疑者の行為に「利用し得る状態にする行為」が含まれないから

>いまだ、その理由の説明がなされていない。

とわしが訪ねた直後に勝利宣言したもんだから、そこから話が進んでおらんのだ。


289 :名無しさん@4周年:04/02/07 00:33 ID:x2oYGKDW
>>283
やっぱそうなのかな?

>>273
120秒待ってね・・・なんか考える。
でも原則公開ってのが無いと
「公開性が明示されてなくて、明らかな非公開情報じゃないのはどっちなの?」って質問されそうなので
書いてみたのよ。

290 :名無しさん@4周年:04/02/07 00:33 ID:p97ftOpX
>>280
意識が低いのはweb管理者ではなく、それを運用管理する責任を持っている
経営者。
意識が低い、技術がない人間をweb管理者に置いている時点でDQN。

しかし、現実はネット上の利便性向上が先走り、危機管理がおざなりになっている
のが現状で、それではいけないのでせめて個人情報は守ろうと法律が出来た。

将来は、もっと厳しくなったり免許制とかにもなる可能性あり。


291 :名無しさん@4周年:04/02/07 00:34 ID:bcctxX2m
不正アクセス禁止法で、アメリカ愛国法に基づいて活動する諜報員を
取り締まれますか?

292 :名無しさん@4周年:04/02/07 00:35 ID:mXifu1th
>>289

本件個人情報は、公開する意図があり得ないのだから、むやみに話を一般化する必要は無いのれす。

293 :773:04/02/07 00:35 ID:A9QpxCqe
>>282
初めから穴があったというのは撤回。
初めから「ドア」があったのだ。

>>283
個人情報云々は関係ない。それは結果。
cgiは引数からファイル名を受け取ってその内容を示す機能があった。
それがcgiの目的。バッファオーバランとは同列にしてはいけない。

294 :名無しさん@4周年:04/02/07 00:36 ID:ztgeiZlp
>>288
「利用し得る状態にする行為」をしたのはCGIを設置した管理者だ、と言っていただろ。

295 :名無しさん@4周年:04/02/07 00:36 ID:mXifu1th
>>283

一般論を話してもしょうがないのれす。

あくまで、本件の話(個人情報が漏れたということが前提)をしちくり。

296 :名無しさん@4周年:04/02/07 00:36 ID:fP+9QTdt
>>2がむちゃくちゃイイ!!!!!!!!!!!!!!!!!

297 :名無しさん@4周年:04/02/07 00:37 ID:MPTg5jSl
>>286
もっとうまい方法で多くの人に有益な情報を
与えた人を何人も知ってるから
まったく同情する気になれん。
ていうかofficeが自己顕示欲の強すぎる過激派なだけ。

298 :名無しさん@4周年:04/02/07 00:37 ID:fTup6VPD
だから『判り易い例え』なんて存在しないんだってばさ。
とりあえずそこから離れろw

299 :名無しさん@4周年:04/02/07 00:37 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。

300 :名無しさん@4周年:04/02/07 00:38 ID:x2oYGKDW
OK。>>292も反映。
情報公開について:
1-1)アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
   あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報

今回漏れた情報:
2-1) 個人情報であり、ほぼ1-2)に相当し、常識的に非公開情報である

今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
   していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
   実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
   公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
   だからこそセキュリティホールであると通告していた。

不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
   プロトコルにかかる機構を含む。

今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
  変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
   中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
   ので非公開情報と認識したうえで公開しており犯意は認められる

したがって、不正アクセス禁止法違反でアウト!ハウス!


301 :名無しさん@4周年:04/02/07 00:38 ID:mXifu1th
>>294

CGIに特定のパラメータを送ること=利用し得る状態にする行為

と解釈可能なのですが何か?


302 :名無しさん@4周年:04/02/07 00:39 ID:rrHWj/Qq
officeは今思っているはず

「これは罠よ!」

結局陥れられたに違いないからな。
まあ調子付いてたようだからしょうがないのかも。

303 :名無しさん@4周年:04/02/07 00:39 ID:yKKI4U16
>>278
おかしくない
原則公開であるものの上にアクセス制御をするから公開と非公開が生まれる

304 :773:04/02/07 00:40 ID:A9QpxCqe
>>301
既出。因果関係が逆転している。
初めから利用可能だったからパラメータを与えたのだ。

305 :名無しさん@4周年:04/02/07 00:40 ID:fTup6VPD
とりあえず今回は個人情報流された人に、
おいおい、ACCSなんて信用すんなよ(プゲラッチョ
と慰めの言葉をかければいいのでせうか。

306 :名無しさん@4周年:04/02/07 00:40 ID:mXifu1th
>>303

わしのPCの中身は原則非公開ですが何か?

誰が決めたかって?

わしが決めたのですが何か?

307 :名無しさん@4周年:04/02/07 00:40 ID:MPTg5jSl
>>293
何回でも同じ事聞いてあげるね。
セキュリティホール付きのマシンも
任意のファイルを表示する「機能」くらいあるよ。
その「機能」を利用しても不正アクセスにはならないよね?

308 :名無しさん@4周年:04/02/07 00:42 ID:3wv5kSYd
ファイルパーミッションが認証にあたいする現状から認証であると解釈すると
1.許可を得た方法でアクセスする方法
2.許可させてないので取得できない方法
の2つの方法でブラウザからアクセスできた状態

1.の方法で全ての情報を得ようとした場合、当然表示されない情報もある訳だしょ?
でね、1.の方法でも許可させた情報と許可させてない情報が存在するんだしょ?

これってセキュリティホールだって言えばセキュリティホールだよなぁ
でも、認証でいえば認証をうけてアクセスしたってことでしょ
認証を受けてない情報は表示出来ないんだから
でもって管理者はそんなの許可した覚えはない!!ってことでしょ
罪に問われるか?問われないか?って管理者の考えで変わるの?

システム業界だったら管理者の許可を受けてないって話になるかも知れいが・・・

309 :名無しさん@4周年:04/02/07 00:42 ID:ztgeiZlp
>>301
>CGIに特定のパラメータを送ること=利用し得る状態にする行為
それは当該個人情報ファイルを利用し得る状態にする行為のことだろ。それをしたのはCGI。
OfficeはCGIを単に利用しただけだ、と言っていただろ。

310 :名無しさん@4周年:04/02/07 00:42 ID:mXifu1th
>>304

因果関係の評価がなっていない。

バナナの皮で滑って、マンホールに落ちて死んだとき、マンホール工事担当者に非があるか?
例の問題を復習しなさい。

311 :名無しさん@4周年:04/02/07 00:42 ID:6khSRXw9
>>54
それはCGIの認証機能を避けてるわけで、モロ3-2-2に引っかかるかと。

312 :名無しさん@4周年:04/02/07 00:42 ID:x2oYGKDW
typoもあったし、原則公開について軽く書く感じにして修正してみた。
情報公開について:
1-1) webは原則公開であると考えられるが、宣言や告知あるいは
   アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
   あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報。

今回漏れた情報:
2-1) 個人情報であり、ほぼ1-1)に相当し、常識的に非公開情報である

今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
   していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
   実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
   公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
   だからこそセキュリティホールであると通告していた。

不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
   プロトコルにかかる機構を含む。

今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
  変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
   中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
   ので非公開情報と認識したうえで公開しており犯意は認められる

したがって、不正アクセス禁止法違反でアウト!


313 :773:04/02/07 00:42 ID:A9QpxCqe
>>307
何度言っても事態は変わらない。
その「機能」を使うことは犯罪ではない。

314 :名無しさん@4周年:04/02/07 00:43 ID:MPTg5jSl
>>294
セキュリティホールの放置も「利用し得る状態にする行為」になるよね?
管理者がそうさせたんだから何やっても逮捕されないよね?

前スレの人はこれで逃げちゃったよw

315 :名無しさん@4周年:04/02/07 00:44 ID:+aFWfuIH
ま、なんにしろofficeのアフォもはしゃいで個人情報公開したりしなかったら
逮捕されなかったと思うよ

このときは

https://www.netsecurity.ne.jp/article/1/4828.html

officeにもまだ理性があったらしく
>ただし、「実際に見て」確認していないので、あくまでも「可能性」にとどまっている。
とかいってたのにね

警察も今回は悪質だからタイーホしたんだろうな

316 :名無しさん@4周年:04/02/07 00:44 ID:mXifu1th
>>309

cgiは、特定のパラメータを設定しない限り当該個人情報ファイルを「利用しうる状態にする行為」にはなりませんが何か?

特定のパラメータを設定したのは誰?

317 :名無しさん@4周年:04/02/07 00:45 ID:E/cpqR3K
ztgeiZlpもそろそろ放置でいいんじゃないか?
同じことしかいわず、説明しないから、議論進まないし

318 :名無しさん@4周年:04/02/07 00:45 ID:+qi1EmwW
>>66
待て待て、unixで chmod 444 してあったら、CGI経由だって読めないぞ。
CGI経由で読めたのなら、読めるパーミッションにしてあったと言うこと。
と言うか、そのようなパーミッションにしてあって普通なんじゃ?その CGIでアクセスするんでしょ?

319 :名無しさん@4周年:04/02/07 00:46 ID:QdyUoNBi
>>305
そのあと弁護士と面会してもらいます。そして米国流被害者救済(利益獲得)方法を考えましょう。

320 :名無しさん@4周年:04/02/07 00:46 ID:wGZInPPn
こいつは研究員以前に、人格に問題ありだろ。

321 :名無しさん@4周年:04/02/07 00:46 ID:MPTg5jSl
>>313
おいおいおいおいおいおい
セキュリティーホール突いてアクセスしたら犯罪ないって思ってるのかw
もう、かわいいな。

322 :名無しさん@4周年:04/02/07 00:46 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。

323 :名無しさん@4周年:04/02/07 00:47 ID:ztgeiZlp
>>316
特定のパラメータはアクセス制御機構に相当しないだろ。

324 :名無しさん@4周年:04/02/07 00:47 ID:x2oYGKDW
そろそろ飽きたかも(´・ω・`)
情報公開について:
1-1) webは原則公開であると考えられるが、宣言や告知あるいは
   アクセス制御機構やディレクトリ構造を利用して隠蔽しているのが明らか、
   あるいは常識的に非公開であると考えられる情報であるなら常識的には非公開情報。

今回漏れた情報:
2-1) 個人情報であり、常識的に非公開情報である。また、オヒスが取得並びに公開にそのファイルを
   選択した理由も、オヒス自身も「セキュリティホールによって非公開情報が閲覧可能」と
   認識していたからである。

今回のcgiの機能について:
3-1) 常識的に考えて、システム上の全ファイルを公開する機能のcgiを実現しようと
   していたとは考えられず任意のファイルが表示されてしまうのは仕様あるいは
   実装上のバグであると言って過言ではなく、また、システム上の全ファイルを
   公開する機能のcgiを実現しようとしていたつもりではないことにオヒスは気付いていた。
   だからこそセキュリティホールであると通告していた。

不正アクセスについて:
4-1) アクセス制御機構を回避して情報を入手する意図が認められれば不正アクセス禁止法違反
4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他の
   プロトコルにかかる機構を含む。

今回の件では:
5-1) 2-1)より誰が見ても明らかな非公開情報を、3-1)のバグを利用しcgiのパラメータを
  変更することで隠蔽のための機構を意図的に回避している
5-2) 善意的に解釈すると「中身を見るまでは2-1)かどうか判断できない」ので、
   中身を見ただけでは犯意は問えないが、今回の件ではオヒスは情報を見て、保存し、公開した、
   ので非公開情報と認識したうえで公開しており犯意は認められる

したがって、不正アクセス禁止法違反でアウト! ハウス!


325 :773:04/02/07 00:47 ID:A9QpxCqe
>>310
いい加減個人情報流失を忘れなさい
今回セキュリティホールとされているのは
cgi経由で鯖上の全ファイルを閲覧できるようになっていることだが、
ファイルを閲覧できるようにしたのはcgiであってoffice氏ではない。
彼にとっては穴ではなく「ドア」だった。

326 :名無しさん@4周年:04/02/07 00:48 ID:mXifu1th
>>323

「特定のパラメータはアクセス制御機構に相当」するだなんて私は言っておりませんが何か?

327 :名無しさん@4周年:04/02/07 00:49 ID:xAT+1lgi
>>325
ドアって勝手に開くんですね。すげーおたくはぜんぶ自動ドアなんすか?

328 :286:04/02/07 00:50 ID:z/IRDuEF
>>297
別に、おれも同情はしていない。

この程度でも不正アクセスなのかな?
ttp://www.google.com/search?num=20&hl=ja&inlang=ja&ie=UTF-8&oe=UTF-8&c2coff=1&q=Parent+Directory+login+cgi&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

329 :名無しさん@4周年:04/02/07 00:50 ID:ztgeiZlp
>>326
じゃあアクセス制御機構を回避してないだろ

330 :名無しさん@4周年:04/02/07 00:50 ID:fTup6VPD
つーかま、officeだって個人情報晒したんだから覚悟はしたうえなんだろうし
奴自身を擁護する気はサラサラ無いが、
ACCS側の落ち度をあんまり問わないってのはいい結果を産まないと思うさね。

「officeの行為は犯罪で無い!」
「いや犯罪だ!」
って今ここで言ってどうなることでもないことで騒いでる人間がどっちも、
ACCSの責任から目を逸らしたい奴にも見えてくる疑心暗鬼な夜。

331 :773:04/02/07 00:50 ID:A9QpxCqe
>>321
office氏はセキュリティホールをついていない。
>>326
アクセス制御機能に相当しなければ不正アクセスは成立しない。

332 :名無しさん@4周年:04/02/07 00:51 ID:+aFWfuIH
結局773の主張は
CGIが任意のファイルを表示できたのは「脆弱性」ではなくそのCGIの「仕様」である
ってことだけなんだよなぁ
そのくせ「脆弱性」と「仕様」の違いを説明できていない

何を言われても根拠もなく
「それはCGIの仕様です」
というだけ

つーことでそろそろあぼーん推奨かも

333 :名無しさん@4周年:04/02/07 00:51 ID:mXifu1th
>>325

彼自身が何をどう考えようと、彼の勝手である。

彼自身が「ファイルを閲覧できるようにしたのはcgiであって」と考えたからといって、警察や検察や裁判官もそう考える義務は無いのですが何か?

正当な理由が無い意見は価値がないのれす。



334 :名無しさん@4周年:04/02/07 00:52 ID:MPTg5jSl
>>317
こうなったらもう何度でもとことん同じ事を聞いてやるよ。
なんかこの世のコンピュータは全て共有物のように思えてきた。

>>318
CGIがどの権限で実行されているかによりますよ

>>320
yes! こんな状況でハッカーとクラッカーの区別なんか付かなくて当然だよね

>>328
他の事例はあくまで他の事例だね

335 :名無しさん@4周年:04/02/07 00:53 ID:9wfxJyf0
セキュリティホールがあるから直せって当事者に通告するなり、詳細は伏せて公表するならわかる

だかしかし、こういう形でしかも2chになんか書き込んだイカンよ
法に触れて「犯罪者」になるかどうかは微妙なんでようわからんが、悪意が介在した上にそれを公に発露したら、まんま悪人
少なくとも常識ある人間がすることじゃない


336 :名無しさん@4周年:04/02/07 00:53 ID:mXifu1th
>>329

>>324に採用してもらった意見。

4-1-1)隠蔽の為の為の機構とは、FTP、TELNETその他当該ファイルにアクセス可能な他のプロトコルにかかる機構を含む。

これを回避していますが何か?

337 :名無しさん@4周年:04/02/07 00:53 ID:Jd/zXY4B
>>332
しかし、肯定派、否定派どちらにしても、
その違いをハッキリとさせないと話が先に進まないと思うのだが…

338 :名無しさん@4周年:04/02/07 00:53 ID:9WskgvAk
>277
正当行為を主張するんじゃないかな。
セキュ穴の脆弱性を指摘する為に不正アクセスするのは、それだけの行為ならば、
正当行為として認められる可能性も高いんじゃないかなと思う。
ただ、その過程で個人情報ばら撒きと言う余計なことしてしまったから、そこを突か
れたら弱いね。それをする必要性があったかどうかが問題になるんじゃないのかな?

339 :773:04/02/07 00:53 ID:A9QpxCqe
>>327
勝手には開かない。ヨゼフが開けたんだよ
>>333
彼自身が考えたのではなくcgiの実態。
裁判官がそう考える義務がないのは…当たり前すぎて何と言ってよいのやら

340 :名無しさん@4周年:04/02/07 00:54 ID:x2oYGKDW
formでselectとか使って、そこからしか表示ファイルを選べないようにしていたら
鯖屋側はアクセス制御の意図があったと思うが。
で、本来ならばcgiでさらに引数チェックして、アクセス制御をより完璧なものに近づけるはず。
ところが、そこにバグがあって、一段目の入力を、ルーカルでhtml書き換えなどで回避すれば
アクセス制御をバグを突いて回避することになると思う。

341 :名無しさん@4周年:04/02/07 00:54 ID:fTup6VPD
常に主観の問題であり基準が見えてこない。
公約数の無い堂堂巡り。

342 :名無しさん@4周年:04/02/07 00:55 ID:rrHWj/Qq
officeの個人攻撃はステレオ化してよくないな。
ようは
個人情報をさらさず、管理者にそっとメールを送るぐらいで
事態を抑えておけば、まず円満解決、問題ににならないし
管理者は対策をとった後に「見られる状態にあったが、今は修正した」
と謝れば済むこと。
犯罪行為であっても犯罪にならないことがある。
今回は相手がACCSだったこともあって舞い上がっちゃったんだろうね。
しかしこの手のことで逮捕されるなら
A.D.200Xのヤツらはみな逮捕だな。
どう見ても裏切りにみせしめトカゲのしっぽ切り。
管理者の逆ギレACCSのメンツ丸つぶれでしょ。

343 :名無しさん@4周年:04/02/07 00:55 ID:MPTg5jSl
>>330
ダウソ厨はファミリーマートの流出とかには興味なさそうだね。
損害賠償の民事で考えると流出させた量が全然違うのに。

344 :名無しさん@4周年:04/02/07 00:55 ID:4U62kJyZ
>>282
そういう理由なら納得

345 :名無しさん@4周年:04/02/07 00:56 ID:+aFWfuIH
>>330
それは考えすぎ

officeの有罪、無罪に関わらず
ACCS、ファーストサーバの責任は明確

ただACCS側の刑事責任を問う法律が現状ではないこと
それが最大の問題

346 :名無しさん@4周年:04/02/07 00:56 ID:mXifu1th
>>339
>勝手には開かない。ヨゼフが開けたんだよ
ヨゼフがドアを「設置」したんじゃなかったの?

>彼自身が考えたのではなくcgiの実態。
>裁判官がそう考える義務がないのは…当たり前すぎて何と言ってよいのやら

「cgiの実体が○○である」というのは、officeや貴方が勝手に主張しているだけなのですが何か?

理由が無いのだが・・・

347 :名無しさん@4周年:04/02/07 00:57 ID:yKKI4U16
>>340
アクセス制御の意図があることとアクセス制御があることは違うと思うのですが

348 :名無しさん@4周年:04/02/07 00:57 ID:Qkta6Rq1
他人のプライバシ-をきちんと管理しておらず、
設定に不備なところがあるからと指摘されても
他人のプライバシ-を平気で危険に晒し続けている
サ-バ-の管理者は、未必の故意の犯罪者だよ。

善良に管理すべき他人のプライバシ-を、容易に
だれでも入手できるような危険な状態に置いた
これって罪じゃないの?

それで、面目丸潰れ(あまりにも幼稚なレベルの
セキュリティまるでなしの破れサ-バ-を平気で
運用していた)でもあり、プライバシ-侵害を
していた責任を、他人を犯罪者だとわめいて
転嫁しているんだよ。

349 :名無しさん@4周年:04/02/07 00:57 ID:MPTg5jSl
>>331
office氏も過去に逮捕された人も
正当な「機能」を使用しただけなんだよね。
どこが違うの?
じゃあなんで逮捕された人がいるの?

350 :773:04/02/07 00:57 ID:A9QpxCqe
>>337
一応言っとくと、私のは前スレr5LDRHzzの不出来なコピー。
だからこれ以上つついても何も出てこないよ。
で、r5LDRHzzの主張はテンプレの人がもうまとめちゃってる。

351 :名無しさん@4周年:04/02/07 00:58 ID:AcZf9d0q
>CGI経由で読めたのなら、読めるパーミッションにしてあったと言うこと。
>と言うか、そのようなパーミッションにしてあって普通なんじゃ?その CGIでアクセスするんでしょ?

ダウトだな
700にしとけばperlからopenは出来ても直接URIで指定する事は出来ない。
これはアクセス制御機構が成立している事を意味している。

352 :名無しさん@4周年:04/02/07 00:59 ID:x2oYGKDW
>>347
そりゃそうだけど、全て公開するつもりなら、document rootを/にするよね。
それをせず、しかも見せるファイル名をcgiの引数にしていたのは、cgi自体がアクセス制御機構だったと思う。
まぁ機能していなかったけど、存在はしていてバグで機能していなかった、という状態かな。

353 :773:04/02/07 01:00 ID:A9QpxCqe
>>346
どちらでもお好きな方をどうぞ。合わせます。
穴じゃないことだけ確認。
それと実態と実体と勘違いしてるもよう。

354 :名無しさん@4周年:04/02/07 01:01 ID:E/cpqR3K
ホールじゃないドアってなんだよw
本来は見えないところにあるファイルを鯖管が晒すために意図して
つくったとでも
そういうのを脆弱性っていうんだよ

355 :名無しさん@4周年:04/02/07 01:01 ID:jfyCjqLg
>>348
俺でも入手できるの?

356 :名無しさん@4周年:04/02/07 01:01 ID:mXifu1th
>>347

そりゃそうだが、誰もが見放題になっていたわけでもない。

判明しているのはofficeだけ。

アクセス制御が一応利いてたから。

357 :名無しさん@4周年:04/02/07 01:02 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。

358 :名無しさん@4周年:04/02/07 01:02 ID:x2oYGKDW
テンプレ飽きてきたので誰か検察の気分で加筆修正して
次スレ(もしあれば)の2-10あたりにコピペしておくとちょと便利かも。
逆に誰か弁護士の気分な真っ当な反論ヨロ。

359 :773:04/02/07 01:03 ID:A9QpxCqe
>>354
壁にドリルで穴を開ける行為と
出入り自由のドアから入るのとを混同してはいけない。

360 :名無しさん@4周年:04/02/07 01:03 ID:yKKI4U16
>>352
773氏はcgi自体がアクセス制御機構ではないと言ってると思うのだが
アクセス制御機構じゃないんだから機能してるとかバグとかそういう問題じゃないと

361 :名無しさん@4周年:04/02/07 01:04 ID:MPTg5jSl
>>350
キミはオヒス擁護という行動が非常に苦しい、難しい行為である
ということを表す象徴的な存在になっている。

スレはだらだらと続いてるけど単なるループであり、
論争になってないから意見が拮抗しているイメージも与えない。

362 :名無しさん@4周年:04/02/07 01:04 ID:mXifu1th
>>354

>どちらでもお好きな方をどうぞ。合わせます。

ドアを設置することと、それを開けることは大きな違いなのだが。

ドアが開いた原因は、設置したやつにあるのか?開けたやつにあるのか?

そこら辺の検討をやってクリ、と申しているのだが。

>それと実態と実体と勘違いしてるもよう。
変  換  ミ  ス  で  す  が  何  か  ?

363 :名無しさん@4周年:04/02/07 01:05 ID:x2oYGKDW
反論:
1-1) 心身喪失状態だった。
1-2) その他

364 :名無しさん@4周年:04/02/07 01:05 ID:mXifu1th
>>350

あきらめるな。ガンガレ。

365 :名無しさん@4周年:04/02/07 01:06 ID:Jd/zXY4B
ずいぶん人減ったな…

366 :名無しさん@4周年:04/02/07 01:07 ID:fTup6VPD
>>345
と、思うんすよね。
で、曖昧にしているから、法整備もいつまでたっても放置なわけで。

で、さっきからダウソ厨ダウソ厨言ってる人いますが、僕別に割れ厨でないんで。
nyもMXもやったこと無いです。ヘタレなんで。うひ。
ネット上での危機管理能力の低い人や、
個人情報を扱いながら簡単に『大丈夫』だなんて口にする奴らに、
警鐘を鳴らしたいと思ってる人間です。
じゅーきねっとあたりから。

367 :名無しさん@4周年:04/02/07 01:08 ID:mXifu1th
>>363

その他:
1-1)反省してるから量刑さげてくれ。

368 :名無しさん@4周年:04/02/07 01:09 ID:yKKI4U16
>>365
漏れが亜弥ちゃんのミュージカル行く前と同じ議論をいまだにやってるんだもん
そりゃ人も減るでしょw

369 :773:04/02/07 01:09 ID:A9QpxCqe
>>361
擁護も何も彼のことはほとんど知らない。
ループしてるのはお互いに「新しい意見」を出さないからだ。
クソ素人の私からはそんなもの出てこないよ。
>>362
大きな違いか…。
ではドアを開けたのがヨゼフだとしておく。

370 :名無しさん@4周年:04/02/07 01:09 ID:E/cpqR3K
>>360
しかもその理由がWeb認証の仕組みがこのサイトになかったから、だ
そうだ
言葉で遊んでるだけだから放置でいいよ

371 :名無しさん@4周年:04/02/07 01:10 ID:x2oYGKDW
>>345
それ難しい問題だよね。
法整備も難しそう。
ソフトウェアのバグで、業務上過失なんたらとか言われる日が来るのかな・・・

372 :名無しさん@4周年:04/02/07 01:10 ID:AcZf9d0q
773の定義によると、Linuxを入れてるサーバーは最初から全ファイルを
公開しているのと一緒なんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事はないからだ。

373 :名無しさん@4周年:04/02/07 01:11 ID:MPTg5jSl
>>366
本気で考えているならもうちょっと意図の絡んでない事例から見ていきなよ。

374 :名無しさん@4周年:04/02/07 01:12 ID:vurMG0vJ
なんか俺の感覚としてはofficeがやったことって鍵をこじ開けたのではなくノックしたら開いちゃったってだけだと思うけどな
ただ、だからと言ってその部屋の中を撮影してきちゃったのは余計だったわけでしょ
でも、それって犯罪になるのかって聞かれたら微妙
ACCSはモラルという言葉でそれを犯罪にしたがってるけどモラルが無いというのは犯罪じゃないしな
必要以上の個人データを集めたACCSだってそれを裁く法律は無いけどモラル違反だろうし

375 :名無しさん@4周年:04/02/07 01:12 ID:mXifu1th
>>369

他の人が当該CGIをアクセスしてもドアは開かなかったのですが何か?

なぜ、officeの時だけドアが開いたのですか?

officeが開けたからでは無いのですか?

ヨゼフが開けたのなら、他の人の時も開いたっていいんじゃないですか?

やり直し。

376 :名無しさん@4周年:04/02/07 01:14 ID:AcZf9d0q
773の定義によると、Linuxのディストリビューターは
全員不正アクセス禁止法で逮捕されなければいけないんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事は
なく、Linuxを入れると全ファイルが公開状態になってしまい、アクセス制御機能が
無くなるからだそうだ。んで、ディストリビューターはその状態を作った奴なんだから
有罪なんだそうだ。

377 :名無しさん@4周年:04/02/07 01:14 ID:rrHWj/Qq
officeを逮捕させようと
2chにさらしたやつが一番悪いやつ。
逮捕まぎわのうp、タイミングもばっちり。
裏がないほうがおかしい!

378 :名無しさん@4周年:04/02/07 01:15 ID:yVlhYedd
そもそもセキュリティホールを放置する側に問題があるわけで
問題点を指摘したら逮捕とはやり過ぎ。



379 :名無しさん@4周年:04/02/07 01:15 ID:x2oYGKDW
弁護側意見を予想!

反論:
1-1) 心身喪失状態だった。
その他:
2-1) 反省してるから量刑さげてくれ。

appendix:
a-1) officeも黒だけど、ACCSや鯖屋も別の側面で黒じゃないの?


380 :773:04/02/07 01:15 ID:A9QpxCqe
>>375
他の人もそのドアから出入りしていた。
「ドア」というのは、
ファイル名を引数としてcgiに渡せばファイル内容が開示される機能そのもののことだ。

381 :名無しさん@4周年:04/02/07 01:15 ID:E/cpqR3K
>>375
擁護派じゃないおまいもかなり厨だぞ

382 :名無しさん@4周年:04/02/07 01:15 ID:vurMG0vJ
ノックしたらというよりはピンポンダッシュに近いのかなあ
チャイム鳴らしたら中から開いた
で、撮影
現行法で犯罪かどうかやっぱ微妙だなあ

383 :名無しさん@4周年:04/02/07 01:16 ID:mXifu1th
>>380

他の人は当該個人情報を入手していないのですが何か?

つーか、むやみに一般論にこだわっている罠。

384 :名無しさん@4周年:04/02/07 01:17 ID:mXifu1th
>>381

厨  で  す  が  な  に  か?

悪い?

385 :名無しさん@4周年:04/02/07 01:18 ID:xAT+1lgi
>>379

モクーヒしてるのに反省ってのは無いような

386 :名無しさん@4周年:04/02/07 01:18 ID:fTup6VPD
>>373
この場で言うのはこのスレで誰もそっち側に目を向けて無さそうに見えたから。
ファミマとか、Softetherとかそういう系統のニュースでも、
関係ありそうなことを見かけたらそっち方面には言及する。
多数意見の一つとして、だから目立ちゃしないが。
そーゆー意味じゃ773はバカどもにはちょうどいい目くらましだ。

>>384
好きじゃないな。犯罪じゃないけど。

387 :名無しさん@4周年:04/02/07 01:18 ID:yKKI4U16
>>383
ループしてるよ?
個人情報を入手しら不正アクセスという法律ではないです

388 :名無しさん@4周年:04/02/07 01:18 ID:yVlhYedd
>>382
不正アクセス禁止法違反で違法なことだとは思う。
しかし研究機関や研究者のセキュリティーホールの探索、通知は
法の適用除外として検討すべき事項だと考える。

389 :名無しさん@4周年:04/02/07 01:18 ID:MPTg5jSl
>>380
んじゃセキュリティーホールも「ドア」だね。
アレ?でもドアくぐった人たくさん逮捕されてるw

390 :773:04/02/07 01:18 ID:A9QpxCqe
>>383
個人情報を入手したかどうかは問題じゃない。忘れろ。

391 :名無しさん@4周年:04/02/07 01:19 ID:Jd/zXY4B
>>380
他の人はドアは使っていたけど、該当ファイルにはたどり着いてないってことになるんじゃないかな?

この問題、ドアに無理やり例えるならアパートやマンションのような集合住宅の話に近いのではないかい?


392 :名無しさん@4周年:04/02/07 01:19 ID:QdyUoNBi
弁護士さんはもっと仕事熱心にならないと。

相手は宴の最中? まさか油断してたりして(笑

393 :勝利宣言1号:04/02/07 01:20 ID:mXifu1th
つーことで、寝る。

あす、わしがここを見たとき、わしを感動させて、officeを擁護しようかなーって気にさせたやつは、ガムをくれてやるからな。

文句でも良いんだぞ。わしを感動させられればな。

それまでに、あきらめずにガンバレよ。

スレが無くなってたら、残念でした。

394 :773:04/02/07 01:21 ID:A9QpxCqe
>>389
言ってることがめちゃくちゃ。
人間の交通を遮断すべき壁に穴を開けることが不正アクセス。
人間が交通すべきドアを通過するのは当たり前の行為。

395 :名無しさん@4周年:04/02/07 01:21 ID:3wv5kSYd
まあ、運用する人はWebサーバは公開サーバと考えて良いと思うよ
で、最悪の事態になったときはWebサーハは捨て、全て公開されて壊される、
まあ、犯罪行為によってそうされてしまう可能性のあるサーバってことだが


396 :名無しさん@4周年:04/02/07 01:21 ID:x2oYGKDW
>>388
それ、外でいきなりやっちゃまずいよ。
工事現場でヘルメット被ってるおっさんを金属バットで殴って被害出して、
「ホラ。このヘルメット駄目じゃん!」と言うのではなく、
実験環境として十分な環境でやらなきゃ。
工事現場で安全なヘルメットを使うか、野球の帽子程度の安全じゃないのを使うかは
工事現場の問題だし。

397 :名無しさん@4周年:04/02/07 01:21 ID:yVlhYedd
となりの留守宅の戸締りを確認していた善意の隣人が
住居不法侵入で逮捕されるのと変わらん。

398 :名無しさん@4周年:04/02/07 01:22 ID:vurMG0vJ
>個人情報を入手したかどうかは問題じゃない。忘れろ。

うん、俺もそう思う。
不正アクセスかどうかは物を持って行ったかどうかが論点にはならんしね

399 :名無しさん@4周年:04/02/07 01:24 ID:MPTg5jSl
>>386
とりあえず、いろんな事例を追い、実際に管理のまねごともしてみることだな。
警鐘鳴らそうにも中身を知らなきゃ「景気が悪いのは政治が悪い」と言ってるだけの
アホと同じ。

しかし、「773が」目くらましときたか。
ダウソ厨を連呼しているのは俺なので俺がACCS側の人間だと言われているかと思ったのだが。


400 :名無しさん@4周年:04/02/07 01:25 ID:mXifu1th
>>398

>>個人情報を入手したかどうかは問題じゃない。忘れろ。

>うん、俺もそう思う。
>不正アクセスかどうかは物を持って行ったかどうかが論点にはならんしね

馬鹿者。
本件の場合を言っておるのであろうが!
本件の場合個人情報を入手したっつーのは、本件の場合、ドアを開いたってことだろ。

だからあれほど無意味な一般化などするなと何度(以下略

つーわけで、厨だから勝利宣言もしたし寝る。

401 :名無しさん@4周年:04/02/07 01:25 ID:vurMG0vJ
なんというかここの論争で家宅不法侵入を例に出して「中に入った」って言葉がよく使われてるけどさ
WEB上で「中に入った」って理論にするのはすげー無理があるような気がするのは俺だけかあ?

402 :名無しさん@4周年:04/02/07 01:25 ID:x2oYGKDW
>>398
でも犯意の認定には重要じゃないの?
漏れ的には、持ち出し、公開、ACCSへの通告っつーのがそもそも
「アクセス制御を回避できるセキュリティホールがあって非公開情報ゲットできるよ」
とオヒス自身が認識していたことを示していて、犯意の認定につながると予想。

403 :名無しさん@4周年:04/02/07 01:25 ID:fTup6VPD
>>399
別に誰がACCS側とか中の人とか言ってるんじゃないよ。
無益な議論より考えることがあるんじゃないかな、って話でした。

404 :名無しさん@4周年:04/02/07 01:26 ID:xAT+1lgi
>>390
>>398

あんたらの脳内からは「特定利用」という文言がさっぱり消え去っている
気がしてならない。

405 :名無しさん@4周年:04/02/07 01:26 ID:E/cpqR3K
>>396
イイ!

>>397
となりに住んでる893が善意で…だな

406 :773:04/02/07 01:27 ID:A9QpxCqe
>>400
相変わらずだな…。

>本件の場合個人情報を入手したっつーのは、本件の場合、ドアを開いたってことだろ。
なんなんだ、これは。
ドアを開くことがホールだと言ってたのは君じゃなかったか?
個人情報の入手がいつのまにセキュリティホールと同義語になったんだよ。

407 :名無しさん@4周年:04/02/07 01:29 ID:yVlhYedd
個人情報の入手とセキュリティーホールでの侵入に関連性は薄い

408 :名無しさん@4周年:04/02/07 01:29 ID:vurMG0vJ
>>402
犯意の認定という部分の話ではそうかもしれないけど俺は違う論点で話してたのよ
officeが白だとは言ってないのね
例えばここの人たちが好きな言い回しの家宅不法侵入になぞえればデータなんてドアが開いたら中に入らなくても見えちゃうわけじゃん?


409 :名無しさん@4周年:04/02/07 01:30 ID:Jd/zXY4B
つーか、個人情報って言葉がよく出てくるんだけどさ、
法律上不正アクセスかどうかの話をする上で、読み出されたデータが
いわゆる個人情報かどうかは関係ないよね?ちょっと気になったので誰か答えてくんろ。


410 :名無しさん@4周年:04/02/07 01:31 ID:x2oYGKDW
>>402
ちょいと補足すると。
裁かれるべきは「不正アクセス禁止法違反」なので、持ち出しや公開は裁かれないかもしれない。
(法にすげー詳しいわけじゃないので間違ってるかもしれないけど・・・)
しかしながら、不正アクセス禁止法違反の犯意の認定には、持ち出しや公開の事実が
オヒスの犯意の裏付けになっている、と漏れは思うということで。

411 :名無しさん@4周年:04/02/07 01:31 ID:PntqH25i
>>394
当たり前の行為なのに逮捕されて起訴されてるw
困ったねw
オヒスとどこが違うんだろうねw

説明できないからオヒスも逮捕されたし起訴されるんだろうねw

412 :名無しさん@4周年:04/02/07 01:32 ID:ztgeiZlp
>>409
関係ない。パスワードとIDで保護されているかどうかだけが問題。

413 :名無しさん@4周年:04/02/07 01:32 ID:vurMG0vJ
>>409

関係ないよ〜
というか「持ち出す」という言葉もよくここで出てくるけど不正アクセスは閲覧するだけでアウトだしさ
だから個人情報を持ち出したなんてのはあまり関係ないのよ

414 :名無しさん@4周年:04/02/07 01:32 ID:yKKI4U16
>>400
自分で個人情報かどうかは関係ないと言ってたはずだが

http://news5.2ch.net/test/read.cgi/newsplus/1076000765/411-417

415 :名無しさん@4周年:04/02/07 01:33 ID:yVlhYedd
しかし裁判になって公判維持するの大変そうだな

416 :773:04/02/07 01:35 ID:A9QpxCqe
>>411
私もr5LDRHzzも「違わない」と言っている。
どこが違うのかを説明する義務があるのは逮捕した警察および検事。
説明できないから逮捕されたというのなら、逮捕された人間みな有罪になるが?

417 :名無しさん@4周年:04/02/07 01:35 ID:fTup6VPD
前提も内包する問題も大きく異なるのに、
webの外の一般例に置き換えての議論しようとするのは無意味。
ドアとか隣の家とか安全帽とか。

418 :名無しさん@4周年:04/02/07 01:35 ID:E/cpqR3K
>>413
さらに補足すると
閲覧とかができる権限をとった時点でアウト

419 :名無しさん@4周年:04/02/07 01:35 ID:Y83Z4PbF
情報をかっぱらう奴も奴だけど
データを簡単に盗まれる。すACCSは死ねですな。
それで、著作権を守る集団と言うらしい。
------まぁ、いいや...
>>411
おそらくは、ここまで荒れると言うことはまだ前例がなさそうだな。
ACCS一同は、見せしめ裁判にする可能性があると思う。

420 :名無しさん@4周年:04/02/07 01:35 ID:PntqH25i
>>408
たとえ話を持ち出すのはお馬鹿さんだけ

>>409
「個人情報」を「非公開であると考えるのが妥当な情報」
という言葉に置き換えろ!


421 :名無しさん@4周年:04/02/07 01:36 ID:cJ+4dIY5
ひろゆこの日記にこの事件のこと書いてあったね。
既出?

422 :名無しさん@4周年:04/02/07 01:36 ID:vurMG0vJ
>説明できないから逮捕されたというのなら、逮捕された人間みな有罪になるが?

少なくともヨセフアンドレオンの中川とマチルダはそう思ってたみたいだけどね〜(w

423 :名無しさん@4周年:04/02/07 01:36 ID:xAT+1lgi
>>414

何見ても不正アクセス、という意味において関係ないだろうな
それぐらい分かれ

>>415

どこが大変? office有罪の肯定を公表してる弁護士、研究者は存在するわけ
だが。

424 :名無しさん@4周年:04/02/07 01:37 ID:yVlhYedd
例え話にでもしなけりゃ、司法関係者のほとんどが理解できんだろ

425 :名無しさん@4周年:04/02/07 01:37 ID:x2oYGKDW
>>417
漏れもそう思う。比喩で議論するのはイマイチだね
ただ安全帽は半分ジョークのつもり
比喩はイヤだなぁと思いつつジョークのつもりで書いた


426 :名無しさん@4周年:04/02/07 01:37 ID:AcZf9d0q
773の定義によると、Linuxのディストリビューターは
全員不正アクセス禁止法で逮捕されなければいけないんだそうだ。
なぜならどのディストリビューションでもセキュリティーホールがゼロという事は
なく、Linuxを入れると全ファイルが公開状態になってしまい、アクセス制御機能が
無くなるからだそうだ。んで、ディストリビューターはその状態を作った奴なんだから
有罪なんだそうだ。

未だに反論できない模様www

427 :名無しさん@4周年:04/02/07 01:38 ID:SCEN7oen
そもそもHP用の鯖に個人データを入れたままにしとくなんて幼稚すぎ


428 :名無しさん@4周年:04/02/07 01:38 ID:PntqH25i
>>416
行為は違わないのに結果が違ってくると考えるのなら
妥当な理由をお願いしたいのだが?

アレ?結果も違わないって事かなあw

429 :773:04/02/07 01:38 ID:A9QpxCqe
>>426
反論せにゃならんかったのか…ただの荒らしかとw

430 :名無しさん@4周年:04/02/07 01:39 ID:Jd/zXY4B
>>412
>>413
さんくす。ちょっとわかり難かったんで助かりまする。

>>420
乱暴やなぁ…

431 :名無しさん@4周年:04/02/07 01:39 ID:x2oYGKDW
ところでさ、オヒスはいつ釈放されるの?

432 :名無しさん@4周年:04/02/07 01:39 ID:AcZf9d0q
>429
おまえの定義によればレッドハットとヨセフアンドレオンは同じように有罪なんだろ?


433 :名無しさん@4周年:04/02/07 01:40 ID:fzMUzYkY
犯罪くさい気もするが、「その制限されている特定利用をし得る状態にさせる行為」
ってのを満たしてない思うんだよな。前スレでもちょっと出てたが。
判例的にはどうなのかわかんないけど、不正アクセス禁止法では起訴できないってオチになる予感。

434 :773:04/02/07 01:44 ID:A9QpxCqe
>>428
違う結果を出した警視庁に聞け。私の知ったこっちゃない。
>>426>>432
それは無理。
本件はcgiの機能を本来想定されたとおり使用したに過ぎない。
バッファオーバランとは同列にしてはいけない。

435 :名無しさん@4周年:04/02/07 01:44 ID:PntqH25i
余罪でボロボロ行くからACCSの件自体はどうでも良くなる予感。
かなーり手広くやってたのは周知の事実なので。

436 :名無しさん@4周年:04/02/07 01:45 ID:x2oYGKDW
何気に773はチョトオモシロイ(´∀` )

437 :名無しさん@4周年:04/02/07 01:46 ID:vurMG0vJ
>>420
>「個人情報」を「非公開であると考えるのが妥当な情報」
>という言葉に置き換えろ!

それはちょっとどーかと思うぞー
ルートディレクトリのindex.htmlに個人情報データが載ってて見たらアウトという理論とそんなに変わらんもん

438 :名無しさん@4周年:04/02/07 01:46 ID:E/cpqR3K
>>433
惜しい。さっきその話は終った

439 :773:04/02/07 01:47 ID:A9QpxCqe
>>409
遅レスだけど、office氏の一連の行為は
不正アクセス禁止法より個人情報保護法違反の法が立証しやすかったような気がするなぁ。
こっちだと確実にアウトでしょ。どう考えても。

440 :名無しさん@4周年:04/02/07 01:47 ID:eRnUR6BV
営利団体として情報の管理が甘かったの事実なんだから、道義的な問題は別にして
社会的にACCSはもうダメポ団体だろ。HPをもつ資格がないね

441 :名無しさん@4周年:04/02/07 01:48 ID:PntqH25i
>>434
ちょっと待ってよ。
ここまでは「同じ結果」だよ。
セキュリティホール突いた人もオヒスも。

キミはセキュリティホール突いた人もオヒスもドアを通過しただけであり
違いはないって言ってるんだから「同じ結果」で問題ないじゃないかw

442 :名無しさん@4周年:04/02/07 01:48 ID:KNkw9Apg
うちのサーバでは、非公開ディレクトリの下に会員情報を置いていますが、
公開していないものであり、アクセスすれば不正アクセスとなります。

  http://test.server/secret/memberlist.dat

なんていう、アホなサイトがあっても、不正アクセスになるわけないよね。

ところが、今回のOffice→ACCSの場合も構図は全く一緒。

  http://accs.server/disp.cgi?secret/memberlist.dat

これは、もともと公開していないものであり、アクセスすれば不正アクセスとなります。だそうだ。
ACCSの主張が通れば、前者のアホな主張も通ってしまう。冤罪いぱーい。

443 :名無しさん@4周年:04/02/07 01:48 ID:vurMG0vJ
>>439
というか773か
個人情報保護法って個人情報を扱う事業者向けのもんだから関係ないっしょ

444 :名無しさん@4周年:04/02/07 01:48 ID:xAT+1lgi
>>434
>本件はcgiの機能を本来想定されたとおり使用したに過ぎない。
>バッファオーバランとは同列にしてはいけない。

どうして?
バッファオーバーランさせるには、入力されてくるデータの長さを
チェックしないでおけばいいわけだが、入力されてくるデータの
内容をチェックしてない今回の場合と全く同じなんですけど。
ひょっとしてバッファオーバランが何なのか知らずに書いてます?(ププッ

445 :名無しさん@4周年:04/02/07 01:49 ID:x2oYGKDW
>>439
あれ?個人情報保護法って事業者に対する保護義務じゃなかったっけ?
なので、どっちかっていうとオヒスがアウトっていうかACCSがアウトのような気が。

446 :名無しさん@4周年:04/02/07 01:49 ID:fzMUzYkY
>>438
あ、どこ?

447 :名無しさん@4周年:04/02/07 01:49 ID:AcZf9d0q
>434
何いってんの?
バッファオーバランはOSの本来想定された動作だろ?
CPUがメモリから命令を読んで、全部プログラムされたとおりに
動作しているにすぎない。
バッファオーバランはそれぞれのアプリケーションの仕様なのだから、
仕様通りに使っても違法にはならない。
ということはこの仕様を作ったディストリビューター、FSFなどは
全員逮捕しなければいけないな。

448 :名無しさん@4周年:04/02/07 01:50 ID:PntqH25i
>>437
だから個人情報という言葉は忘れて後者に置き換えるとしっくり来ると言っている。
>>440
ダウソ厨必死だな!(w

449 :名無しさん@4周年:04/02/07 01:51 ID:vurMG0vJ
>>440
>営利団体として

ACCSは公益法人だからなあ
HP持つ資格はどうかともかくとしてアホな管理会社やサーバーを選択してるので業務と切り離したほうがいいだろうね

無くてもいいけどさ(w

450 :名無しさん@4周年:04/02/07 01:51 ID:Jd/zXY4B
>>437
いやいや、言葉の意味は文章から読み取って判断しると言いたいんでしょう。
俺としては、「個人情報」という紛らわしい言葉をあえて使ってるので、
何か意図があるのかと思ってしまったのだけれど、そうではなかった模様でした。



451 :名無しさん@4周年:04/02/07 01:52 ID:Jd/zXY4B
>>448
あー説明スマヌ。

452 :名無しさん@4周年:04/02/07 01:52 ID:xAT+1lgi
773こと河合容疑者の味方ID:A9QpxCqeは墓穴掘りまくり。
一体何がしたいんだこの人?

453 :名無しさん@4周年:04/02/07 01:52 ID:x2oYGKDW
>>442
明らかに公開目的でなさそうなものが、明らかになんらかのミスで放置してあるんだけど、
通常そのミスは一般人は気付かないのに意図的にそのミスを突いて閲覧したらアウトだと思う。

454 :名無しさん@4周年:04/02/07 01:53 ID:vurMG0vJ
>>448
>だから個人情報という言葉は忘れて後者に置き換えるとしっくり来ると言っている。

いや〜、しっくりこないな〜(w
だって不正アクセスであればそこにあるデータがどんなクソデータでも不正アクセスだもん
ファイルの重要性は全然関係ないじゃん?

455 :名無しさん@4周年:04/02/07 01:53 ID:PntqH25i
だから個人情報保護法が施行されるんだろうが。
管理側に関しては改善される見込みがあるんだよ。

456 :名無しさん@4周年:04/02/07 01:53 ID:E/cpqR3K
>>446
今日の夕方からさっきくらいまでw

457 :773:04/02/07 01:54 ID:A9QpxCqe
>>441
とりあえず落ち着こうよ。
私はホールと呼ぶのが不適切だからドアだと言い換えたんだよ。
そしてホールは存在しない。ドアだけが存在するとも言った。
>>443
ああそうなんだ…。じゃ流出の責任はどうなるんかな?
>>444
件のcgiに与える適切な値はどんなものだと考えているのか?
それと不適切な値との違いは何だ?

458 :名無しさん@4周年:04/02/07 01:55 ID:fTup6VPD
待ってれば裁判所が答だしてくれる議論。

459 :名無しさん@4周年:04/02/07 01:55 ID:Jd/zXY4B
>>454
おそらくそこの部分の認識のズレが平行線の原因だと思われ。
どちらが法的に正しいのかは、俺には当然判断できんけど。

460 :名無しさん@4周年:04/02/07 01:55 ID:9WskgvAk
刑事事件の場合、行為だけじゃなく、何故、どういう経過でその行為をしよう
としたのかの動機も重要だよ。
じゃないと、正当防衛・正当行為・緊急避難・故意・過失や情状酌量の判断が
出来ないし。

461 :名無しさん@4周年:04/02/07 01:56 ID:vurMG0vJ
>>458

そうだね〜
裁判になればだけど(w
なったほうが面白いけどね(w

462 :名無しさん@4周年:04/02/07 01:56 ID:PntqH25i
>>452
議論の余地があることにしたいんだろ。
>>454
しっくりこないならこないでええんちゃう?
俺はそこに何の主張もないし。

463 :名無しさん@4周年:04/02/07 01:57 ID:ysgL3F3u
これってサーバー不正アクセスなの?
ただのPG欠陥じゃ・・・だってCGIがバグってたんでしょ?
もしかしてテキストボックスにSQL文打ち込んだら動いちゃうとかいうのかないよね・・・。
ま、どっちにしろ担当した会社はクソだな。


464 :名無しさん@4周年:04/02/07 01:57 ID:AcZf9d0q
773の最終学説

(1)CGIパラメーターをいじり秘匿されたファイル名を探って使う→仕様です→使っても合法
(2)バッファーオーバーラン→仕様です→使っても合法
(3)(1)が可能になるようにしたのは設置者・作成者でこいつらが有罪→ファースト・ヨセフ・ACCSがタイーホ
(4)(2)が可能になるようにしたのはOS・アプリケーションの設置者・作成者でこいつらが有罪→ディストリビューター・FSFがタイーホ



465 :名無しさん@4周年:04/02/07 01:57 ID:E/cpqR3K
流出した責任はACCS、被害者が告訴したら賠償されるだろう

466 :名無しさん@4周年:04/02/07 01:57 ID:Y83Z4PbF
共通の答えは、ACCSはアホ。
これは、ワレザーだろうが、純粋なソフト購入者でも共通意見。

467 :名無しさん@4周年:04/02/07 01:58 ID:xAT+1lgi
>>457

errorなんとかってファイル名でしょ?
もともとのファイルに記載されてる。
ちなみに、バッファオーバーフローの場合は、「これこれの長さのデータを
入れてね」なんて適切な値の表示はどこにも書いてないからね。

468 :名無しさん@4周年:04/02/07 01:59 ID:ztgeiZlp
>>460
犯罪の構成要件を満たしていなければ動機なんか関係ない。

469 :名無しさん@4周年:04/02/07 01:59 ID:PntqH25i
>>457
落ち着いてるよ。
それよりもキミは自分の言ったことを「思い出そうよ」。
セキュリティーホールのあるマシンの機能(キミによれば)を利用したという行為と
今回のCGIの機能(キミによれば)を利用した行為との違いはないって
キミが何回も言ってるじゃないか。

470 :773:04/02/07 01:59 ID:A9QpxCqe
>>464
その(2)とか(4)とかクソみたいな理論どっから出てきたのか…

471 :名無しさん@4周年:04/02/07 01:59 ID:fzMUzYkY
>>456
officeが制限されている特定利用をし得る状態にさせる行為をした事には
全然なってないよ。どういった理屈で?

472 :名無しさん@4周年:04/02/07 02:00 ID:xAT+1lgi
ってか河合容疑者より773で遊ぶ方が本スレの趣旨に成りつつある予感wwwww

473 :名無しさん@4周年:04/02/07 02:01 ID:QqVirXjO
例えば、
仮想Webサーバがとある領域をアクセス制限で公開していた
同じ領域をもうひとつの仮想サーバが無制限でアクセス許可していた

結果的にはその領域は公開領域です。

と思う今日この頃

474 :名無しさん@4周年:04/02/07 02:02 ID:vurMG0vJ
>>468

だね
不正アクセスって形式犯だし

475 :名無しさん@4周年:04/02/07 02:02 ID:PntqH25i
>>468
満たしてなければ良かったんだけどねえ。
意図なんか関係ないって言う主張はどうなった?

>>466
ダウソ厨必死だな!(w

476 :名無しさん@4周年:04/02/07 02:02 ID:E/cpqR3K
いやいや、利用厨も再登場の悪感

477 :名無しさん@4周年:04/02/07 02:02 ID:bZQ5NhBa
焦って削除しちゃった運営もアフォって事だよな

478 :773:04/02/07 02:03 ID:A9QpxCqe
>>467
csvmail.cgiに引数の値としてcsvmail.cgiという文字列を渡すことが不適切なのか?
その根拠は?
>>469
「何回も言った」のならポインタを。
>>472
ごめ。今もう眠いんでいつ落ちるか分からない状況。。orz

479 :名無しさん@4周年:04/02/07 02:04 ID:PntqH25i
>>473
もうひとつの仮想サーバが意図的に無制限でアクセス許可していたら
そりゃそうだろう。

まあ今回の河合一穂(40)の犯罪行為とは無関係だけどね

480 :名無しさん@4周年:04/02/07 02:05 ID:yKKI4U16
773氏の言い分はこうじゃないのか?

今回のCGIがperlスクリプトじゃなくてバイナリのプログラムだったとする
そのCGIがファイルを表示するという機能を実装していた
で、その実装方法がfopenやopenでファイルを開いて読み込んで表示するだったとする
しかもバッファオーバーランによりファイルを開いて読み込んで表示することが可能だった

今回officeがやったのは正しく実装された機能を使ってファイルを表示ので不正アクセスではないと
しかし、そのCGIのバッファオーバーランを使って表示させれば不正アクセスであると

481 :名無しさん@4周年:04/02/07 02:06 ID:vurMG0vJ
>>475
>ダウソ厨必死だな!(w

俺は割れもやらないしファイル交換P2Pも使ってないけどACCSはアホだと思うぞ〜
管理会社にあんなところを選んでるわけだもん(w

482 :773:04/02/07 02:06 ID:A9QpxCqe
>>479
管理者の意図は関係ないと言うに…。
例のcgiが実質的にサーバ機能を持っていたことに気付かないか

483 :名無しさん@4周年:04/02/07 02:08 ID:xAT+1lgi
>>470
(2)はあんたのクソみたいな発言>>434から必然的に導き出される結論。
>>478
制限されている特定利用をしうるようにさせてるじゃん。
バッファオーバーフローのある部分にcsvmail.cgiを自分のところメール
させるシェルコードをぶち込むのと何ら変わらん。

484 :名無しさん@4周年:04/02/07 02:09 ID:XFqglJPm
>>479
それは例えば「リンクを貼らなくても見られるという事を知らずに
=見せる事を意図せずに鯖にファイルを置いてたら見られちゃった」場合とどう違うん?

485 :名無しさん@4周年:04/02/07 02:09 ID:Jd/zXY4B
>>480
なんかわかりにくいっすよ〜

バッファオーバーランで表示する方法と、
その他の表示方法(こちらが正規の方法?)が存在するという例え?

486 :名無しさん@4周年:04/02/07 02:10 ID:SBy26TWD
★☆★裏2ちゃんねるへの入り方(説明をよく読んでから実行しましょう)★☆★
1.書き込みの名前の欄に http://fusianasan.2ch.net/ と入力します。
2.E-mail欄に、20歳以下なら low 21〜30歳は middle 31歳以上は hight と入力します。
 (年齢別調査らしいからご協力お願いします。)
3.本文にIDとパスワードの guest guest を入れて、書込みボタンを押します。
4.メッセージが「確認終了いたしました。ありがとうございます。」に変わればばOK
5.サーバーが重いと2chに戻ってくるけど、まあ30分以内であれば何回かやれば大丈夫。
6.家庭の電話回線よりも、企業や学校の専用回線からの方がサーバートラフィックの
  都合上つながる確立が高いです。
 (注意!)全て半角で入力してください!!
       http://fusianasan.2ch.net/←は、管理者専用の為「直リン」で飛んでも
       「サーバーが見つかりません」になります。入り口は「表2ch」のCGIだけです。
       つまり、この掲示板から上記の操作を実行してください。
7.裏2ちゃんねるの内容については違法性、反社会的な内容を多く含んでおりますので
  ご自身で確認してください。サイトの内容についての質問はご遠慮願います。

487 :名無しさん@4周年:04/02/07 02:10 ID:AcZf9d0q
773の最終学説

(1)CGIパラメーターをいじり秘匿されたファイル名を探って使う→仕様です→使っても合法
(2)バッファーオーバーラン→仕様です→使っても合法
(3)(1)が可能になるようにしたのは設置者・作成者でこいつらが有罪→ファースト・ヨセフ・ACCSがタイーホ
(4)(2)が可能になるようにしたのはOS・アプリケーションの設置者・作成者でこいつらが有罪→ディストリビューター・FSFがタイーホ

早く反論してみなってw

488 :名無しさん@4周年:04/02/07 02:11 ID:PntqH25i
>>478
健忘症で逃げるのかよ。
逃げ道用意しすぎなんだよねキミは。

>>480
実装という言葉に「意図」が反映されるとしたら
本件のCGIには任意のファイルを表示する実装はなかったと考えるね。
意図が反映されないならセキュリティーホールも実装になってしまうが
この違和感をどう考えるんだろう。

>>481
まともな管理会社など片手の指ほどもないのが現実。
もしかして一つも存在しないかも。
481氏はどこがいいと思う?

>>482
セキュリティホールのあるマシンも実質的にサーバ機能を持っているね。
利用していいの?

489 :773:04/02/07 02:12 ID:A9QpxCqe
>>480
私の言い分っていうか…前スレr5LDRHzzの受け売りなのね。
(しかも間違って継承している可能性は非常に大きいw)
>>483
まだ分からないのか!
特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
それはoffice氏がACCS鯖に来る以前からその状態なんだよ。

490 :484:04/02/07 02:13 ID:XFqglJPm
>>484の「それ」は「意図的せずにもうひとつの仮想サーバが
無制限でアクセス許可しているのを放置してしまっていた場合」

491 :名無しさん@4周年:04/02/07 02:14 ID:AcZf9d0q
>489
まだ分からないのか!
特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
それはディストリビューターがリリースした直後からその状態なんだよ!

492 :名無しさん@4周年:04/02/07 02:14 ID:7BARNuUd
反対派の意見の中には拡大解釈のトンデモ話がいくつかまじってるな。
まあ検察はそんな馬鹿じゃないからもうちょいまともな理由を考えるだろうが。
おひすのやらかしたモラトリアム無視も問題だし(法的にではなく)
不正アクセス禁止法が適用されるとしたらこれまでに無い解釈が入るのも確実。
法の運用・解釈両面で気になるな。

493 :名無しさん@4周年:04/02/07 02:14 ID:Jd/zXY4B
>>488
>本件のCGIには任意のファイルを表示する実装はなかったと考えるね。

これすごく大事なポイントだと思うんだけど、
今のところそれを肯定・否定するための材料が乏しいんじゃないかな。


494 :773:04/02/07 02:15 ID:A9QpxCqe
>>487
cgiに想定されうる引数を与えることと
バッファオーバランとは同列にしてはいけない。
何度言えば分かるのか…

>>488
いや、ほんと分かんない。

495 :名無しさん@4周年:04/02/07 02:15 ID:vurMG0vJ
>>488

呼び出された(w

>481氏はどこがいいと思う?

最低限神楽坂で派手に打ち上げをやってなくて恥ずかしいコラムをトップページに書いてない会社かなあ(w

まじめに回答すると会社組織になってるところは中に居る人間のレベルの差がありすぎて信用できません
個人のパワーユーザーに丸投げで他の仕事をさせないのがベストだろうな〜


496 :名無しさん@4周年:04/02/07 02:16 ID:PntqH25i
>>484
「意図せずに」「見られちゃった」と
「意図的に」「無制限に」「アクセス許可」が
どう違うのと聞かれても・・・

言いたいことがあるなら質問の仕方を変えてくれ。

497 :名無しさん@4周年:04/02/07 02:16 ID:AcZf9d0q
>493
「Linuxにはバッファーオーバーフローが仕様として組み込まれているので、
これを使ったものはアクセス制御機能が成立していません。」
と言い張る事のおかしさから自明。

498 :473:04/02/07 02:17 ID:QqVirXjO
>>482
同意

499 :名無しさん@4周年:04/02/07 02:18 ID:yKKI4U16
>>485
そんな感じ
わかりにくくてスマソ

>>488
プログラムに意図はないと思うのです
他人の書いたソースをいじってると、意図が読み取れず苦労することが多々あります

500 :名無しさん@4周年:04/02/07 02:18 ID:xAT+1lgi
>>489
>まだ分からないのか!
> 特定利用しうる状態というのは鯖上全ファイルにアクセスできる状態のこと。
> それはoffice氏がACCS鯖に来る以前からその状態なんだよ。

腹痛いっす(゚∀゚)アヒャ!!!!(゚∀゚)アヒャ!!!!!(゚∀゚)アヒャ!!!!!
まさかどんなバグもクラッカーがやってきて完全無欠のシステムにパカッ
と開けるもんだと思ってる奴がいるとわーーーー

501 :名無しさん@4周年:04/02/07 02:19 ID:AcZf9d0q
>494
>cgiに想定されうる引数を与えることと
>バッファオーバランとは同列にしてはいけない。
>何度言えば分かるのか…

同列だろ?
バッファオーバランはコーディングの時点で組み込まれたもので、
その仕様の通りにOSが動作しているだけだ。
なんか問題あるのか?

502 :名無しさん@4周年:04/02/07 02:19 ID:vurMG0vJ
説明に無理のある部分があるとしても俺もアクセス制御機能とは呼べないに一票だなあ
単なる機能でしょ(w

503 :名無しさん@4周年:04/02/07 02:19 ID:Jd/zXY4B
>>497
いや、だれもLinuxの話はしていないんだけど…773のことかな?
俺は両者のどちらの側にもまだついてない立場だけど、
例え不正アクセス禁止法に抵触するとしても、773の主張とはちと違うとは思う。
もちろん君の展開する773の主張もちとおかしいと思うが。


504 :473:04/02/07 02:19 ID:QqVirXjO
>>479
>>482

CGIが公開機能を持っていたため、
Document RootがRootになったと見るのが妥当でしょう

505 :名無しさん@4周年:04/02/07 02:20 ID:Jd/zXY4B
>503
訂正
「不正アクセス禁止法に抵触する」→「しない」

506 :名無しさん@4周年:04/02/07 02:22 ID:PntqH25i
>>493
俺の知る限り、公開サーバでHDD内の任意のファイルを表示する実装は見たことないが、
常識ではなかったのか。。
>>495
はっきり言って個人にそんなことまかせる会社の方がものすごくヤバイです。
そんな体勢で問題起きたらえらいことになってます。
あんた相当シロートですね。

507 :773:04/02/07 02:22 ID:A9QpxCqe
>>482
そのサーバ機能は利用していいよ。穴掘らなければ。
>>500
意味不明。ドアを開けたのはヨゼフ。
>>501
いあ、バッファオーバランそのものじゃなくって、
それを利用した穴掘りがダメなのね。
そっち関連の用語の無知は許してちょんまげ。

508 :名無しさん@4周年:04/02/07 02:24 ID:vurMG0vJ
>>506
>あんた相当シロートですね。

書き方が悪かったかな〜
要はそのためのパワーユーザーを一人雇うってことですよ

509 :名無しさん@4周年:04/02/07 02:25 ID:xAT+1lgi
>>487
>cgiに想定されうる引数を与えることと
>バッファオーバランとは同列にしてはいけない。
>何度言えば分かるのか…

おいおい>>483でせっかく答えてやったのに無視か?
バッファオーバーフローの原理を理解できない773さんよ。
しかも、今回の場合は適切な文字列が明示的に与えられているので
何が不適切かは明確だ。
「何度言えば分かるのか」とか自分がさも優勢なような言い方してっ
とマジキティっぽく見えっぞw

>>570
無知も何も、これだけ説明して「ボクちゃん無知」を繰り返してまだ
わかんないなら、クソして寝ればぁ?

510 :名無しさん@4周年:04/02/07 02:26 ID:PntqH25i
>>499
どうでもいいが「意図がない」と「意図が読み取れない」というのは違うと思います。

-----------
773はセキュリティーホールもCGIも管理者の意図なんか介在せず
単なる機能としてしか見てない、すなわち違いを明確に説明できていないのだが
のらりくらりと逃げ回っているなw

511 :名無しさん@4周年:04/02/07 02:27 ID:+aFWfuIH
>>496
おまいもしつこいねw

プログラマが仕様設計する際にそのプログラムの引数を定義する
例えばこの引数は8バイトの数字が入るとかね
これが「仕様」
で、本来それ以外の値が入力された場合の境界処理をする
ところが境界処理が抜けていて、その引数に20バイトの数字を
入れるとバッファオーバーフローをおこして任意のファイルに
アクセスできる等の誤動作をする
これがバッファオーバーフローといわれる「脆弱性」

今回のスクリプトの場合も
プログラマは仕様設計する際にその引数を定義したはず
今回は「入力フォームの中でその投入者が登録した内容が格納されて
いるファイル」これが「仕様」
で本来はそれ以外の引数が入力された場合のエラー処理、いわゆる
サニタリングをする必要がある
しかしサニタリングが抜けていたため任意のファイルを表示できた
これが「脆弱性」

512 :名無しさん@4周年:04/02/07 02:27 ID:Jd/zXY4B
>>506
いやいや、もちろん俺もそのとおりで見たことはないし、
可能性としてはかなりの高確率だとは思うんですが、
あくまで法的にどのように解釈されるのが妥当なのか、っていう点で
イマイチ材料に乏しいと思ったのです。

513 :773:04/02/07 02:28 ID:A9QpxCqe
>>509
ん?>>489じゃご不満?

514 :名無しさん@4周年:04/02/07 02:28 ID:AcZf9d0q
511であがりかなw

かなり良い線行っているね。

515 :名無しさん@4周年:04/02/07 02:29 ID:ztgeiZlp
>>510
プログラムに意図があっても、不正アクセスになるかどうかとは関係ないということだろう。

516 :名無しさん@4周年:04/02/07 02:29 ID:+aFWfuIH
>>511のアンカー間違えた
スマソ

517 :名無しさん@4周年:04/02/07 02:30 ID:PntqH25i
>>508
パワーユーザー、思った以上にいません。
あなたや私やここの人たちにケチ付けられないレベルとなると
年俸2000万ってとこですね。
個人の場合、あんまり安いとそれだけでヤバイって事も分かりますよね?
結局リスク的に割に合わないんですよ。

518 :名無しさん@4周年:04/02/07 02:30 ID:AcZf9d0q
じゃあれだ、ファーストの森川が仕様書作ってるだろうから、
それを証拠として出せば仕様であるアクセス制御を回避したOffice
ってのが明確になるな。
「このCGIは任意ファイルを読み出す機能を実装している」って仕様書に書いてない限り
大丈夫だ。


519 :773:04/02/07 02:31 ID:A9QpxCqe
>>518
不可。作成者の意図は無関係。

520 :名無しさん@4周年:04/02/07 02:34 ID:+aFWfuIH
>>511は733君に対してのレスね

521 :名無しさん@4周年:04/02/07 02:35 ID:ysgL3F3u
>>511
素晴らしい説明!
「サルでもわかるバッファオーバーフロー」って感じ(^^)

522 :名無しさん@4周年:04/02/07 02:35 ID:PntqH25i
>>515
773の中ではセキュリティーホールなんて概念自体ないのかもね。
意図がないんだから正当な利用法なんてない、すなわち穴なんてない。
だから使える機能はどんな使い方してもお構いなし。
こんな感じですか?>773氏

523 :名無しさん@4周年:04/02/07 02:35 ID:vurMG0vJ
>>517

そ、いないのよね
だから結局自分でやってる(w
なので最初から個人情報をサーバ上に置いておかなきゃいけないようなCGIは作らないことにしてる
実はファーストサーバの例のCGIのソース見たことがあるんだけど絶句したよ(w
その上であれはアクセス制御と呼べるものでは無かったと思ってる

続きは寝て起きて気が向いたらということでおやすみなさい

524 :773:04/02/07 02:36 ID:A9QpxCqe
>>520
うい、了解。
httpサーバ上にあるcgiにどんな引数を渡そうとoffice氏の自由。
googleに渡すキーワードはgoogleのhtmlソースに書いてあるわけではない。

525 :名無しさん@4周年:04/02/07 02:37 ID:XFqglJPm
>>496
ちゃんと読んで。
普通にサーバに置いた場合と、仮想サーバのようなものにそこが丸見え
なのを知らずに置いた場合がどう違うのか説明できる?と聞いてる。

526 :名無しさん@4周年:04/02/07 02:38 ID:yAlxNbQ7
あ、黙秘しちゃってるから起訴はされるんだろうな。そういえば。

527 :名無しさん@4周年:04/02/07 02:39 ID:Jd/zXY4B
>>511
わかりやすい例えだと思うんだけど、
問題が微妙なだけに根拠が無いから丸呑みするわけにもいかないのが非常に残念。


528 :名無しさん@4周年:04/02/07 02:41 ID:+aFWfuIH
>>524
>>511に対する反論になってないと思われ

529 :名無しさん@4周年:04/02/07 02:41 ID:AcZf9d0q
>519

いま773が良い事言った!
つまり任意のLinuxディストリビューションにはコーディングの意図にかかわらず
バッファーオーバーフローが実装されているのだから、これを利用して何をやっても
仕様通りで無罪ってことだな!!

530 :773:04/02/07 02:41 ID:A9QpxCqe
>>522
穴とドアは違うと言うに…。
ftpではパスワードで保護されてもhttpサーバがhtml吐き出すでしょ。
それがドア。
>>511>>520 追加〜
「本来」なんてのはoffice氏の認知しようのないことなのね。公知性がない。

531 :773:04/02/07 02:44 ID:A9QpxCqe
>>529
無理。バッファオーバランを利用する穴掘りは
そのソフトが提供する機能を用いたものではない。

532 :名無しさん@4周年:04/02/07 02:45 ID:PntqH25i
>>523
信用できる管理会社はないし凄腕の個人もいないとわかってるなら
現状のどうしようのなさも分かってると思うんだなー。
おやすみ。

>>524
officeが不正アクセスにならないなら
今まで逮捕されてきた人も不正アクセスにならないから
論点を変えろと言っているのだ。わかったかな?

>>525
「知らずに」「置いた」っつうのがよくわからんが。
何のために置いたんだ?
そもそも>>473の仮想webサーバとはなぜ仮想なのか。
何を聞きたいのかわからんです。

533 :名無しさん@4周年:04/02/07 02:46 ID:+aFWfuIH
>>530
んじゃつまりバッファーオーバーフローを利用した不正アクセスも
サーバー上にあるプログラムにどんな引数を与えようともハッカーの自由
それによってバッファオーバーフローが発生したとして、
「本来」あるべき境界処理がないなんてことハッカーは認知しようがないから
オッケーってことでFA?

534 :名無しさん@4周年:04/02/07 02:46 ID:Jd/zXY4B
>>531
その「機能」が一体ドコまでを指すのかで判断がわかれるような気もするけど…

535 :名無しさん@4周年:04/02/07 02:47 ID:AcZf9d0q
>531
ハァ???
意図は関係ないって自分で言ってるじゃん。
可能な事はすべて仕様なんだろ?
可能な事はすべて最初から出来る事なんだろ?

536 :773:04/02/07 02:48 ID:A9QpxCqe
>>524
いや、今まで逮捕された人ってのが何したのか知らないんで答えようがないんだわさ。
セキュリティホール突いたことを指しているんだったら不可。
office氏の件とは別問題。

537 :名無しさん@4周年:04/02/07 02:48 ID:PntqH25i
>>530
あんたはもう「穴」とか「ドア」とかの意味が
自分でも分からなくなってると思うから
>使える機能はどんな使い方してもお構いなし
と思うか否かだけ答えて。


538 :名無しさん@4周年:04/02/07 02:48 ID:yKKI4U16
>>529
何をやってもじゃないとおもう

773氏もofficeがアクセスした個人情報を公開したことについてはやばいと言ってると思うが
アクセスすること自体は問題ないんじゃないかと言ってるだけで

539 :名無しさん@4周年:04/02/07 02:50 ID:be3AnYbo
2ちょんねるって悪いインターネットなんですね。

540 :名無しさん@4周年:04/02/07 02:51 ID:+aFWfuIH
>>536
知らないのになぜ別問題と断言できるのかと小一時間(ry

541 :名無しさん@4周年:04/02/07 02:51 ID:PntqH25i
>>531
説 得 力 皆 無

こんな返しで十分

>>536
また無知という逃げですか?
なぜ別問題?
ここを明確にすればキミの勝ちさ(w


542 :名無しさん@4周年:04/02/07 02:52 ID:ysgL3F3u
ACCSのHPの今回の件の見解みたいなページ(http://www.askaccs.ne.jp/)みたらなんか腹が立った・・・。
さも自分は悪くないぞみたいな言い方。著作権・プライバシー問題の前に自分のサイトのプライバシー守れや!

今思ったけどこのACCSのサイトを作ったプログラマーのほかのサイトも同じ方法でハック可能・・・?
そう考えると恐ろしい・・・。



543 :773:04/02/07 02:53 ID:A9QpxCqe
>>536って>>532へのレスじゃん・・orz

>>533
不可。特定利用が可能な状態にしたのはoffice氏ではないと言っている。
最初から可能な状態だったんだよ。

>>534
少なくともバッファオーバランで任意のコードを実行することではないわなー。
ってほんとか?よくわかんないでつ。

>>535
意図は関係なし。実態があって公開されていることをしてはならないとは言えない。

544 :名無しさん@4周年:04/02/07 02:54 ID:ztgeiZlp
バッファオーバーフローは電子計算機損壊等業務妨害罪を問われるかもしれないけどね。

545 :名無しさん@4周年:04/02/07 02:56 ID:xAT+1lgi
>>531 :773
> 無理。バッファオーバランを利用する穴掘りは
> そのソフトが提供する機能を用いたものではない。

で、どこまでが「機能」でどこまでがそうじゃないか、キミは
どうやって決めてるのかな〜?

546 :名無しさん@4周年:04/02/07 02:56 ID:PntqH25i
わかんないことだらけですね773は。
語尾に全部「〜だと思いますけど無知でわかりません」ってつけるといいよ。

547 :名無しさん@4周年:04/02/07 02:57 ID:dM9nUPyk
ニュース見て思ったよ。
随分と酷いホームページだな、その2ちゃんねるというのは。
一体どんな掲示板なんだ?

548 :名無しさん@4周年:04/02/07 02:58 ID:AcZf9d0q
>544
権限奪取の結果何も書き換えずクラッシュもしなければ
電子計算機損壊等業務妨害には該当しないぞ。

549 :名無しさん@4周年:04/02/07 02:58 ID:XFqglJPm
>>532
「そこが丸見えなのを知らずに、置いた」だ。
普通の日本語で書いてあるんだからわざわざ変な読み方するなよ。。
何のためにって言われても、現実問題他人に見せるのが目的じゃなく
鯖にファイルを置く人はいくらでもいるわけで、目的は関係ないだろ。
>そもそも>>473の仮想webサーバとはなぜ仮想なのか。
全く意味不明だ。>>473>>479のように答えてるからレスしたのに…
>>479はどういうつもりで答えたんだよ?

550 :773:04/02/07 02:59 ID:A9QpxCqe
>>541
office氏が穴を掘ったわけじゃないからね。

551 :名無しさん@4周年:04/02/07 02:59 ID:+aFWfuIH
明確な反論もなくもうグダグダだな
もうだめぽ

552 :名無しさん@4周年:04/02/07 03:00 ID:Jd/zXY4B
>>543
まぁバッファオーバーランの話は少し置いといてw
今回の件はCGIに実装されたファイル表示機能が問題なわけだが、
一つの「機能」が使い方によって黒か白か分かれてしまう可能性があるか?ってことだよね。
個人的には裁判官はおそらくそこらへんには興味ないような気もするが…まぁそれは俺にはわからん。


553 :773:04/02/07 03:02 ID:A9QpxCqe
>>545
バッファオーバフロウを利用する穴掘りは、
「不正利用を可能にするもの」だよ。
cgiにどんな値を渡そうが「不正利用を可能にするもの」ではない。

554 :名無しさん@4周年:04/02/07 03:02 ID:xAT+1lgi
>>550
>office氏が穴を掘ったわけじゃないからね。

この世に存在するどんなバグもクラッカーが創造したものじゃないんですけど?

555 :名無しさん@4周年:04/02/07 03:04 ID:PntqH25i
>>549
目的はないがたまたまそこにファイルを置いて丸見えになった場合と
普通にサーバに置いた場合の違いって事か?

見せるつもりがなかったって事じゃないのか。

>>479はどういうつもりで答えたんだよ?
二つ目の仮想サーバというのが仮想ドメインかなんかだと思った。
で、よく見たら一つ目のwebサーバという単語にも「仮想」が付いていたので
アレ?と思った。


>>543
CGIの機能も少なくともHDD上の任意のファイルを表示することではないわなー。
って当たり前だな。

556 :名無しさん@4周年:04/02/07 03:04 ID:xAT+1lgi
>>553
どして? ねえ、何の理由もなしにそこまで自信たっぷりに断言してるのは
どして?wwwwwww
あれほど原理が一緒だと解説されているのに違うと主張できる面の皮は
なんでそんなに厚いの?wwwwwwwwww

557 :773:04/02/07 03:05 ID:A9QpxCqe
>>554
バグそのものはクラッカーの責任じゃないよ。
それを利用して「不正利用を可能な状態」にするのが違法なのね。

558 :773:04/02/07 03:07 ID:A9QpxCqe
>>555
任意のファイルを表示するのが例のcgiの機能なんですが。
>>556
office氏がcgiに引数を渡す以前から、
すでに「不正利用を可能にする」状態になってたんですよ。

559 :名無しさん@4周年:04/02/07 03:08 ID:PntqH25i
>>550
 説 得 力 皆 無
「穴を掘る」の定義もわからんので今後使用禁止。
それに君の思う「穴を掘る」以外の方法でも不正アクセスに該当すると思うヨ



560 :773:04/02/07 03:11 ID:A9QpxCqe
やっぱり暴走しすぎたかも知れん。
バッファオーバランからは手を引いた方が吉だな。。
というわけで全面撤回!!!

office氏とcsvmail.cgiとの関係にのみ注目すべきだにゃ

561 :名無しさん@4周年:04/02/07 03:12 ID:PntqH25i
>>552
さんざん意図は関係ないと言われているが
裁判官は常識的な使われ方および管理者の意図を大いに考慮すると思うがどうよ。

>>558
>任意のファイルを表示するのが例のcgiの機能なんですが
違います。誰も説得できていません。
こんな返しになっちゃうな、もう。

>すでに「不正利用を可能にする」状態になってたんですよ
Linuxインストール直後からそんな状態ですが、
それでも今回みたいなことすると悪さするしたことになっちゃうんだよね

562 :名無しさん@4周年:04/02/07 03:12 ID:XFqglJPm
>>555
「見せるのが目的じゃなく」は「目的はない」と読めるか?
他人のレス全部歪めて読んでるだろ…

563 :名無しさん@4周年:04/02/07 03:12 ID:xAT+1lgi
>>558
>office氏がcgiに引数を渡す以前から、
>すでに「不正利用を可能にする」状態になってたんですよ。

えーっと。ついに罠にはまったというか。
「不正利用を可能にする」状態になっていたCGIを、不正利用したのが
河合一穂なんだね。納得納得(藁

564 :773:04/02/07 03:13 ID:A9QpxCqe
>>563
そそ。

565 :名無しさん@4周年:04/02/07 03:15 ID:PntqH25i
>>562
>他人のレス全部歪めて読んでるだろ…
そんなことはない。
違いは何だとか聞くのではなくストレートな質問に変えるのがよい。

見せるのが目的ではないがその目的は問わないって事か?


566 :名無しさん@4周年:04/02/07 03:15 ID:xAT+1lgi
>>564
で、不正にアクセスした河合一穂には、どんな罰が適当ですかね?(藁

567 :773:04/02/07 03:16 ID:A9QpxCqe
>>566
ここで不正というのは管理者が意図しないという意味でしかなく、
違法じゃないんですよ。
もし法律に触れるというなら、その条文を提示してみてね。

568 :名無しさん@4周年:04/02/07 03:18 ID:PntqH25i
773さんよ、意地の張り合いっつうかゲームとして見ても
かなり見苦しかったんだが。
「全面撤回!!!」じゃお互いカタルシスがないではないか。


569 :名無しさん@4周年:04/02/07 03:18 ID:xAT+1lgi
>>567

自分が書いたことくらい覚えていようよ(藁

>553 :773 :04/02/07 03:02 ID:A9QpxCqe
> >>545
> バッファオーバフロウを利用する穴掘りは、
> 「不正利用を可能にするもの」だよ。

570 :名無しさん@4周年:04/02/07 03:18 ID:Jd/zXY4B
>>561
いやぁ俺は裁判を受けたことも無いし傍聴したこともないんで、
一般的な裁判官の考えることはわからんけど、一市民としてはそう思いたいところですよ。
だた、法解釈とのバランスをどう考えるかって感じだと思う。
常識なぞ無関係、個人的な法解釈と過去判例のみから判決…って話なら、
773の考えと裁判官の個人的見解が一致した場合のみ、その可能性もあるけど、
それは非現実的だと思う。ましてや刑事裁判だし。

ただ、これが通ってしまうと、警察が法律を拡大解釈する口実を与えてしまうなぁ。



571 :773:04/02/07 03:18 ID:A9QpxCqe
>>563
あー、一応つっこみ入れとくと、
「ついに」じゃなくって、最初からそう言ってます。

572 :名無しさん@4周年:04/02/07 03:18 ID:yKKI4U16
>>561
> >すでに「不正利用を可能にする」状態になってたんですよ
> Linuxインストール直後からそんな状態ですが、
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/859
によると違うみたいよ

773氏はこの件からは撤退したみたいだがw

573 :名無しさん@4周年:04/02/07 03:20 ID:+aFWfuIH
あんだけ対比させて分かりやすく説明してあげたのに...
もうだめぽ

574 :773:04/02/07 03:21 ID:A9QpxCqe
>>568
いや実際pc知識ないから無理すよ。自分の方が間違ってるわぽ。
それにスレ違いだし。

>>569
覚えてるよ。で、その引用には問題ないと思うよ。
可能なときに利用するのは合法。
不可能を可能にするのが違法。

575 :名無しさん@4周年:04/02/07 03:21 ID:PntqH25i
>>571
今度から「チキン野郎」というコテハンで来ること。
じゃないと相手しない。

576 :名無しさん@4周年:04/02/07 03:23 ID:xAT+1lgi
>>574
>可能なときに利用するのは合法。
>不可能を可能にするのが違法。

言い切ってるよこの人は・・・なんか笑いを通り越して怖くなってきたよ、
こういう人が身近にいなくてよかったw

577 :773:04/02/07 03:23 ID:A9QpxCqe
>>572
彼の発言を代弁しただけなのね、私は。
でも理論的根拠がさっばり分からずじまいだから撤退せざるを得ないよ…。

578 :773:04/02/07 03:25 ID:A9QpxCqe
>>576
いや、現行法ではそうなってるのよ。
もちろんそんなのザル法だから改正すべしと主張するのはあなたの自由。
ちゃんと不正アクセス禁止法を参照してね。
http://www.ipa.go.jp/security/ciadr/law199908.html

579 :名無しさん@4周年:04/02/07 03:26 ID:vH7CzGK9
威力業務妨害で送検、不正アクセスは追起訴レベルになるようです

580 :名無しさん@4周年:04/02/07 03:27 ID:xAT+1lgi
>>578 不可能なんてどこにも書いてありませんが何か?wwwwwww

581 :名無しさん@4周年:04/02/07 03:27 ID:PntqH25i
今回の件に限って言えばどのような結果になったとしても
一つの重要な基準になると思うので要注目ですな。

XFqglJPmタンはもう寝たかな。

582 :名無しさん@4周年:04/02/07 03:27 ID:5K/iY4uB
問1.バグは仕様ですか (選択です)
a. 仕様ではない。
b. バグも含めて仕様です。
c. 意図したものではありません。使用しないでください。

583 :773:04/02/07 03:30 ID:A9QpxCqe
>>580
第三条第二項だよ。

584 :名無しさん@4周年:04/02/07 03:30 ID:XFqglJPm
>>581
おまいさんみたいに脳内結論を人に押し付けたい訳じゃないから、
もういいんだよ。日本語通じないみたいだし。

>見せるのが目的ではないがその目的は問わないって事か?
……

585 :名無しさん@4周年:04/02/07 03:31 ID:yKKI4U16
>>582
a. 仕様ではない。

586 :名無しさん@4周年:04/02/07 03:33 ID:Qkta6Rq1
これは会社の機密だから観たら企業スパイとして告訴するぞといって,
その書類を入れた封筒を喫茶店の机の上に放置して1週間後に取りに来て,
誰も観なかっただろうな,と喫茶店のマスタ-にあたりチラシて,
しばらくするとその書類がマスコミにリ-クされていたとしたら,
その書類をメモッた何者かが悪いとは,常識的には言わないネ.
重要なデ-タ-で第三者がみたらまずいものは,自分の努力と技術で
漏洩を防ぐ義務があるんだよ.最低限出入りを制限した部屋の
中から外に持ち出さないように,不在の時はカギをかけて置くこと.
いわゆるトレ-ドシ-クレットでも,管理が杜撰で見学者や
社内に用がある人が立ち入って見聞きできる状態で管理されていた
(むしろいなかったというべきかな)場合は,それはトレ-ドシ-クレット
と主張しても却下されるのが裁判の慣例.
ダメな動作をするソフトやサ-バ-を運用し続けること自体が,
社会悪の根源なの. 本来技術で対処するべきものなの.電子通信に置いては
人間は回線を流れるデ-タ-を直接感じることは出来ないし,人間が認知する
よりもうんと早く電子装置は動作するから(毎秒数百トランズアクションとか)
遂一の人間の関与は不可能で,正しい論理と設計で正しいプログラムとシステム
を常に維持管理しないのであれば,そもそも盗まれて困るデ-タ-などを
サ-ビス提供するサ-バ-内にいれていちゃダメだね.

587 :チキン野郎:04/02/07 03:33 ID:A9QpxCqe
あー、HN変えるの忘れてた。。。orz

588 :名無しさん@4周年:04/02/07 03:33 ID:PntqH25i
>>582
三段論法の仕込み段階の予感w
>>584
導きたい答えに到達できなかったからって
そんなにくやしがらなくてもいいのにw
じゃ寝るね。

589 :名無しさん@4周年:04/02/07 03:35 ID:xAT+1lgi
>>583
それはあんたがいう合法であるところの「可能なときに利用する」行為と
どう違うんでしょうね〜?

590 :名無しさん@4周年:04/02/07 03:36 ID:+aFWfuIH
1.CGIが任意のファイルを表示するのはそのCGIの機能だよ
   ↓
2.仕様書で定義してなくても機能か?
   ↓
3.仕様書なんか関係ないよ
  実際に実行可能であればそれは機能だよ
   ↓
4.んじゃすべてのバグは実行可能だから機能ってか?
  セキュリティホールも実行可能だから機能ってか?
   ↓
5.セキュリティホールは良くわかんない
  俺ど素人だから
  でもCGIが任意のファイルを表示するのはそのCGIの機能だよ

1に戻って以下無限ループ

591 :チキン野郎:04/02/07 03:38 ID:A9QpxCqe
>>589
どう違うって見たまんまですがな。。。
> その制限されている(←不可能)特定利用をし得る(←可能)状態にさせる行為
これが不可能を可能にする行為ね。バッファオーバラン悪用も多分こっち。

可能なときに利用する行為は、禁止する法律がない。

592 :名無しさん@4周年:04/02/07 03:39 ID:oBfCw5/c
>>579
まぁ妥当なところか。
しかしバカを擁護する香具師がこれほど多いとは。

593 :名無しさん@4周年:04/02/07 03:42 ID:+aFWfuIH
>>592
つかofficeを知らない奴から見ればACCSにハメられた
かわいそうな奴に見えるんじゃないの?
ACCSが巨悪だってのは2ちゃんの共通認識だしw

漏れは結構前からネット上で知ってるから
その厨っぷりとかも分かるけど

594 :名無しさん@4周年:04/02/07 03:43 ID:yKKI4U16
ん?誰か擁護してた?

595 :名無しさん@4周年:04/02/07 03:45 ID:xAT+1lgi
>>583

いいですか〜 世間では〜 「その制限されている(←不可能)特定利用をし
得る(←可能)状態にさせる行為」が可能になってるサーバとそうでない
サーバがあって〜ID:A9QpxCqeによると〜 可能になってるサーバで何を
しても合法だそうですよ〜

596 :チキン野郎:04/02/07 03:46 ID:A9QpxCqe
>>590
バッファオーバランとcgiへの引数の違いに関わったのは間違いだったね。
全然知識なかったもん。すまそすまそー。
違いは「不可能状態を可能状態に変えたのか」「可能状態を利用したのか」
っつーことでした。今にして思えば。

597 :名無しさん@4周年:04/02/07 03:46 ID:UNEfDC6r
何かバッファオーバフローは神レベルのスパーハカーしかできないので不可能
CGIに与えるパラメータはオヒスでもできるから機能
と言ってるようにしか見えんな

ちょいと知識のある者にとってはオーバーフローもCGIの書き換えも差して変わらん
逆に全く知識の無い、ブラウザでクリックする事しかできない程度の者にとっては
CGIのパラメータ替える事すらもスーパーハカーの仕業と映るだろう

要するに773はオヒス並って事で

598 :名無しさん@4周年:04/02/07 03:48 ID:xAT+1lgi
>>593

と、いうか、今回officeこと河合を非難することは、実はACCS非難でもある
んだけどな。officeが主催者に名を連ねていたグループAD200XのACCSとの
太いパイプは広く知られている。

599 :チキン野郎:04/02/07 03:49 ID:A9QpxCqe
>>595
「何をしても」ってのを「アクセスしても」に変えるとベター。

600 :名無しさん@4周年:04/02/07 03:50 ID:yKKI4U16
>>595
だから何をしてもじゃないっての
今問題になってるのは不正アクセスか否か

601 :チキン野郎:04/02/07 03:52 ID:A9QpxCqe
>>598
改名しまつたw
でももう来ないと思うけどね。

602 :名無しさん@4周年:04/02/07 03:52 ID:oBfCw5/c
この数ヵ月はびくびくしながら生活してたんだろうな。
俺は犯罪は犯していないよな、そうだよな…
と毎日自分に言い聞かせつつ…
その一方で所有のパソコンに収集したエロ画像はきれいに処分し、
クラックしたやばいデータも消去したりしてたんだろうな。


603 :名無しさん@4周年:04/02/07 03:55 ID:AcZf9d0q
exploit突くコードなんて今や配ってる時代だからね。
Linuxにはバッファーオーバーフローが機能として実装されているとしか
言いようがないわけだ。
つまりLinux入れてる鯖に対してバッファーオーバーフロー攻撃を行うexploit突くコード
を使用するのは、仕様通りの通常動作でしかないわけだから完全合法なわけだ。773によれば。
で、それを可能にしているのはディストリビューターやFSFなんだから、そいつらが
有罪になるわけだ。

604 :名無しさん@4周年:04/02/07 03:58 ID:FlGyEBmd
バッファオーバーフローの脆弱性があるプログラムは、
誰でも自由に使える「リモートシェル機能」が実装されたプログラム

605 :チキン野郎:04/02/07 03:59 ID:A9QpxCqe
>>603 しつこいね。
私が半端な知識で語ったバッファオーバランについては全面撤回したっしょ。

しかしバッファオーバランを悪用するのは「不可能を可能にする行為」、
今回のは「最初から可能なのを利用」しただけっしょ。

この結論は前スレのr5LDRHzzがすでに出していたのだった…。
http://news5.2ch.net/test/read.cgi/newsplus/1076000765/802

606 :名無しさん@4周年:04/02/07 04:00 ID:+aFWfuIH
>>596
なるほど

あるプログラムにそのプログラムの仕様で定義していない
引数を入力することは
「不可能状態を可能状態に変えた」ることで

あるCGIスクリプトでにそのCGIスクリプトの仕様で定義していない
引数を入力することは
「可能状態を利用する」ってことか

そろそろ自分の矛盾に気付いたら?

607 :名無しさん@4周年:04/02/07 04:04 ID:GMHvH8ev
>>597
バッファオーフローは、引き起こすだけなら簡単な事かもしれんが
何かに利用しようとするには、外部から本来のプログラムの動作を
横取りして目的を達成する為のコードの注入が必要だろ?、
んで、このコードによって本来は不可能な筈な動きを引き起こして
目的を達成する訳だ、一方アホなCGIの場合はプログラムは与えら
れた引数を本来の機能に従い正常に処理した結果に過ぎない。
と言う事ではないのかな?


608 :名無しさん@4周年:04/02/07 04:05 ID:xAT+1lgi
>>607
>>597

609 :チキン野郎:04/02/07 04:06 ID:A9QpxCqe
>>606
最初から利用可能状態だったから変えることは不可能よん。
引数渡す前から利用可能状態だったのよ。
現にcgiスクリプトも閲覧できたでしょ。

610 :名無しさん@4周年:04/02/07 04:06 ID:AcZf9d0q
>605
いーや、アンタの説に従えばディストリビューターやFSFがバッファーオーバーフローを
可能にしているんだから、どんなパケットを送ってシェルコード送っても、
送る前から利用可能になっているわけだ。
だから送った奴は無罪だよな?

いやいやバッファーオーバーフローを可能にした最初の人間って誰だろうな?
カーニハン&リッチーまでさかのぼるかもなw

611 :名無しさん@4周年:04/02/07 04:07 ID:+aFWfuIH
>>607
チキン君式にw

>本来は不可能な筈な動き
>本来の機能に従い

「本来」とは仕様書での定義のことですか?

612 :チキン野郎:04/02/07 04:09 ID:A9QpxCqe
>>610
「限されている特定利用をし得る状態にさせる行為」と、
その状態を利用することを混同してないかい?
バッファオーバフロウを使うこと自体は問題ないけど(合法)、
それによって「限されている特定利用をし得る状態に」変えたら違法だよ。

613 :名無しさん@4周年:04/02/07 04:11 ID:xAT+1lgi
>>612 で「バッファオーバフロウを使うこと」って具体的に何よ?

614 :名無しさん@4周年:04/02/07 04:12 ID:+aFWfuIH
>>609
CGIスクリプトのファイル名という
引数渡さなきゃCGIスクリプトは閲覧できないよ

615 :名無しさん@4周年:04/02/07 04:12 ID:UNEfDC6r
オヒス問題のくだらない喩え

普通の通行人からは見えない所に扉があって「女性専用」と書かれていた。
構わず開けたら地図があり、その地図の場所へ行く「女湯」と書かれた扉があった。
覗き趣味のO氏はカメラを抱えて扉を開け激写。
その後覗き趣味者の集まる集会で「簡単に覗ける女湯があるぞ〜」と言って
写真をばら撒いて逮捕された。

ID:A9QpxCqe的解釈
扉は男でも女でも通過できるのだから、いくら「女性専用」とか「女湯」と
書かれていても、通っても構わない。

616 :名無しさん@4周年:04/02/07 04:12 ID:AcZf9d0q
>612
はいダウト〜〜〜!
おまえの定義による「ファイルアクセス機能を実装したCGI」
の引数に、ファイル名を与える事自体は問題なくて、
限定されている特定利用をしうる引数を与えたら違法って事だな。

ご苦労さんwww

617 :チキン野郎:04/02/07 04:13 ID:A9QpxCqe
あー、やっとr5LDRHzzの言いたいことが分かってきた〜。
満足満足。

618 :名無しさん@4周年:04/02/07 04:15 ID:5K/iY4uB
問2. バグを修復せずに放置しました。バグは仕様ですか (選択です)
a.仕様ではありません。
b. バグを含めて仕様です。
c. 好きにしてくれ。

619 :名無しさん@4周年:04/02/07 04:16 ID:w2MGBvEN
問2. >>618を放置しました。>>618は仕様ですか (選択です)
a.仕様ではありません。
b. >>618を含めて仕様です。
c. 好きにしてくれ。

620 :チキン野郎:04/02/07 04:17 ID:A9QpxCqe
>>614
cgiスクリプトのファイル名を渡そうが渡すまいが、
最初から「限されている特定利用をし得る状態」だった。
>>616
うん、ほぼ合ってる。

621 :名無しさん@4周年:04/02/07 04:18 ID:g4yUPpac
横槍です。

基本的に計算機にとってデータとプログラムは等価です。
自己書き換えやブートストラップが可能なように。
バッファオーバフロー(これだけに固執する理由が分からんが)を起こす文字列も
正規のクエリーも、おなじもの。 受け手はそれを見越して管理するのが望ましいわけ。
まあ、故意にそういうクエリを打つのはかなり黒いグレーゾーンだとは思うけどね。
っていうかバッファフローは黒。正式なクエリとするには、あきらかにじょうきをいする。

622 :名無しさん@4周年:04/02/07 04:18 ID:vH7CzGK9
.... ...... .. ...   .. .... . ..... .... .. ..... ............. ........... .. ..... .... .............
::.... .... ..:.... .... ..... .... .. .:.... .... .. ..... ..:.. .. ..... ............. .. ........ ......
:.... .... ..:.... .... ..... .... .. :.:.... .... .. ..... .... .. ..... ............. .. . .............
.... .... ..:.... .... ..... .... .. .:.... .... .. ..... .... .. ..... ............. .. . ........ ......
:.... . ∧∧   ∧∧  ∧∧   ∧∧ .... .... .. .:.... .... ..... .... .. .
... ..:(   )ゝ (   )ゝ(   )ゝ(   )ゝ サヨウナラ オヒス・・・......
....  i⌒ /   i⌒ /  i⌒ /   i⌒ / .. ..... ................... .. . ...
..   三  |   三  |   三  |   三 |  ... ............. ........... . .....
...  ∪ ∪   ∪ ∪   ∪ ∪  ∪ ∪ ............. ............. .. ........ ...
  三三  三三  三三   三三
 三三  三三  三三   三三

623 :名無しさん@4周年:04/02/07 04:19 ID:yKKI4U16
>>618
a.仕様ではありません。

624 :名無しさん@4周年:04/02/07 04:20 ID:FlGyEBmd
root権限で実行されているプログラムなら
バッファオーバーフローの脆弱性を
「リモートシェル機能」として使っても不正アクセスではない
可能状態を利用しただけだから

625 :名無しさん@4周年:04/02/07 04:23 ID:+aFWfuIH
結局チキン君の説が成立するためには

件のCGIスクリプトは仕様設計段階から
フォーム内で特定のファイルを表示することが目的ではなく
サーバ内の全てのファイルを表示することを目的として
設計されプログラムされていた

ってことが必要だね

だからその仕様にしたがって任意のファイル名を引数
として投入することは「可能状態を利用」しただけだから
まったく問題ないということ



626 :名無しさん@4周年:04/02/07 04:26 ID:AcZf9d0q
>624
バッファーオーバーフローってのはな、単にコードを実行させるためにやるんじゃないんだよ。
CGI実行権限がルートでなくとも、リターンすればrootに権限がわたる。
そのときに任意のコードを実行させるためにスタック領域にシェルコードを書くわけだ。OK?

>620
つまりOffice有罪を認めたって事だな?
なにしろOfficeは、「ファイル呼び出し機能が実装されているCGI」に、
入れてはならない特定利用を行うパラメーターを入れちゃったんだからw

627 :チキン野郎:04/02/07 04:27 ID:A9QpxCqe
>>625
後半は全面的に合ってる。でも前半が違ってる。
cgi設計者の意図目的は関係なし。
cgi管理者の意図目的も関係なし。
「制限されている特定利用をし得る状態」というのは、
つまり鯖上の全ファイルにアクセスできる状態のこと。
いつ誰がそういう状態にしたのか…office氏でないことだけは確か。

628 :名無しさん@4周年:04/02/07 04:29 ID:UNEfDC6r
>>626
>CGI実行権限がルートでなくとも、リターンすればrootに権限がわたる。
わたんね〜よ
何のためにデーモン類をroot以外の権限で動かしてるかわかってないね

629 :チキン野郎:04/02/07 04:30 ID:A9QpxCqe
>>626
office氏を有罪にすることはできない(どの条文に引っかかるんだ?)
犯罪になるのは「制限されている特定利用をし得る状態にさせる行為」だ。

630 :名無しさん@4周年:04/02/07 04:31 ID:g4yUPpac
>>626
普通、CGIは特権ユーザで動きませんので、rootに権限が移譲されることは
まずありません。そんなのOSじゃない。

例えば、IA-32アーキテクチャ、Linuxの場合、プロセスのセグメントレジスタに特権用のhssでビット判定
しているので、仮に.dss部を書き換えるないし.data部を書き換えたとしても、特権がないので
管理者権限で実行されることはありませぬ。セグフォだすのが落ち。

631 :名無しさん@4周年:04/02/07 04:34 ID:+aFWfuIH
>>627
仕様が関係ないなら、みんなが言ってるように
セキュリティーホールがあるプログラムの置いてあるサーバは
「制限されている特定利用をし得る状態」ってことだろ

だってセキュリティーホールのあるプログラムに特定の引数をいれれば
「鯖上の全ファイルにアクセスできる」んだから

632 :名無しさん@4周年:04/02/07 04:35 ID:AcZf9d0q
>628
リターンってのはCGIが終了する事じゃなくて
マシンコードのretとかだよ。
これでデーモンのプロセスから抜けてrootのプロセスに戻る。

633 :名無しさん@4周年:04/02/07 04:35 ID:UNEfDC6r
>>629
ファイル名=特定利用の制限を免れることができる情報

634 :チキン野郎:04/02/07 04:36 ID:A9QpxCqe
>>631
潜在的に穴があるだけでは「可能な状態」とは呼べないな。
バッファオーバランを悪用して「不可能を可能に変えた」瞬間に犯罪となる。

635 :名無しさん@4周年:04/02/07 04:37 ID:+aFWfuIH
>>634
「潜在」と「顕在」の違いは?

636 :名無しさん@4周年:04/02/07 04:37 ID:g4yUPpac
計算機の話をする場合、「できるできない」を議論するのは不毛だよ。
できないことをできないと証明する方法は無いわけで、逆説的には
できないことはないとすることもできるわけで。

だから、できることはやっていいこととするならば、できる人とできない人の解釈が異なるわけで、
そうした所に議論の軸をおくのは、不毛。

637 :名無しさん@4周年:04/02/07 04:38 ID:AcZf9d0q
>634
潜在的にファイル名が入れられるだけでは「可能な状態」とは呼べないな。
「ファイル呼び出し機能」を悪用して、「不可能を可能に変えた」瞬間に犯罪となる。


638 :チキン野郎:04/02/07 04:39 ID:A9QpxCqe
>>626
>>631
>>633
私はクソ素人なのでプロの先生方に教えを乞いたい。
あなたたちにとって「制限されている特定利用をし得る状態」とは
いかなる状態なのか…。具体的にたのむ。

639 :名無しさん@4周年:04/02/07 04:41 ID:AcZf9d0q
>630
あのさぁ、オーバーフローの原理わかってないでしょ?
シェルコードはオーバーフローでかかれたときに実行されるんじゃないんだよ。
デーモンがretとかでルートに権限を移譲するときに本来の戻り先とは違うところに
飛ぶようにスタック領域を潰すんだよ。
このタイミングで実行されるからこそrootが取れる。
じゃないとバッファーオーバーフローなんか保護違反起こすだけだろうがw

640 :名無しさん@4周年:04/02/07 04:42 ID:l8HVxSbG
ここも、すげえよ
http://koibarikko.ddo.jp/
しかも悪いと知りながら堂々と運営。
http://koibarikko.ddo.jp/hikkoshi.html
mp3にするのは簡単。リンクのプロパティのhtmlをmp3に書き換えれば終わりだ。
http://koibarikko.ddo.jp/01313miamore.mp3


641 :名無しさん@4周年:04/02/07 04:42 ID:UNEfDC6r
>>636
って言うかさ、誰にもできない事なら法律で縛る必要も無いんだよな
結局法律で縛るという事は誰かにとっては可能な事で、その「誰か」というのが
スーパーハカー程度なのかオヒス程度なのかという違いだけ

だから「できるんだからやってもいいじゃないか」というのは「不正アクセスは存在しない」
というのと同義

642 :名無しさん@4周年:04/02/07 04:47 ID:4sIHCY7l
>>1だけじゃよく分からんのだけど、
「河合容疑者がイベントで個人情報を公開した」
「その情報の入手方法が2chに晒された」
「河合容疑者がaccsに不正アクセスした」
の3つの事件が一斉に起こったの?
上2つは関連してるけど、3つ目も関連してるの?
それとも全く別の事件?






643 :名無しさん@4周年:04/02/07 04:48 ID:g4yUPpac
>>639
そう、普通は保護違反(windows)を起こす。セグメント違反ってやつね。
でもELF実行形式の場合、スタック領域、.dss部の間や、実行部の.rdata .text
間にすき間があって、そこにコードを埋め込むわけなのよ。
あと、管理者権限はユーザ権限とプロセスの空間をかえてるわけで(Linuxの場合)
非特権ユーザは、特権ユーザのセグメントには不可侵なのだ。
普通はこうした処理はCPU内のセグメントの権限管理を利用していて、
Ia-32アーキテクチャでは2bitの権限設定をもっています。
つまり、ハード的に特権ユーザは守られてるの。


644 :名無しさん@4周年:04/02/07 04:49 ID:UNEfDC6r
>>639
あんたこそOSわかってないでしょ
生成されたプロセスが終了する時は、親にretするんじゃなくて
forkされたプロセスが放棄されるだけ
無論リソースは回収されるが

そもそも、単に子プロセスがretする時にrootに権限昇格できるのであれば
ローカル権限持ってるユーザは誰でもrootになれるという事じゃん
Windows9xじゃないんだからさぁ(w
そんな仕組みがあったら立派な脆弱性だよ

645 :名無しさん@4周年:04/02/07 04:49 ID:AcZf9d0q
>642
順番としては、
(1)「河合容疑者がaccsに不正アクセスした」(事前に確認)
(2)「河合容疑者がaccsに不正アクセスした」&「河合容疑者がイベントで個人情報を公開した」
(3)「その情報の入手方法が2chに晒された」

646 :チキン野郎:04/02/07 04:49 ID:A9QpxCqe
返答ないよ…orz

647 :名無しさん@4周年:04/02/07 04:49 ID:vH7CzGK9
>642
1つ1つ別の事件でばらばらに別人が逮捕されています

648 :名無しさん@4周年:04/02/07 04:50 ID:+aFWfuIH
>>638
CGIの引数にCGIの仕様にないファイル名を入れた瞬間

つかなんとなくチキン君のいいたいことが分かってきたような気が
チキン君1行コメントしかしないんで類推するしかないのがつらいんだが

つまりチキン君の考えでは

特定の引数をいれていっぺんrootを奪って、その上でファイルにアクセス可能
になるような、実際のアクセスに2段階必要なセキュリティーホールを利用する
のが不正アクセス

特定の引数をいれてることによって直接ファイルにアクセス可能になるような
実際のアクセスが1段階で出来るセキュリティーホールを利用するのは
不正アクセスではない

こういうことか

649 :名無しさん@4周年:04/02/07 04:51 ID:g4yUPpac
>>643
あと、たまにwindows等で権限が上る致命的なバグが発見ってのがあるけど、
それが管理者権限でのプロセスの実行を可能にするような穴。
でも、これは基本的にバッファフローなんてことでは起きず、
クリティカルリージョンでのミス等で起きるのがほとんど。ようはタイミングでおこるわけ。


650 :チキン野郎:04/02/07 04:58 ID:A9QpxCqe
>>648
レスサンクス
3人揃うまで待ちまつ。

651 :名無しさん@4周年:04/02/07 05:00 ID:GMHvH8ev
>>648
もっと単純だろう。たぶん。私の理解では、

プログラム(今回はCGI)を正常に利用した事に何も問題は無いでしょ?、

って事じゃないのかね?



652 :チキン野郎:04/02/07 05:03 ID:A9QpxCqe
20分もかかるような難しい問題ではなかろう…orz

653 :名無しさん@4周年:04/02/07 05:08 ID:+aFWfuIH
>>651
それだと「正常」ってのがなんだかわからん
「正常」ってのは「仕様」どおりの動作のことじゃ
ないっていってんだから

>>652
つかもう寝たんじゃないの?
漏れももう寝るし

654 :チキン野郎:04/02/07 05:09 ID:A9QpxCqe
>>653
あい、おつかれ

655 :名無しさん@4周年:04/02/07 05:09 ID:nHflVB7t
これ読んでね。

859 :名無しさん@4周年 :04/02/06 20:00 ID:r5LDRHzz
>>854
セキュリティホールの放置は不正な「利用をし得る状態にさせる行為」にあたる可能性がある。

バッファオーバーランの場合バッファを溢れさせるまでのパケット送信が不正な「利用をし得る状態にさせる行為」に該当し、その後に走らせるプログラムは利用行為。
後段は処罰の対象ではないが、前段で処罰される。


今回のケースではバッファオーバーランにおけるバッファを溢れさせるまでのパケットに該当するデータの送信がないでしょ。
だから不正アクセス防止法には触れない。当然起訴は無理。

656 :名無しさん@4周年:04/02/07 05:14 ID:Nu/rpuOe
もう釈放されたの?必死に擁護してるのはオヒスでしょ?

657 :チキン野郎:04/02/07 05:20 ID:A9QpxCqe
とりあえず40分待ってみた…レスこなーい♪
寝ますわいな。ではー

658 :名無しさん@4周年:04/02/07 05:21 ID:nHflVB7t
>>656
昨日のニュースによると黙秘しているということだったんでまだ釈放になってないんじゃない?

659 :名無しさん@4周年:04/02/07 07:23 ID:oWgN+YkR
不正アクセス行為の3だね。

電気通信回線を介して接続された他の特定電子計算機が有するアクセス制御機能によりその特定利用を制限されている特定電子計算機に
電気通信回線を通じてその制限を免れることができる情報又は指令を入力して当該特定電子計算機を作動させ、
その制限されている特定利用をし得る状態にさせる行為

状態にさせる行為とされていて利用する行為とはされてない。

1、2、は今回と関係ないから規定されてる不正アクセス行為に今回の行為は該当せず。

660 :名無しさん@4周年:04/02/07 07:45 ID:jfyCjqLg
わざわざセミナーみたいのを開く。
その参加者がわざわざ2chにうpする。

という状況だけでも、普通は許可されていない人間が
アクセスできないようになっている、と言えるわな。

661 :チキン野郎:04/02/07 08:02 ID:A9QpxCqe
前スレの773って言ってること滅茶苦茶だな。
格好悪いよあいつ。

662 :名無しさん@4周年:04/02/07 08:18 ID:dXJq9Jkc
今回の事件って問題とされるべきoffice氏の行動は某会場での個人情報晒
しであって、これはそのまま晒す必要がない訳だからマスコミで報道されてる
ように功名心みたいな部分は否定できないかなぁと。

でもACCSとそのHPの管理会社が本来必要でない個人情報を集めていた事
と、約1200人もの個人情報をセキュリティ上の脆弱性によって危険に晒して
いたことについて

「スマン!(・∀・)」
「反省してまつ(ノ∀`)」

と口だけで、済ましているのが納得いかないんだよなぁ。
office氏をスケープゴートにして批判をそらしてるみたいな印象がするんですよ。
1200人もの個人情報をネット上で晒しものにしてたACCSはもっと自身で反省
するべき事があるんじゃないですかねぇ。

宇治市の個人情報流出の時って賠償一人当り15000円ぐらいでしたっけ?
本来は全員訴訟をおこしたら1200人×15000=1800万円というぐらいの大
事だと思うんですけど。
まぁ、実際は全員訴訟なんてありえませんけどね。

でも、全員訴訟起こりそうになったら
「個人情報が流出したのは実際は4人だけで大した問題ではありません」
とか言ったりして…まさかね(ノ∀`)

663 :名無しさん@4周年:04/02/07 09:25 ID:+DB9Xnmg
あえて一つの解釈に持っていかなくても、複数の解釈を上げておいて(弁護側(複数可)、検察側)
争わせたときに、どうやって相手の主張をくずすかも考えておいた方がいいかも。
あと、これを機にどうするか、が一番重要かと。

664 :テンプレの人(1):04/02/07 09:41 ID:TbE7E6QP
おはよう。眠いね。昨日の論戦のまとめはどんな感じ?

665 :名無しさん@4周年:04/02/07 09:44 ID:SdhyEyWg
仕様書がなきゃプログラムは書けないとでも思ってるのかね。
プログラムはプログラムだ。

666 :名無しさん@4周年:04/02/07 09:47 ID:nHflVB7t
>>662
全員が訴訟を起こさなくても、全員に賠償しなきゃならなくなんじゃない?

>>659
それは全く関係ない。アクセス制御用のコンピュータが別にある場合について定めた条文だよ。
今回の場合、アクセス制御用の別のコンピュータなんてないし。

667 :名無しさん@4周年:04/02/07 09:51 ID:1MiV5KMV
>>665
 仕様書が無くてもできるけど、
後で駄目だしされる可能性が高い罠。
つか、有っても違うとか言ってくる
ユーザも居るし。

668 :名無しさん@4周年:04/02/07 09:56 ID:nHflVB7t
まとめサイトみたけど、ファーストサーバってセキュリティホールを故意に放置していたんだ。
こっちも検挙されるかもね。あとACCSは当初office意外の人間はデータの読み出しをしていないと発表していたのに、
警察によると他の人によるハッキングもあったという。
これって情報隠蔽工作があったってことじゃないかな?
ACCSと管理会社の徹底した責任追求が必要な悪寒。

669 :名無しさん@4周年:04/02/07 10:00 ID:nHflVB7t
ヨセフアンドレオンの声明とか
http://216.239.57.104/search?q=cache:GMVUonNztOUJ:www.josephandleon.co.jp/seimei.html+&hl=ja&lr=lang_ja&ie=UTF-8

取引先リスト変遷とか
一昨日
http://216.239.57.104/search?q=cache:3x1k61esyMsJ:www.josephandleon.co.jp/kaisha.html+%E3%83%A8%E3%82%BB%E3%83%95%E3%82%A2%E3%83%B3%E3%83%89%E3%83%AC%E3%82%AA%E3%83%B3+%E4%B8%BB%E3%81%AA%E5%8F%96%E5%BC%95%E5%85%88&hl=ja&ie=UTF-8
本日
http://www.josephandleon.co.jp/kaisha.html

ヨセフ関連情報はまとめないの?

670 :名無しさん@4周年:04/02/07 10:01 ID:z1FSkgj8
仕様に無いって?朝方まで何馬鹿なこと言ってんだ。
ユーザーに仕様書公開してたとでも言うのかね。
そーかそんなの一般人は契約結んでないから制限うけないじゃん。アホか。

671 :名無しさん@4周年:04/02/07 10:04 ID:z1FSkgj8
きちんとACCSとヨセフアンドレオンの企業としてのモラルの無さが
放置されてる現状が一番問題。

672 :671:04/02/07 10:07 ID:z1FSkgj8
>>671
ああ日本語変だ。「きちんと」はいらないや。きちんと放置してもしょうがねえ。
でも、ほんとに何とかなんないのあの会社。

673 :名無しさん@4周年:04/02/07 10:08 ID:4U62kJyZ
>>656
必死になっているのは真似して実行してしまった子だろ。
Unixやファイルシステムについての知識が誤っているし
憧れのハカーofficeさんの公演を見て真似してやっちまって慌てているんだろう。

674 :名無しさん@4周年:04/02/07 10:10 ID:V28vSRk1
       -,---γ''''''''--_
     /  ;;; ;;;;;;ミミ ミミ  \
    /  ;;; ;;;;;; ミミミミミミミミミ \
   ( (( ( ( ( ( ( (   ミミミミミミミミ从ミ
  ///ノノノノノノ从   ミミミミミミミミミヽミ
  //ノノノノ 〓〓ノ   〓〓ミミミミノ从
  ノノ;ミ;ミミ -=・=-   -=・=- ミミノ从
   ミ;ミミミ      |      |ミミミ
    .ミミ从            /ミミ  
  .   ミミ:|. ヽ  . ∨    / |ミミ    / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
      ミミ  !  ー===-'  ! ./ミミ   < 一生懸命になればいい〜♪
      ミミヽ     ̄   ノミミ     \________
            −−


675 :名無しさん@4周年:04/02/07 10:38 ID:r0AXkjbJ

施工ミスは追及しないと。



676 :名無しさん@4周年:04/02/07 10:41 ID:4U62kJyZ
>>675
ACCS、ファーストサーバ、森川ら当事者同士の交渉だろうな
そこでもつれたら民事訴訟もあるかもしれないが
警察が取り扱うことではない

677 :名無しさん@4周年:04/02/07 10:42 ID:oTHPo2UT
3-2-2じゃ無理ね。
他の条文にあてはならないかね。


678 :名無しさん@4周年:04/02/07 10:53 ID:zK4s7P8i
外部からセキュリティホールを突いて侵入してきた男が、校内で児童を殺傷し被害を与えた場合
男は刑事罰を受ける事になりますが、それに加えて管理者としての学校側にも親たちは今のご時世なら
管理者責任を民事(酷い場合は刑事)で追求しますよね。
ですから学校側がいくら会見で犯人の男を非難してもそれは問題の本質をそらそうとするまやかしに
しか見えないわけです。

679 :名無しさん@4周年:04/02/07 11:00 ID:+Wx7XIhp
>>492
立花書房とかの文献が複数あるから漁ってみそ。
例えば
http://tachibanashobo.co.jp/keijiho/0401.html
とか。
警察学論集どうだったっけな?

680 :名無しさん@4周年:04/02/07 11:06 ID:4pBjx+t2
>>679
管理者であるファースト鯖がすべてのファイルがアクセス可能な状態であることを知りつつその状態を長期にわたり放置してたんだから、それが管理者の意図なんだよ。
細かな法律論議なんかいらん。

681 :名無しさん@4周年:04/02/07 11:08 ID:vurMG0vJ
おはよー

ところでさ

>プログラム開発会社欠陥の詳細、未公表

>欠陥を突かれたプログラムを開発したサーバー提供会社は、02年末にこの欠陥を見つけ、修正プログラムも開発したという。
>しかし、顧客に対し、詳しい欠陥情報を提供しなかった。
>情報が不正アクセスなどに悪用される恐れがあると判断した、と説明している。
>同社は約2万の顧客を抱え、昨年3月から、欠陥を解消した新しいプログラムへの移行を顧客に促してきた。
>しかし、欠陥自体の存在が明らかにされなかったこともあり、事件のあった11月時点では、コンピュータソフトウェア著作権協会など相当数が未対応だった。

制作者が脆弱性を把握してて新しいプログラムまで作ってる状態って既に過去のファイルがそういう仕様であると制作者が認めてるも同然なような気もするなあ
まあ、感覚的な問題でストレートに法律には関係ないけどねえ

682 :名無しさん@4周年:04/02/07 11:14 ID:AKZ7x65C
この法律は穴を開ける行為そのものが問われてる。
穴を開けたのは容疑者じゃない。その穴を利用しただけ。
よって違法性は問えない。
とりあえず、これがストレートな考え方。
しかし法律は解釈や運用が重要なので、場合によっては問えるかもしれない。
ま、スレの違法派の意見の中にはftpやtelnetのアクセス制御回避だと言う
おばかさんもいるので注意。

683 :名無しさん@4周年:04/02/07 11:33 ID:7VDnR7V7
不正アクセス行為の禁止等に関する法律3-2-3
>その制限されている特定利用をし得る状態にさせる行為

これの解釈は、セキュリティホールがあった場合に、それを突いてアクセス
すること自体を制限するもの(言い換えれば、アクセスしても何もサーバに
害悪を及ぼさなければ犯罪にならない、という状況を回避する)という解釈が
妥当だと思いますよ。アクセスして、制限されている行為が出来る状態に
なったところでアウトってこと。

当該セキュリティホールを持つプログラムを設置した行為の責任が問われて
いるというのは拡大解釈、というよりちょっと無理な解釈かと。

そのような行為に対する規定は第五条でしょう。

684 :名無しさん@4周年:04/02/07 11:36 ID:+Wx7XIhp
>>682
解釈の根拠となる文献示してくれ。

685 :名無しさん@4周年:04/02/07 11:42 ID:E/cpqR3K
>>683
技術をもった大人はこの見解だな

制限されてなかったことにしたい厨は大事なことを見逃すタイプだな

686 :名無しさん@4周年:04/02/07 11:50 ID:zK4s7P8i
ついでに言うと、被害者とは私的な情報を公のものとされた方たちであり
間違ってもサーバー提供会社や実質的な管理会社・著作権管理団体などではありません。
彼らは信用を失っただとかメンツを潰されたというような被害はありますが
いずれも私的な情報の流出に遭った方に比べれば些細な問題です。
セキュリティホール通報者の処遇や不正アクセス防止法の適用についても
まず被害者の意向を第一に尊重すべきでしょうね。
被害者の方も正しい被害者意識を持って、被った損害を請求すべきです。

687 :名無しさん@4周年:04/02/07 11:52 ID:7VDnR7V7
>>684
もしかして私に言ってるのでしょうか?(でなければごめんなさいね)

丁度いいので根拠も示しておきますね。この第三条は三項からなりますが、
条文を読めば、どの項目でも同じ表現を用いていることが分かります。
一部引用しますと、

一 アクセス制御機能を有する特定電子計算機に電気通信回線を通じて
当該アクセス制御機能に係る他人の識別符号を入力して当該特定電子計
算機を作動させ、当該アクセス制御機能により制限されている特定利用
をし得る状態にさせる行為

この条文は、他人のパスとIDを使って不正にログインしたら、ログインした
だけで罪に問いますよと解釈できます。ログインプログラムの設置を罪に
問うとはどうやっても解釈できません。第三項も同じ事で、法の意図する
ところは第三条を通じて明白です。

あと、第三条の条文だけでも、プログラムの設置が含まれると解釈するのは
無理があります。

#>その制限を免れることができる情報又は指令を【入力】して
#>当該特定電子計算機を作動させ、
#のあたり。


688 :名無しさん@4周年:04/02/07 11:54 ID:r/ALOnWV
だからさ、おひすのことばかりじゃなくて、ACCSとファーストサーバとヨセフをなんとか懲らしめたいよ。
特にヨセフ!DQNすぎ

689 :名無しさん@4周年:04/02/07 11:55 ID:4pBjx+t2
>当該セキュリティホールを持つプログラムを設置した行為の責任が問われて
>いるというのは拡大解釈、というよりちょっと無理な解釈かと。
じゃなくて、最初は管理者は「仕様じゃなくてセキュリティホール」と強弁できても(今回はどうかしらんが一般にはプログラム作った側は責任追及されないよう
「セキュリティホールじゃなくて仕様」というから管理者や警察の強弁なのだ)その状態を認識しつつ放置した管理者はいくらなんでも駄目でしょということ。


690 :名無しさん@4周年:04/02/07 11:55 ID:04j+cTMK
1.鍵のかかっていないドアから侵入した。
2.合鍵を入手して侵入した。
3.ピッキングで侵入した。
一番罪が重いのはどれ?

691 :名無しさん@4周年:04/02/07 11:55 ID:nHflVB7t
>>683
バッファオーバーフローのようなセキュリティーホールに対しては適用されるが、単なる設定ミスは保護されんのよ。
五条は罰則ないでしょ。五条の趣旨を踏まえて四条を解釈しないと意味がない。
ハッキングの九割は内部者の犯行であるという統計上の数字も踏まえてね。
>>655をちゃんと読め。

692 :名無しさん@4周年:04/02/07 11:56 ID:7/zPOcbr
でさ、現実問題、
root権限だのパーミッションがどうだのバッファオーバーフローがどうだのって
理解出来る裁判官っているのかな?

693 :名無しさん@4周年:04/02/07 12:00 ID:emRIUPd4
>>690
侵入者の罪は一緒だろ。
鍵をかけてないと管理責任がかかってくるが・・。

694 :名無しさん@4周年:04/02/07 12:00 ID:7VDnR7V7
>>689
別にそれを否定してるわけじゃないですが。
>>632の様には解釈できないと言ってるだけでね。
だからあなたの言うように、争点は「アクセス制御があったかどうか?」
になると思います。

>>691
ちゃんと読めと言われても(苦笑
>>655に反論した覚えは全くないんですが。



695 :名無しさん@4周年:04/02/07 12:02 ID:R7V3oNbg
HTTPはそもそも公開することが目的の仕組みなんだから、
鍵のかかってない家への侵入つー比喩はおかしいんじゃ?


696 :名無しさん@4周年:04/02/07 12:02 ID:nHflVB7t
>>694
いや、>>655に本当の意味でのセキュリティーホールであるたとえばバッファオーバーフローと実際はたんなる設定ミスである場合との違いと条文の文言の関係が書いてあるから。
読めばわかるでしょ。

697 :名無しさん@4周年:04/02/07 12:06 ID:7VDnR7V7
>>696
いや、だから>>683読んでよ。
多分あなたが反論されたと思ってるようなことは一言も言ってないから。
私が言ったのは、>>682の解釈は無理、って、それだけ。

あと>>694のなか、レスアンカー間違いね。>>682だ。

698 :名無しさん@4周年:04/02/07 12:06 ID:E/cpqR3K
>>691
だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて
、ファイルが見えたレベルじゃないよ。
ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見え
ないんだぞ

699 :名無しさん@4周年:04/02/07 12:08 ID:emRIUPd4
>>692
めんどくさいから、サーバーの管理人が公開している侵入方法
以外で入ってきたら、家宅侵入罪のような形で責任を問えば良いんじゃ。
加えて、データ取得や削除をした場合は器物破損罪を適用する。

家宅=サーバー、器物=データとそれぞれ法改正してからだが。
わけのわからん法律増やすより良いだろ。

700 :名無しさん@4周年:04/02/07 12:08 ID:r/ALOnWV
家じゃなくて、ホテルのロビーって考えればいいのにね。
無能な受け付けが言われるがままに重要な書類を取ってきちゃう。
普通の人は自分の部屋の案内しか要求しないけど、実はどんな書類も見せちゃうの。

701 :名無しさん@4周年:04/02/07 12:09 ID:aPYmZX8p
まだアウトだとかセーフだとかやってんのかよ。
をまいらは最初から有罪にするつもりで逮捕したんだろうというのが読めないのか?

702 :名無しさん@4周年:04/02/07 12:09 ID:4pBjx+t2
>>694
>だからあなたの言うように、争点は「アクセス制御があったかどうか?」
>になると思います。
違う。
漏れがいってるのは、争点になるとしたら「仕様か回避か」だが、そもそも管理者の意図どおりの利用なので争点などないってこと。


703 :名無しさん@4周年:04/02/07 12:13 ID:7VDnR7V7
>>702
あ〜。
>争点になるとしたら「仕様か回避か」
>争点は「アクセス制御があったかどうか?」

全く同じですよ。どうでもいいけど。

仕様だという主張は、「アクセス制限は無い、仕様だから」と同義。
回避だと主張すれば、その回避したアクセス制限があったと言ってるわけで。


704 :名無しさん@4周年:04/02/07 12:16 ID:R7V3oNbg
どこからもリンクされていないURLがあって、作成者は心の中で
そこのアクセスはリンクが無いことにより保護されていると
考えている。そこにアクセスがあったら訴えてよい。ってことかな。

705 :名無しさん@4周年:04/02/07 12:16 ID:TV0zAI+7
>セキュリティコントロールを全く行っていないプロバイダ,組織においては,そもそも全てのアクセスが適法なアクセスになると考えるのが適当です。
>例えば,root のパスワードをシステムの導入時から変更していない,パスワードが設定されていないアカウント,利用者IDが``guest''でパスワードが``guest''といったアカウントがあるなどの場合は,
>アクセス制御機能がないと判断され,そもそも不正アクセスの問題にならない可能性もあります。
↑これは解釈の一つたが、このCGIには条文に定める所のアクセスコントロールが無いし、
不正アクセス禁止法はきついのでは?
(逆にユーザnobadyのアクセス権限を持っていると言えるが強引か?)

706 :名無しさん@4周年:04/02/07 12:17 ID:nHflVB7t
>>697
今回のケースはセキュリティホールではなくて、設定ミスであるという前提で、
全然関係ないバッファオーバーフローによってハッキングされうるプログラムを設置した場合の話をしているのか?
複雑だなw

セキュリティーホールのあるプログラムを設置した場合であっても、それをあらかじめ知っていれば「特定利用をし得る状態にさせる行為」に該当しうるでしょ。
許可があったケースと考えうるかどうかは争点になるけれども。
今回の場合はセキュリティーホールではなくて、設定ミスなので「特定利用をし得る状態にさせる行為」そのものだし、放置した管理会社をより罪に問いやすいはず。

707 :名無しさん@4周年:04/02/07 12:22 ID:7VDnR7V7
>>706
いやだから、
設定ミスあるいはセキュリティホールがあってね、それをあらかじめ
知っていたとして、また一般に知ることが出来たとして、
それは

「法の定めるアクセス制御機能を有さない。」

で、不正アクセス禁止法の適用外になり得ますが、

設置者に対して第三条の二の第三項を適用するのはどう考えたって無理です。
>>687参照

だから結局言いたいのは、間違った法の参照はやめてねってだけ。


708 :名無しさん@4周年:04/02/07 12:22 ID:4pBjx+t2
>だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて、ファイルが見えたレベルじゃないよ。
".."でファイル見えたんじゃないの?だったら単純レベルだが。
>ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見えないんだぞ
それはまわりくどくhtmlを使ってアクセスする場合に面倒という話であって、httpを直接たたく場合には手間は同じ。
そもそも、アクセスが面倒かどうかは、telnet管理者が単純な設定ミスをしたかどうかには関係ない。


709 :名無しさん@4周年:04/02/07 12:22 ID:JuZm0vHr
おまいら、ACCSの一件だけで盛り上がっていますが、
今頃当の本人は涙ぼろぼろ流して「余罪」を供述してるんだろうな。


710 :名無しさん@4周年:04/02/07 12:24 ID:SdhyEyWg
>>704
極論すればそういうことだね。
どこで線を引くかが問題になるんだろうけど、無知な裁判官が引く境界線・・・


711 :名無しさん@4周年:04/02/07 12:27 ID:zK4s7P8i
最後に、ITmediaの記事について。
貴方がたに出来る事はただひたすら被害者へ謝罪をするのみです。
決して説教などでは無いはずです。
余りに滑稽で最後まで読む事はとても出来ませんでした。

712 :名無しさん@4周年:04/02/07 12:28 ID:nHflVB7t
>>707
だから設置者に適用できないのは条文の
「当該アクセス制御機能を付加したアクセス管理者がするもの及び当該アクセス管理者又は当該識別符号に係る利用権者の承諾を得てするものを除く」
が根拠になるわけで、設置した下請け業者であるファーストなんたらがアクセス管理者もしくは利用権者にあたるのであれば当然罪に問われることはない。
だけれども、そうでないとすれば、内部の人間のハッキング同様罪に問われる場合があるでしょ。
何を根拠として設置者が罰せられないと言っているのか意味不明。

713 :名無しさん@4周年:04/02/07 12:32 ID:JuZm0vHr
個人情報リストが通常アクセスできない場所に置いてあり、かつ
アクセス制限機能を回避する手段を用いて取得していたならば、
立派に不正アクセス禁止法第三条第二項に抵触します。

善意の第三者がそれを知らずにアクセスしたのであれば罪に問われない
可能性は高いですが、officeは当該情報が通常の方法でアクセスできない
ディレクトリに置かれている情報であることを認識した上で
取得したことは、取得した情報の性質や、offce自らがクラッキングの
一手法の実例として実演し、公開したことからも明らかです。


714 :名無しさん@4周年:04/02/07 12:34 ID:nHflVB7t
>>713
はいはい。>>655を読んでね。
設定ミスはセキュリティーホールと違って法律では保護してもらえませんよ。

715 :名無しさん@4周年:04/02/07 12:35 ID:hrCserbH
>>713
が全てだな。

716 :名無しさん@4周年:04/02/07 12:46 ID:4pBjx+t2
>officeは当該情報が通常の方法でアクセスできないディレクトリに置かれている情報であることを認識
officeの認識がどうだったかはしらんが、それが問題になるのは「当該情報が通常の方法でアクセスできないディレクトリに置かれて」いた場合だけ。
ところが当該情報はhttpという通常の方法でアクセスできるので、そもそも前提が成り立ってない。
アクセス方法であるhttpとマークアップ言語であるhtmlの区別ついてない厨は引っ込んでろ。


717 :名無しさん@4周年:04/02/07 12:47 ID:JuZm0vHr
officeは京大からも懲戒免職(「非常勤」だから解雇か)を食らうでしょうし、
一族の名誉を深く傷付けたことからも、親類からも排斥されるでしょう。

これだけの技術があるのだから、セキュリティ業界でやっていけるという
人もいますが、実際には行使した手法はオリジナリティの欠片もないありふれた
ものだし、動機も安易で子供じみたものであり、逮捕時には堂々とするどころか
フードで顔を隠すなど、終わってみれば全国規模で恥を晒しただけのことで、
嘲笑の対象にこそなれ誰もセキュリティ関係で彼と関わろうなどとは考えない
でしょう。


718 :名無しさん@4周年:04/02/07 12:49 ID:+ud/Nm+M
設定ミスだろ。自分たちの技術レベルの低さを棚にあげてひどいね。
レベルの低い会社はインターネットには繋ぐなということか。

719 :名無しさん@4周年:04/02/07 12:52 ID:hrCserbH
便乗した人もご愁傷様。

720 :名無しさん@4周年:04/02/07 12:52 ID:2dRGfD7u
          /\
         /  ::::\
       /     ::::\
      /        ::::\
    / ⊂○⊃  ⊂○⊃::\
   /       ω    ....:::::::::\
 /         ∀   ::::::::::::::::::::\
 |   /       :::::::::::::::::::\  :::::|
 | ...:::|          ::::::::::::::::::|....:::::|
  ̄| ̄:::::::::................x......::::::::::::::::::: ̄| ̄
   |_/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\__|

721 :名無しさん@4周年:04/02/07 12:54 ID:+ud/Nm+M
自分に過失があっても、
騒ぎ立てれば馬鹿が擁護してくれてなんとかなるってことか。
嫌な世の中だねえ。

722 :名無しさん@4周年:04/02/07 13:00 ID:E/cpqR3K
>>708
>それはめんどくさくhttpをたたくときも同じ

httpでPOSTするのは適正な範囲だから、まぬがれる行為にならない
と言っているのか?
その論理ならhttpを使用した脆弱性をつく攻撃はどれも3-2-2が適
用されん罠

723 :名無しさん@4周年:04/02/07 13:03 ID:StDmSd4c
バッファオーバーランは
memcpy(to, from, MIN(tolen, fromlen)) が間違って memcpy(to, from, fromlen) になってる類のバグ。
これをやると想定したバッファ移行のメモリ領域を触ることで様々なことができるようになる。
そういうセキュリティホール。

今回は
if (file_access_check(filepath) == OK) open(filename) のifが無いような類のバグ。
これをやると、想定しているファイル以外のファイルの閲覧ができるようになる。
今回のはそういうセキュリティホール。

設定ミスではなく、バグに起因するセキュリティホール。

724 :名無しさん@4周年:04/02/07 13:06 ID:7VDnR7V7
>>712
>何を根拠として設置者が罰せられないと言っているのか意味不明。

意味不明なのはこちらですよ・・・(泣

>設置者に対して第三条の二の第三項を適用するのはどう考えたって無理です。
↑これが「罰せられない」になっちゃうんですか・・・?
そんなこと一言も言ってないでしょうが・・・(泣

私何かあなたに悪いこと言いましたっけ?


725 :名無しさん@4周年:04/02/07 13:06 ID:StDmSd4c
>>723
ちょっと補足すると、memcpyの場合は引数を無駄に伸ばしてfromlenを意図的に操作する必要がある。
openの場合は、filenameを予想かあるいは何らかの情報に基づいて意図的に操作する必要がある。

どちらもバグを突く意図がないとセキュリティホールとして機能しない。

726 :名無しさん@4周年:04/02/07 13:08 ID:4pBjx+t2
>>722
>>708
>それはめんどくさくhttpをたたくときも同じ
708にそんなことは書いてないんだが、コピペくらいできんかね?
>httpでPOSTするのは適正な範囲だから、まぬがれる行為にならない
>と言っているのか?
言ってないぞ、708では。

727 :名無しさん@4周年:04/02/07 13:10 ID:Xg7IW3rn
実は技術的にどーのこーのというのはさして問題ではなく。

・セキュリティホールの存在を管理者に通知していたかどうか
・相当な修正期間を管理者に与えた上で、それを公知のものとしたか
・公知によって発生する社会的影響が、管理者に限定されるようにしたか
 (個人情報が漏洩させるなどの直接的かつ具体的な方法まで公知としたか)

これら1つでも欠けると、善意のセキュリティホール探索者という肩書きはなくなる。

728 :名無しさん@4周年:04/02/07 13:12 ID:fV8gxwyE
>>724
言葉遊びしたいなら幼稚園へ行くといいですよ。

729 :名無しさん@4周年:04/02/07 13:14 ID:7VDnR7V7
>>728
> 言葉遊びしたいなら幼稚園へ行くといいですよ。

法解釈が言葉遊びに見えるなら、幼稚園に行くと良いと思いますです。はい。

730 :名無しさん@4周年:04/02/07 13:22 ID:+ud/Nm+M
制限されている特定利用
あいまいな言葉だな

731 :名無しさん@4周年:04/02/07 13:22 ID:TV0zAI+7
>>727
>・相当な修正期間を管理者に与えた上で、それを公知のものとしたか
これがセキュリティ業界にとっちゃ痛手かなと。
不正アクセス禁止法に当てはまるかどうかは俺はわからんが、
モラトリアム無視に怒りを感じる。

732 :名無しさん@4周年:04/02/07 13:23 ID:4pBjx+t2
>>723
>バッファオーバーランは
>memcpy(to, from, MIN(tolen, fromlen)) が間違って memcpy(to, from, fromlen) になってる類のバグ。
>これをやると想定したバッファ移行のメモリ領域を触ることで様々なことができるようになる。
で、「様々なこと」の一環として他に書いてあるアクセス制御機構のコードをすっとばしたりすると「回避」で違法。
>今回は
>if (file_access_check(filepath) == OK) open(filename) のifが無いような類のバグ。
>これをやると、想定しているファイル以外のファイルの閲覧ができるようになる。
「これをやると」という行為者はプログラマで、その結果「制御機構」がそもそも存在しないから、利用者には「回避」は不可能。
しかも、このifは「制御機構」ではあっても「不正アクセス禁止法」にいう「アクセス制御機構」じゃない。
アクセス制御機構とは「識別符号であることを確認して、当該特定利用の制限の全部又は一部を解除するものをいう。」だからな。
なお、厨は、レスするまえに「識別符号」の意味を自分で調べること。きみに都合のいい定義にはなってない。


733 :名無しさん@4周年:04/02/07 13:25 ID:ni2qcx0P
>>728
くだらん煽りいれるな。突っ込みたいならちゃんと論理的に突っ込め。

734 :名無しさん@4周年:04/02/07 13:30 ID:+Wx7XIhp
>>731
そりゃゴロどもにとっては痛手だろ?
まともな連中は痛くも痒くも。

現に業界で喜んでる連中の多いこと。

735 :名無しさん@4周年:04/02/07 13:31 ID:SdhyEyWg
>>717
京大のことなんで、有罪が確定するまでは犯罪者扱いしないと思う。

736 :名無しさん@4周年:04/02/07 13:32 ID:33xwVikt
ひさしぶりに戻ってきたけどやっぱりループしてる。
古いけど >>300
検察の主張はそんなもんだろ。
で、弁護側の主張は「バクではなくて仕様」。
仕様どおりの動作でファイルを取れるんだから、アクセス制御はなかった。
よって不正アクセスではない。


737 :名無しさん@4周年:04/02/07 13:33 ID:+Wx7XIhp
>>736
そりゃ立花書房も知らん連中しかおらんのだからループもするだろ。

738 :名無しさん@4周年:04/02/07 13:34 ID:fV8gxwyE
>>733んじゃ
「設置者」は「アクセス管理者」と同一人もしくは、「アクセス管理者」の指示を受けて設置している。

したがって、第四条
> ただし、当該アクセス管理者がする場合又は当該アクセス管理者若しくは当該利用権者の承諾を得てする場合は、この限りでない。

739 :名無しさん@4周年:04/02/07 13:34 ID:33xwVikt
類似ケースで不正アクセス禁止法で有罪になったケースがあると
思い込んでいるやつがいるみたいだけど、
俺はそんなケース見つけられていない。
あったら誰か教えてくれ。
唯一「2ショットチャット」が似ているケースかもしれんが、
「自作CGIプログラム」がどういう動作で認証をすり抜けたかどこにも
書いていないので実際にどやったのか分からない。
不正アクセス禁止法の他のほとんどのケースは、識別符号がらみだった。
今回のケースは識別符号が関係ないことはほぼ同意が取れている。
(ファイル名やディレクトリ名が識別符号という電波もいるにはいるが)


740 :名無しさん@4周年:04/02/07 13:34 ID:4pBjx+t2
>>698
>だから単純のミスのレベルじゃないだろと。index.htmlつけわすれて、ファイルが見えたレベルじゃないよ。
".."でファイル見えたんじゃないの?だったら単純レベルだが。
>ダウンロードしたhtmlのなかで、cgiのPOSTの引数変えないと見えないんだぞ
それはまわりくどくhtmlを使ってアクセスする場合に面倒という話であって、httpを直接たたく場合には手間は同じ。
そもそも、アクセスが面倒かどうかは、telnet管理者が単純な設定ミスをしたかどうかには関係ない。


741 :名無しさん@4周年:04/02/07 13:34 ID:StDmSd4c
>>723
user名、パスワードでしょ。言いたいのは。


ttp://username@password:www.hoge.org/
ttp://www.hoge.org/username/password/
ttp://www.hoge.org/hoge.cgi?u=username&p=passowrd
の違いを良く考えてね。
ついでに
ttp://www.hoge.org/hoge.cgi?f=hogehoge
も。で、さらにhoge.cgiの引数がuとfの違いも。
すると識別符号と認証のための共有知識情報の意味が分かるよ。
アクセス制御機構ってのがどれくらい曖昧な言葉かも分かると思うよ。

742 :名無しさん@4周年:04/02/07 13:36 ID:vurMG0vJ
>>727
>・セキュリティホールの存在を管理者に通知していたかどうか

それ以前に管理者というか制作者であるファーストサーバーはセキュリテイホールの存在を2002年に把握していたわけだよなあ
やっぱファーストサーバーとヨセフアンドレオンの責任は重いだろ
officeは有罪でかまわないけど上の二社もなんらかの罪に問われて欲しいもんだ


743 :名無しさん@4周年:04/02/07 13:37 ID:/biTl2N9
結局これって、情報を盗まれた側の
スキル不足を棚に上げた逆ギレじゃないの?


744 :名無しさん@4周年:04/02/07 13:39 ID:StDmSd4c
オヒス→有罪
ファーストサーバ→有罪
ヨセフアンドレオン→有罪
ACCS→有罪
ダウソ厨→有罪
検証厨→ウザイし不正アクセスの疑いが常にかかるのでときどき逮捕→ときどき有罪ときどき厳重注意
一般人→無罪

745 :名無しさん@4周年:04/02/07 13:39 ID:vurMG0vJ
>>727

補足ね〜

なんでこういう言い方をしてるかというと自分がユーザーだったサイトから自分の情報を抜かれるのは迷惑だし
ファーストサーバーとかヨセフアンドレオンみたいな会社が幅をきかせていると今後自分がユーザーになる可能性があるとこがそんな情けない仕様だったら困るからねえ
しかも今回の事例が有罪ということになるとヘタすりゃ自分がサービスを受けるサイト自体が大丈夫かどうか調べることも有罪になりそーだしねー

746 :名無しさん@4周年:04/02/07 13:41 ID:4pBjx+t2
>>741
立花書房(警察官僚の天下り先かなんか?)の営業は放置するとしても、法律は無料で公開されてるんだから条文くらい嫁。
「識別符号」は「当該利用権者等を他の利用権者等と区別して識別することができるように付される符号」だから曖昧性はないんだよ。

747 :名無しさん@4周年:04/02/07 13:42 ID:33xwVikt
バッファーオーバーランと同列に扱っているやつで、
バッファーオーバーランが仕様です、
なんていってるやつは論外。
検察もそんな主張はしない。
するとしたらバッファーオーバーランも仕様外のことをさせてるし、
今回の CGI も仕様外のことをさせているから、同列、という論旨。
むろんおれは、今回は仕様内のことをさせたと考えている。

748 :名無しさん@4周年:04/02/07 13:43 ID:StDmSd4c
>>746
当該利用権者等を他の利用権者等と区別して識別することができるように付される符号
だから、それは、特定の情報を知識として知っていること、に依存するし
「等」って言葉の意味分かる?

749 :名無しさん@4周年:04/02/07 13:43 ID:fV8gxwyE
>>729
法解釈ごっこしたいならhttp://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
くらい読んどくといいです。

750 :名無しさん@4周年:04/02/07 13:45 ID:4pBjx+t2
>>744
警視庁→有罪
モナー

751 :名無しさん@4周年:04/02/07 13:45 ID:+Wx7XIhp
>>745
そう思うならサービス受ける前に検証させるよう要求するとか、きちんとシステム監査を
下会社を選ぶとか、ユーザー側の認識の問題も大きい。

大体今回話題になってる登場人物って、みんなセキュリティ業界をダメにしている
戦犯連中だし。

752 :名無しさん@4周年:04/02/07 13:46 ID:7VDnR7V7
>>749
何であなたに煽られてるかも、あなたが何に切れているのかも、
あなたが何に反論しようとしているかも、

  全く分からないんですが?

釣り?

753 :名無しさん@4周年:04/02/07 13:46 ID:33xwVikt
>>741
今回のケースで識別符号を問題にしているやつは論外。
警察や検察が言ってきそうな論旨で責めてくるように。

754 :名無しさん@4周年:04/02/07 13:47 ID:StDmSd4c
>>751
>大体今回話題になってる登場人物って、みんなセキュリティ業界をダメにしている戦犯連中だし。
ワロタ
同意。ダメにしている連中ばかり絡んでるね。今回。

755 :名無しさん@4周年:04/02/07 13:48 ID:+Wx7XIhp
>>749
立花書房の逐条解説と現代刑事法のバックナンバーモナー。

756 :名無しさん@4周年:04/02/07 13:49 ID:fV8gxwyE
>>752
設置者を罰するなどという不可能な意見でスレかき回すな。

757 :名無しさん@4周年:04/02/07 13:49 ID:TV0zAI+7
>>734
そう?会社のセキュ担当は結構憂慮してる。
モラトリアム無視の事もあるが、そもそも不正アクセス禁止法は管理者を罰するものじゃなく、
非常に管理者側に有利な法律。
判決理由にもよるが、今回の件で適用されたら事業者や管理者側のモラルハザードに繋がりかねないって。
「自分の身は自分で守る」が原則の人間ならではなのかもしれないが。

758 :東北人:04/02/07 13:50 ID:EUotqlAy
どう考えても>>713が結論だろ。つかほんとヲタクって

ロ  グ  な  事  し  な  い  な  w




759 :名無しさん@4周年:04/02/07 13:50 ID:7VDnR7V7
>>756
そんなこと一言も言ってな〜い(泣

逆だ逆。全く逆だって。ID検索してくれ(泣

760 :名無しさん@4周年:04/02/07 13:52 ID:vurMG0vJ
>>751
>そう思うならサービス受ける前に検証させるよう要求するとか

威力業務妨害だとか言われたりしてな(w


>ユーザー側の認識の問題も大きい。

うん、そう思うよ。
だから今回の件は徹底して法廷でやってくれたほうがいいと思うし、セキュリティ関係者も積極的にアクションを起こしたほうがいいかもしれないね
だから誰が有罪か無罪か?というのを違う側面から話し合うこと自体は無駄ではないなあと思ってる

761 :名無しさん@4周年:04/02/07 13:52 ID:Rmpy7VAF
なんだか小難しいスレですね。

762 :名無しさん@4周年:04/02/07 13:52 ID:4pBjx+t2
>>748
>「等」って言葉の意味分かる?
立花書房(ホムペ見ると警察官僚の天下り先だな)の営業は放置するとしても、法律は無料で公開されてるんだから条文くらい嫁。



763 :名無しさん@4周年:04/02/07 13:54 ID:fV8gxwyE
>>759 スマソ

764 :名無しさん@4周年:04/02/07 13:54 ID:StDmSd4c
条文嫁厨は釣りってことで。

765 :名無しさん@4周年:04/02/07 13:55 ID:7VDnR7V7
>>763
いきなり煽られてマジ焦ったよ。

766 :名無しさん@4周年:04/02/07 13:57 ID:HO4WqEhA
            _,,,,,,,,,,,,_
         , :'"´ _... --、 `゙丶、
        / _.. - ''    ..:  .:.::ヽ   ===
       /:, '       ` 、  .:.:::::',    ======
      i:'       __   .. ` 、.. .:.:::',
      !    ,,:='''´    : .  : .:.:::::,!_  この絵いいねー もらっとく  吹男
 \    !,,:=、    _,,,,,_,   :  ` 、r',r ヽ
   \  ! _.. ;   ´ ̄    : .   ! iヽ :|  =====
    \ l'´- /   -、       :  ! ー 'ノ ====
      \ r_  r=ノ    . :    :r-ィ'
      ヽ\ __............  :      ! l   ======   (´⌒
        ', ,\___,,.--‐'´  .   :,' |      (´⌒;;(´⌒;;
        ヽ 、 ̄,,.. ''´   :   .:/  !、    (´;;⌒  (´⌒;; ズザザザ
         ',  ̄    . :  , :'": :  ト、\    (´⌒; (´⌒;;;


767 :名無しさん@4周年:04/02/07 13:59 ID:+Wx7XIhp
>>762
これを営業というならとりあえず法解釈云々講釈垂れない方が良いと思うが。
特別法の法解釈に於いて法案起案した人間が書いた解説読まないで解釈云々
言ってもただのアホなんだけどね。

不正アクセス禁止法は警察庁が提案した法律だというのを忘れてる連中大杉。
これが経産省提案だったら第一法規あたりから逐条解説出てるんだろうが。

768 :名無しさん@4周年:04/02/07 14:01 ID:4pBjx+t2
>>749
>法解釈ごっこしたいならhttp://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
これいい。
どうせ(書いたのは同一人物で原稿を使いまわしするだけだろうから)立花書房の本も同じ内容だろうし。
でも、立花書房の本は警察署が多数購入し、著者の警察官僚には多額の印税が支払われる仕組みと思われ。
誰か内容比較してくれない?
ほとんど同一の場合、著作権をもたない警察官僚に印税という名目で贈賄(本の購入の職務権限を持つ)が行われていることになるから。


769 :名無しさん@4周年:04/02/07 14:03 ID:StDmSd4c
スレと関係ないんだけどさ、俺「釣り」とか「釣り師」っていうのは、

 釣り師 ↓     .
           /| ←竿
     ○  /  |
.    (Vヽ/    |
    <>     |
゙'"''"''':'';;':,':;.:.,.,__|_________
             |
  餌(疑似餌)→.§ >゚++< 〜
                 の組み合わせだと思ってたんだけど、

最近自称釣り師がダイレクトで自分の本音を攻撃されて「釣れた!」とか
言ってるの多いよね。
 これは、どっちかというと、



          ,〜〜〜〜〜〜 、
|\     ( 釣れたよ〜・・・)
|  \    `〜〜〜v〜〜〜´
し   \
゙'゙""''':'';;':,':;.:.,.,  ヽ○ノ
          ~~~~~|~~~~~~~ ̄ ̄ ̄ ̄ ̄ ̄ ̄
                 ト>゚++<
              ノ)

かと思うんだけど、どうよ?

770 :名無しさん@4周年:04/02/07 14:07 ID:4pBjx+t2
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
って警察の公式見解だから、立花書房に私人としての警察官僚が書いた原稿なんか読まなくてもいいよな。
で、それによると、アクセス制御機能とは、
:「特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いて
:アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)
:の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号で
:はなかった場合には利用を拒否するコンピュータの機能をいいます。
とあるから、今回の件とは無関係じゃん。


771 :名無しさん@4周年:04/02/07 14:09 ID:uBp3v6ZJ
>弁護側の主張は「バクではなくて仕様」。

作ったヤツが「仕様」といわない限りこの主張は無理だろうし、これが
仕様だったと証言するということは100%ありえねぇ。

772 :名無しさん@4周年:04/02/07 14:13 ID:vurMG0vJ
>>771
>作ったヤツが「仕様」といわない限りこの主張は無理だろうし、これが
>仕様だったと証言するということは100%ありえねぇ。

まあ、そうだろうね〜
でも脆弱性があることを認識していて新しいスクリプトを作っておいてユーザーに対して説明してない状況はかなり部が悪いだろうな
仕様とは言わないまでも「そういう動きをするプログラムである」という認識はあったわけだろうから

773 :名無しさん@4周年:04/02/07 14:14 ID:StDmSd4c
>>770
ダメじゃん。
telnetをhttpで回避してるし。
オヒスもそういう回避の認識があったからこそセキュリティホールとしてACCSに通告してるわけだし。

774 :名無しさん@4周年:04/02/07 14:17 ID:StDmSd4c
>>770
閲覧が可能なのは鯖管理者のみで、閲覧には管理者としての識別符号と認証が必要のはずなんだけど。
ところがwebのバグを突くとその識別符号入力と認証を回避できちゃう。

775 :名無しさん@4周年:04/02/07 14:25 ID:fV8gxwyE
>>770
phfがまだ生きているとしよう。
これを使って/etc/passwdを抜くのは不正アクセス禁止法に抵触するのはあきらか。
つーか、こういう行為も罰するために作られている。
この点で争うなら仕様か否かが争点になるが、これはoffice不利。

776 :名無しさん@4周年:04/02/07 14:33 ID:4pBjx+t2
>>773
>telnetをhttpで回避してるし。
意味不明のカキコだが、あえて解釈すると、
telnetというツールでhttpたたけるという話を、telnetというプロトコルのユーザー認証をhttpで回避してると勘違いしたということ?
んな回避してねーよ。
この理解度、リア厨というよりリア警だろ、藻前。


777 :名無しさん@4周年:04/02/07 14:35 ID:StDmSd4c
>>775
phfなんて懐かしい・・・
最近の人はそんなに知らないはず。
phf.cgiがいつの間にか「ゴルァ。記録したからな!」になったときはワロタ


778 :名無しさん@4周年:04/02/07 14:39 ID:/gjPwapI
>>775
/etc/passwd を抜いたって、それを持ちいて不正アクセスを実行するか、
もしくは別の誰かに不正アクセスをできるように情報提供しなければ
不正アクセスじゃないよ。

779 :名無しさん@4周年:04/02/07 14:41 ID:StDmSd4c
>>776
いや。マジphfと同じケースだよ。
>>776の書き込みの内容を理解するのにずいぶん苦労したが、>>776は完全に勘違いしてるよ。
/usr/bin/telnetでhttpを直接手で打ち込んでhttpdと通信する話じゃなくて、
計算機がファイルアクセスサービスとして提供してるtelnetサービスの話だよ。
分かる?
計算機がファイルアクセスサービスとして、認証機構を備えたtelnetサービスを提供していて
通常、管理者だけが閲覧できるファイルはその認証をクリアしないといけないのに、
cgiのバグを突いてhttpでアクセスするとその認証を回避できるということ。


780 :名無しさん@4周年:04/02/07 14:41 ID:+ud/Nm+M
>>758
東北人だから「ログ」なの?

781 :名無しさん@4周年:04/02/07 14:42 ID:4pBjx+t2
>閲覧が可能なのは鯖管理者のみで、閲覧には管理者としての識別符号と認証が必要のはずなんだけど。
いろんな報道総合すると、これが警視庁の論理っぽいな。情けないことに。
ログインしての閲覧が可能なのは正規の利用者等のみで、ログインしての閲覧には利用者としての識別符号と認証が必要のはずというならわからないでもない。
これは鯖上のほとんど全てのファイルにあてはまる。
>ところがwebのバグを突くとその識別符号入力と認証を回避できちゃう。
そりゃログインとは別の話。
webを使うとログインしないで鯖上の多くのファイルがみられるが、これでログインのアクセス制御機構を回避といわれたら、webユーザは全員有罪。
今回は「多くの」が「全ての」になっただけで、ログインの(webも)アクセス制御機構の回避はないよ。


782 :名無しさん@4周年:04/02/07 14:42 ID:2bIotKLO
お外でお着替えしてるバカな芸能人がいて激写されて写真週刊誌で公表されて
それに激怒したバカな芸能人が訴えを起こした。

この場合、民事で扱う問題、刑事事件で扱う問題ではない!!

しかし、この事件は刑事事件として扱われていることに問題がある。

783 :名無しさん@4周年:04/02/07 14:42 ID:fV8gxwyE
>>778
じゃpasswdじゃ無くて、それ単体で換金できる重要なファイルでもいいよ。
これは犯罪だろう。

784 :名無しさん@4周年:04/02/07 14:44 ID:+ud/Nm+M
>>779
telnetはファイルアクセスサービスなのですか?
初めて知りました。

785 :名無しさん@4周年:04/02/07 14:45 ID:4pBjx+t2
>>779
リア厨だかリア警だかしらんけど、いいかげん勘弁してくれよ。
>計算機がファイルアクセスサービスとして提供してるtelnetサービスの話だよ。
ファイルアクセスサービスってftpのことをtelnetと勘違いしたのか?
だからとして、それがどうした?


786 :名無しさん@4周年:04/02/07 14:46 ID:ITWf1M9a
ついに47氏タイーホですか

787 :名無しさん@4周年:04/02/07 14:46 ID:StDmSd4c
>>781
違うって。
だから公開情報か明らかな非公開情報かってことも考慮しなきゃ。
で、webサービスだけ盲目的に狭い視野で見るんじゃなくて、
その計算機が保持しているファイルとその公開とアクセス制御っていう広い視野で見る
必要がある。
そうでなければphfは不正アクセス禁止法で取り締まれない。

788 :名無しさん@4周年:04/02/07 14:48 ID:StDmSd4c
>>785
えーっと。釣り?
telnetじゃなくてsshでもいいよ。

789 :名無しさん@4周年:04/02/07 14:48 ID:3J8R5u48
つまり、
・おひすはtelnetやftpを利用する事を考えたがあえて回避したはず
・おひすはtelnetやftpの代替手段としてcgiコールを考えたはず
・$home/cgi-data/というパスのファイルは「本来」利用者に提供されたものでは無いはず
ここらへんがはっきりしないとftpやtelnetのアクセス制御機能を逃れたとは言えないと思うんだけど。

790 :名無しさん@4周年:04/02/07 14:51 ID:SdhyEyWg
じゃあ、リンクさえはらなきゃ無修正画像おいといてもOKか?

791 :名無しさん@4周年:04/02/07 14:51 ID:vurMG0vJ
>>782

どっちかというとよゐこ濱口が1万円貧乏生活してて最後に入る透明な部屋みたいなとこにACCSの情報があったというイメージだなあ(w


>>783

それがindex.htmlに置いてあったら犯罪でもなんでもないわけだしなあ

792 :名無しさん@4周年:04/02/07 14:51 ID:9ufYfBGX
「アクセス制御」が存在したか?
について考えてみると、今回使用されたCGIは(普通は)HTTP通して使用する
ことが想定されるから、「アクセス制御」もHTTP通して制御されてるかどうか、
もっと言えばCGI自身に「アクセス制御」と呼べるものがあったかどうかで
判断すべきじゃないのかな。
「ファイルシステムが(利用者が知る由も無くまったく意識していないアカウントによって)
提供するアクセス制御をCGIのバグが回避した」なんて屁理屈を正論にしてる人が居たけど、
それでは同様の被害が出てもすべて「実はアクセス制御してました」で
まかり通ってしまうことになる。
不正アクセス禁止法を拡大解釈することで、そんなサーバ管理が許されるのは嫌だな。
利用者がサーバ管理側に期待している「アクセス制御」の姿からはほど遠いよ。

今回の場合はサーバ管理者が設置した「アクセス制御」されてないCGIを使用したのだから、
CGIのバグを突いたとしても、法律上は不正アクセスとは言えないんじゃないでしょうか。
勝手に個人情報公開した時点でoffice氏は有罪でないと困るが、不正アクセスとは
違うと思う。
また個人情報が流出した被害を考えると、こんなBUGを放置したサーバ管理側の
責任も重大でしょう。

793 :名無しさん@4周年:04/02/07 14:53 ID:2bIotKLO
何処のサイトで起きた問題かで社団法人に対してこの様な不正アクセスが行われた
から罪として問われてる感がある。

これがもし、個人のサイトで行われた問題であれば、その個人の管理責任と言う事で
罪には問われなかったと思う。

794 :名無しさん@4周年:04/02/07 14:53 ID:vurMG0vJ
おお、画期的な方法を思いついたぞ

データファイルに著作権を明記しとけば良かったんだよ(w>ACCS
そうすればお得意のジャンルで訴訟起こせたのにな

795 :名無しさん@4周年:04/02/07 14:54 ID:+ud/Nm+M
telnetやsshがファイルアクセスサービスなのか〜
知らなかったなあ。


796 :名無しさん@4周年:04/02/07 14:54 ID:StDmSd4c
>>779
いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
揚げ足取りっていうか、変な突っ込み多いなぁ。
ファイルアクセス=ftpとか思ってるリア厨かなぁ。
man touchしてみたことある?

なんか必死に今回の件がwebがらみだからってwebに固執する人がいるけど、
条文でも常識でも、個人情報ファイルをwebで不特定多数に見せるためだけに置いておいた
とは解釈されないと思うよ。

797 :名無しさん@4周年:04/02/07 14:55 ID:tDV8snTj
質問。2ちゃんのread.cgiのパラメータ
news5.2ch.net/test/read.cgi「/newsplus/XXXXXXXXXX/」
をかってに書き換えるのは違法でつか?


798 :名無しさん@4周年:04/02/07 14:56 ID:3Um8evJd
>>789
同意。おそらく有罪になるとは思うが、そのtelnet云々の論調は変。
全部意図してませんで終わりじゃないかな。
と思ったんだけど、そもそもこの法律は「知らないうちに不正アクセスしてるかもよ」
って部分が成立当初問題になったよね。
それ考えると当てはまるのか?という気も。

799 :名無しさん@4周年:04/02/07 14:57 ID:y74y5PGo
>>794
ダウソ自体は個人利用のためのコピーだからおっけーだが、参加者に見せたからな。

800 :名無しさん@4周年:04/02/07 15:01 ID:+ud/Nm+M
>>796
> いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
> 揚げ足取りっていうか、変な突っ込み多いなぁ。
> ファイルアクセス=ftpとか思ってるリア厨かなぁ。

うわー、すごい理屈。その理屈だと、read/writeを使ったソフトウェアはみな
ファイルアクセスサービスになるね。初めてきいたなあ。

> man touchしてみたことある?

何を言いたいのかわからんが?
change file access and modification times の説明を勘違いしてる?

801 :名無しさん@4周年:04/02/07 15:01 ID:StDmSd4c
>>789
>・おひすはtelnetやftpを利用する事を考えたがあえて回避したはず
>・おひすはtelnetやftpの代替手段としてcgiコールを考えたはず
>・$home/cgi-data/というパスのファイルは「本来」利用者に提供されたものでは無いはず
ちょっと違う。
・おひすはそもそもwebでは非公開で(telnetやftpなどの認証をクリアした人しか見れないはずの)情報を見ようとした犯意があったか
が重要。telnetやftpとか具体的なものに対応付けしたらrshやscpなどキリがない。
需要なのは「別サービスの認証をクリアした人じゃなきゃ見れないはず」を認識してcgiのバグを突いたかどうか。

802 :名無しさん@4周年:04/02/07 15:04 ID:wRnnDVFu
個人情報保護法案で、マスコミを制限するような法律作るより

こういう個人情報を漏らす鯖管みたいな香具師を裁く法律作れよ


803 :名無しさん@4周年:04/02/07 15:06 ID:StDmSd4c
>>800
うー。リア厨。ウゼー。必死なのは分かったよ。
chage file access timeって書いてあるよね?
telnetおよびshell、(さらに明示的にはtouchコマンド)でfile access timeが変更できるのに、
まだ、telnetはファイルアクセス機能を提供してないと言うか?

804 :名無しさん@4周年:04/02/07 15:07 ID:p97ftOpX
>>802
個人情報保護法はマスコミが騒いでいるからマスコミ制限すると思われているけど
実際はまともに守ろうとしたら鯖管だけではなくそれを扱う企業にかなりの負担を
強いる法ですよ。
一回、まともに条文を読んだ事ある?

ただし、罰則がないけどねw



805 :-1:04/02/07 15:09 ID:mXcgBl23
Q 『今回の件は、不正アクセス禁止法 条文3-2-2に問えますか?』

A  以下を参照してください。

第三条
 何人も、不正アクセス行為をしてはならない。
    『では、不正アクセスとは何なのでしょうか?以下の定義を見ていきましょう』

2 前項に規定する不正アクセス行為とは、次の各号の一に該当する行為をいう。

一 (省略) 『これは今回の件と無関係な項です』



 アクセス制御機能を有する特定電子計算機に

    『結論から言えば、当該CGI(Common Gateway Interface。サーバ上で動くプログラム)に
    アクセス制御機能はありませんでした。
     当該時刻、当該CGIは「アクセス制御機能を利用する必要なしに」、HTTP通信規約に
    則ったPOST要求をURL(WEB上のリソース住所)と引数によって行うことでファイルシステム上の
    任意の情報を表示させるものでした』

806 :名無しさん@4周年:04/02/07 15:10 ID:StDmSd4c
chage→change。ただの打ち間違い。
不本意にもこんなので釣れちゃうとウゼェ。それはかんべん。
120秒内に反応されちゃうのかなぁ・・・・・

807 :名無しさん@4周年:04/02/07 15:12 ID:y74y5PGo
>>802
作れよ、つっても業者側の抵抗が強いから無理。現に不正アクセス禁止法には罰則規定ないわけだし。

情けないことに、個人情報ダダ漏れ起こすと2chで晒されるという事が一番の抑止効果になっている。
officeには是非、最高裁まで頑張って欲しいと思う。将来の利用者としての正当防衛とか主張できないかね。

808 :名無しさん@4周年:04/02/07 15:12 ID:2bIotKLO
まあ、おひすは夜の公園でxxxxしてるアベックの激写専門のカメラマンでその
どの様に激写するかの公演も開催してたお坊ちゃま

で、ある時、その公園で思わぬ大物政治家の不倫現場を目撃してしまった。
それをネタに公演で大ハッウル!!
怒った政治家は警察に圧力をかけてお坊ちゃまを逮捕、めでたしめでたし。

809 :-2:04/02/07 15:14 ID:mXcgBl23
 電気通信回線を通じて

    『RFC(インターネット関連技術の標準を勧告したもの)には伝書鳩によるIP通信規約が
    規定されています。今となっては全くの時代遅れとなった感が否めない項です。
     電気通信回線を解さない(法的には罪に問えない)攻撃手法についての早急な
    法整備が望まれます』

 当該アクセス制御機能による特定利用の制限を免れることができる情報

 (識別符号であるものを除く。)

    『識別符号=パスワードと解釈していいでしょう。このように、パスワードを送る行為自体は
    禁止されていません』

 又は指令を入力して当該特定電子計算機を作動させ、
 その制限されている特定利用をし得る状態にさせる行為

    これに該当するものとして、バッファオーバーフロー脆弱性を利用した攻撃
    (プログラムにより確保された記憶領域を超える情報を送り、処理装置が実行する
    (ほぼ)最小単位の処理に介入し、任意の処理を行わせるという攻撃)のため
    異常パケット情報を送信する行為等があります。


810 :名無しさん@4周年:04/02/07 15:14 ID:409wK2wg
>>804
それでもね〜
ろくに管理されてないサーバから漏れた個人情報が元で何百万円も借金される
ような事があったら、1〜2万円の損害賠償じゃ気が済まないですよ。

811 :名無しさん@4周年:04/02/07 15:15 ID:+ud/Nm+M
>>803
> うー。リア厨。ウゼー。必死なのは分かったよ。

リア厨は誰だろうねえ。

> chage file access timeって書いてあるよね?

chageってなんだよ、というのは置いておいて。

> telnetおよびshell、(さらに明示的にはtouchコマンド)でfile access timeが変更できるのに、

telnetにはその機能はないんだけどな。touchに拘っているようだけど、shell
にもtouchの機能はない。shellのコマンドラインからtouchという「外部プロ
グラム」を呼び出すことができるだけ。

> まだ、telnetはファイルアクセス機能を提供してないと言うか?

はい。当然です。面白すぎるよ。


812 :-3:04/02/07 15:16 ID:mXcgBl23
    今回は当該CGIに渡す引数の変更がこれに該当する可能性がありますが、後述する通り
    問題とするべきアクセス制御機能自体が存在しないというのが私の見解です。

    office氏の行為を具体的な事例を挙げて検証すると、
     0. 当該CGIにアクセス - これは来訪者の自由です。
     1. HTMLをPC上に保存 - 主要なWEBブラウザが自動的に行っていることです。
     2. HTMLの情報を改変 -  公開情報の個人利用目的での改変はもちろん合法です。
     3. HTMLを利用して情報を送信、結果を取得。
       -  この情報送信はHTTP(Hyper Text Transport Protocolの略。
        当初はWEB上でHTML文書を公開するための通信規約だったが、
        現在はWEB上で任意のリソースを公開するための通信規約標準となっている)
        に則ったPOST要求(比較的長い引数を含む投函要求、及び、それに付随する
        返信情報の取得要求)の発行です。

       - HTTPでのPOST要求はURLと、引数を要求します。URLについては利用者にとって
        公知であり。また引数について当該CGI設置経験者にとって公知でした。

813 :名無しさん@4周年:04/02/07 15:17 ID:bBR0Rgjn
>>783
クレジット番号のようなデータも行使しないで盗んだだけでは
犯罪にならない。その情報を行使するというのがポイントだよ。

814 :名無しさん@4周年:04/02/07 15:17 ID:StDmSd4c
>>811
じゃ、telnetがそもそも外部コマンドであるshellを起動しないとすると、
telnetは何をサービスするためにあるの?
そもそもshellを起動した時点でshellコマンドの実体ファイルに
アクセスしているのだが・・・

815 :名無しさん@4周年:04/02/07 15:17 ID:y74y5PGo
>>796>>779を煽ったのが混乱の原因だと思う。>>796は反省汁

816 :名無しさん@4周年:04/02/07 15:20 ID:StDmSd4c
>>811
もう揚げ足取りに対応するのはイヤなので、telnetじゃなくscpの認証を回避と読み変えてください。

817 :名無しさん@4周年:04/02/07 15:20 ID:+ud/Nm+M
>>814
釣り師?
それじゃさ、ファイルアクセスをしないネットワークサービスの例を挙げて。


818 :-4:04/02/07 15:21 ID:mXcgBl23
       - POST要求の利用にはWEBブラウザを利用する方法が一般的ですが、HTTPはあくまで
        通信規約であるため、ソフトウェア的な制約は一切存在せず、ユーザはWEBを利用する
        ための手段を自由に選択できます。
         例えば、telnetと呼ばれる自由度の最も高いプログラムは、WEBブラウザの行う
        要求を完全に模倣することができます。
         したがって通信障害等を無視すれば、『アクセス制御機能が存在しない限り』
        全ての利用者がURL(WEB上のリソースの住所)によって要求したリソースを取得する
        ことができます。

       - 今回の件で当該URLからリソースが取得できたということは、そのURLに対する
        『アクセス制御が存在しなかった』ということに他なりません。

     4. 結果をもとに2に戻り、目的の情報を取得できる状態になるまで繰り返す。
       - 当然ですが、繰り返すこと自体には何ら違法性はありません。
        今回の場合、繰り返す回数は数回から十数回で十分であり、計算機への負荷により
        業務に影響を与えた可能性も全くありません』

 (当該アクセス制御機能を付加したアクセス管理者がするもの
 及び当該アクセス管理者の承諾を得てするものを除く。次号において同じ。)

三 (省略) 『これも今回の件と無関係な項です』

819 :名無しさん@4周年:04/02/07 15:23 ID:StDmSd4c
>>817
なんかどっち側の意見なのか良くわからないけど。
echo serviceは?
ntpとか。

820 :-5:04/02/07 15:24 ID:mXcgBl23
【結論】

1. 当該CGIにおける『アクセス制御機能』の欠如
2. (管理者の認識に基づく)不正アクセスを『し得る状態にさせる行為』は
  利用者ではなく、『アクセス制御機能』の欠如対策を行わなかった管理者によって
  間接的に行われた。

上記の理由により、office氏を不正アクセス禁止法3-2-2に問うことは極めて難しいと思われます。

821 :名無しさん@4周年:04/02/07 15:29 ID:+Wx7XIhp
頼むから法律板でこの件に関してのスレが建たない理由考えようや>厨ども

822 :785:04/02/07 15:30 ID:4pBjx+t2
>>796
>いや、shellはファイルアクセス(read, write)機能をサービス(提供)するでしょ?
うわー。しばらく席はずしてる間に悲惨なことんなってるな。
ま、シェルのリダイレクションをファイルアクセスというならそうだが、telnetとは無関係だし、そもそも不正アクセス禁止法が禁止してるのはファイルアクセスではないぞ。


823 :名無しさん@4周年:04/02/07 15:31 ID:StDmSd4c
>>820
そんな結論が出たら、日本中のスクリプト厨がphfや今回の件みたいな、
そもそもユーザ認証は無関係なcgiなんだけどバグっててファイルが見放題
ってのをひたすら試しまくってしまってウザいことこの上ないし、
そういう厨房が無罪放免ということになったらシャレにならない被害が出そう。


824 :名無しさん@4周年:04/02/07 15:34 ID:a+SiXva0
・CGIに限らず、計算機総体ではtelnet,ftp等のプロトコルに符号識別アクセス制限機構がある。
・今回利用したのはCGIであり、他のプロトコルは問題にならない。
どうなんでしょうねえ。

825 :名無しさん@4周年:04/02/07 15:34 ID:StDmSd4c
>>822
面倒なので、scpって読み替えて。

826 :名無しさん@4周年:04/02/07 15:34 ID:mXcgBl23
>>823
法人がユーザ認証は無関係なcgiなんだけどバグっててファイルが見放題
ってのをひたすら隠しまくって利用者が危険なことこの上ないし、
そういう法人が訴訟天国ということになったらシャレにならない被害が出そう。


827 :名無しさん@4周年:04/02/07 15:36 ID:3x/f3qN2
>>823
彼は無罪とまでは言ってないんじゃ、
不正アクセス禁止法3-2-2に問うことは極めて難しいけれども、
個人情報を流出させた件ではサーバ管理者ともども有罪ってところでしょう。

828 :名無しさん@4周年:04/02/07 15:37 ID:PntqH25i
今日の擁護派ダウソ厨は4pBjx+t2ですか?

829 :名無しさん@4周年:04/02/07 15:38 ID:StDmSd4c
>>826
ACCSや鯖屋が裁かれないからといってoffice=白というわけではない。
ACCSも鯖屋もofficeも全員裁かれるべきなんだよね。
全員白ってのが一番酷い。

とりあえずofficeは黒ってことで、その後ゆっくりACCSと鯖屋も黒にするべく努力してほしい。

830 :名無しさん@4周年:04/02/07 15:39 ID:PntqH25i
>>826
訴訟?
誰が誰をどんな内容で?
実際に行われてるの?ん?

831 :名無しさん@4周年:04/02/07 15:39 ID:2bIotKLO
インタープリター言語???の時代が終わりつつある今日このごろ・・・

832 :785:04/02/07 15:40 ID:4pBjx+t2
>>801
>・おひすはそもそもwebでは非公開で(telnetやftpなどの認証をクリアした人しか見れないはずの)情報を見ようとした犯意があったか
>が重要。telnetやftpとか具体的なものに対応付けしたらrshやscpなどキリがない。
は、いいとして。
>需要なのは「別サービスの認証をクリアした人じゃなきゃ見れないはず」を認識してcgiのバグを突いたかどうか。
全然違うだろ。webで見える以上別サービスは無関係。
普通のwebファイルは、http以外の方法では「別サービスの認証をクリアした人じゃなきゃ見れないはず」だ。
2チャンのこの掲示板自体もそうだ。
webでなんの認証もなく見えるファイルをwebで見るのは回避じゃないんだよ。

833 :名無しさん@4周年:04/02/07 15:41 ID:StDmSd4c
>>832
じゃ、世界中のweb鯖にphf.cgiで/etc/passwd試してきてください。

834 :名無しさん@4周年:04/02/07 15:42 ID:nHflVB7t
不正アクセス禁止法3-2-2は今の容疑者には適用不能。
むしろCGIを設置した業者の責任追及に使うことができそうってことでFAにしとけ。

835 :名無しさん@4周年:04/02/07 15:43 ID:PntqH25i
>>832
おまえhttpで見れるなら全部公開情報って言ってなかったっけ?
何で今頃認証がどうとかいってんだよw
弱www

836 :785:04/02/07 15:44 ID:4pBjx+t2
>>825
ftpでもscpでもtelnetでもなんでもいいが、785みれ。

837 :ID:+ud/Nm+MID:+ud/Nm+M:04/02/07 15:45 ID:7vs2KiPG
>>814
別にshellじゃなくてもいいんだぜ?
実体ファイルにアクセスしてるからファイルアクセスサービスというのなら、
なんでもかんでもファイルアクセスサービスと見做せるな。

>>816
あげあしと認めるわけだ。自説を通すために電波を飛ばしてはいけませんなあ。

>>818
echo も、例えば、FreeBSDの場合、IPFIREWALLを設定しておけばログに残るが、
それもファイルアクセスサービスか? ntpもntp.driftというファイルにアク
セスしているがどうなんだ。つまり、君の理屈では、
全てネットワークサービスは、ファイルアクセスサービスということになる。

#投稿制限してるのかよ。まったく。

838 :名無しさん@4周年:04/02/07 15:46 ID:StDmSd4c
4pBjx+t2はAD2002に行ってオヒスの真似しちゃった人?
だとしたら必死に回避してないとか言うのも頷ける。
がんばれよ。

839 :名無しさん@4周年:04/02/07 15:46 ID:+aFWfuIH
つまりスクリプトのセキュリティホールを突くのは無問題ってことか

よーし、パパ明日からいろいろのぞきまくっちゃうぞ
世の中にはアフォなCGIいっぱいあるからな

840 :名無しさん@4周年:04/02/07 15:48 ID:NxQ9AZXp
分かりやすく家に例えると
玄関に鍵かけたけど窓が開いてたってことでしょ?
管理責任だと思うけどなー

841 :ID:+ud/Nm+M:04/02/07 15:49 ID:7vs2KiPG
>>840
まさにそれだ。

842 :名無しさん@4周年:04/02/07 15:50 ID:Hb7DiAmb
>>832
技術的にどうなっていようとも、
サービスの管理側の意図を外れたアクセスをした時点で、回避行為。

843 :名無しさん@4周年:04/02/07 15:50 ID:StDmSd4c
>>837
それは極論だけどそう思うんだったらそう思えばいいよ。
実装依存だけど組み込みシステムとかdisklessシステムとかいきなり排除して都合の良い方向に持っていくだけだし。

とりあえず今は面倒なのでscpとftpってことで良い?

844 :名無しさん@4周年:04/02/07 15:51 ID:PntqH25i
>>840
技術がわかっている人間はたとえ話などしません。
わかんないくせに関わりたい馬鹿な素人だけが
自分の意見をふんだんに盛り込んでたとえ話を使うのです(プププ

845 :名無しさん@4周年:04/02/07 15:51 ID:pBg0sKaY
http://711.hito.thebbs.jp/hito/11/00007/gag.jpg

846 :ID:+ud/Nm+M:04/02/07 15:51 ID:7vs2KiPG
>>842
サービス管理側の意図かどうか、どうやってわかるのかね?

847 :名無しさん@4周年:04/02/07 15:53 ID:StDmSd4c
まぁオヒスが無罪だと思う人は、バグってるcgi突いて個人情報ガンガンゲットしてみてください。
もうやっちゃった人もいるみたいだけど。

848 :名無しさん@4周年:04/02/07 15:53 ID:mXcgBl23
>>842
>サービスの管理側の意図

法廷ではこんな不明瞭で捻じ曲げられた主張は争いませんw

849 :名無しさん@4周年:04/02/07 15:54 ID:Hb7DiAmb
>>846
知りたければ意図を管理してる連中に聞け。


850 :名無しさん@4周年:04/02/07 15:54 ID:PntqH25i
>>846
そういうことは様々な資料と証言によって法廷で判断されるの。
「そもそも意図なんか関係ない」とか言って逃げておいたほうがいいよ(ワラ

851 :名無しさん@4周年:04/02/07 15:55 ID:cVsE+Dcn
>>840
窓が開いていても、他人の家に入ってはいけない。
こういうと「入ってない見ただけ」とでもいうんだろう。つまらん例え話はヤメレ。

852 :名無しさん@4周年:04/02/07 15:56 ID:StDmSd4c
ところで、このスレに本当に次に頭に上着被りそうな人がいたら
是非
「もうだめぽりすがスティングになっちゃう」
と最後に言い残して「もうだめぽ」の「ぽ」を明らかにしてから消えて欲すぃ。

853 :ID:+ud/Nm+M:04/02/07 15:57 ID:7vs2KiPG
>>843
> とりあえず今は面倒なのでscpとftpってことで良い?

なにが?

854 :名無しさん@4周年:04/02/07 15:58 ID:PntqH25i
そもそも意図は無視できても客観性は無視できないんだよね。
技術的にどうこうではなく、該当CGIがどのような機能を提供していたかどうか。
擁護派ダウソ厨は該当CGIが任意のファイルを表示する機能を提供していたと
客観的に判断しているようだけどw

855 :名無しさん@4周年:04/02/07 15:59 ID:HuZ+wPTS
>>851
その家が下宿屋で、管理人が下宿人から預かった財布を(あろう事か)
窓のサッシに並べて置いていたとしたら?
財布持っていく奴は泥棒だが、管理人の責任も大きいよね。

856 :名無しさん@4周年:04/02/07 16:02 ID:PntqH25i
>>855
そりゃそんなことしたら下宿屋の責任も大きいよ。

で、そのたとえ話今回の件と関係あるの?

ダ ウ ソ 厨 必 死 だ な ( w


857 :名無しさん@4周年:04/02/07 16:02 ID:4pBjx+t2
>技術的にどうこうではなく、該当CGIがどのような機能を提供していたかどうか。
>擁護派ダウソ厨は該当CGIが任意のファイルを表示する機能を提供していたと
>客観的に判断しているようだけどw
客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。




858 :名無しさん@4周年:04/02/07 16:04 ID:StDmSd4c
とりあえずオヒスが無罪になるって自信がある人は、cgiのバグ突いていろんな個人情報ゲットして、
名簿屋に売るなりして稼げばいいのに。

859 :名無しさん@4周年:04/02/07 16:05 ID:PntqH25i
>>857
自分に都合のいい事実の妄想をするような
お子様レベルの子はおとなしくしていまちょうね。

860 :名無しさん@4周年:04/02/07 16:05 ID:NDUW3NRr
俺も次はツーカーにします。
auってインチキくさいからあまり好きじゃない。


861 :ID:+ud/Nm+M:04/02/07 16:07 ID:7vs2KiPG
まあ、本物の盗賊は形跡も残らないように一瞬で仕事をするわけだがね。
このおふぃすって人も、わざわざ教えてやらなくてもいいのに、お人よしだね。

862 :名無しさん@4周年:04/02/07 16:07 ID:vurMG0vJ
>>857
>客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。

それは事実誤認でしょ
開発者は知っていたしそれを回避するためのCGIを作って提供もしていたが昔のCGIのその仕様をユーザーに説明していなかったが正解
それ以前に管理者であるヨセフアンドレオンにそんな能力は無いだろ

863 :名無しさん@4周年:04/02/07 16:07 ID:qZnbTtdx
>>856
今回のサーバ管理もそれくらい責任があるといいたいだけ。
もちろん泥棒は当然有罪だよ。

864 :名無しさん@4周年:04/02/07 16:08 ID:PntqH25i
俺いちいちセキュリティーホールの不具合の詳細なんて把握してないよ。
真剣に穴の詳細を見るのはsendmailとかの激ヤバクラスのみ。
4pBjx+t2クンはどう?

865 :ID:+ud/Nm+M:04/02/07 16:10 ID:7vs2KiPG
引数チェックも無しでsystem()に渡すような三流プログラマは
世の中にはたくさんいるんだろうねえ。

866 :名無しさん@4周年:04/02/07 16:10 ID:PntqH25i
>>863
過失がいかほどかはわからないが道義的には責任の一端を負うべきですな。
でも現行法では無理なのでもうちょっと待とうよ。
まあその時には2ちゃんもつぶれる可能性が高いが。

867 :名無しさん@4周年:04/02/07 16:15 ID:PntqH25i
>>865
納期第一の世界でセキュリティを怠らないなんて、
サビ残業なくせと言うくらい難しい。
オヒスたんは行動を起こすのが10年早すぎたね。
学術系の奴らはほんと世間知らずで困るw

868 :名無しさん@4周年:04/02/07 16:15 ID:2bIotKLO
セキュリティホールを指摘したのはホントにおひすだけなんだろな、
それ以前に指摘した人は絶対にいないんだろな、
ホントに個人情報を公開してたのは知らなかったんだろな

ACCS、鯖屋、関係者で一人も知ってる人がいなかったんだろな・・・・・

869 :ID:+ud/Nm+M:04/02/07 16:17 ID:7vs2KiPG
>>867
セキュリティの重要性が認識されれば、そんなことも言ってられないだろうね。

870 :名無しさん@4周年:04/02/07 16:18 ID:cVsE+Dcn
>>857
CGI提供会社は知っていた、ACCSは知らなかった。
ACCSか運用を請け負っていたDQN会社(社名忘れた)が知りつつ放置していたなら、新事実だ。
ソース出せ。

871 :名無しさん@4周年:04/02/07 16:21 ID:33xwVikt
>>821
法律板にスレが立っているかどうかは確認してないが、立ってないなら、
そりゃ、不正アクセスにならないのが明白だからじゃ?

872 :名無しさん@4周年:04/02/07 16:22 ID:PntqH25i
>>869
「儲けにつながらない=重要ではない」これ常識。
現状では何か問題起きてもその時小銭払っておいた方がまし。

この状態を変えるのはオヒスのような偽善者ではない。
巨額の賠償金を勝ち取れるようになる法律。
オヒスは完全に先走りの無駄死にでしたねw

873 :名無しさん@4周年:04/02/07 16:26 ID:rEQlDiyN
しかしofficeも迷惑な奴だよな。
何も脆弱性を指摘しているのは彼だけではない。
表に出ないで公開している奴は少なくない。
あんな軽はずみな行動を取ってもらうと迷惑。
office擁護は過去の功績を訴えるが未来にとっては大きな損失。

874 :ID:+ud/Nm+M:04/02/07 16:26 ID:7vs2KiPG
>>872
> 巨額の賠償金を勝ち取れるようになる法律。

そのような法律ができるのは、誰かが指摘するからだろうね。
それまでは、どこかの会社が巨額の賠償金を求められて大変なことになるかもな。

875 :名無しさん@4周年:04/02/07 16:29 ID:PntqH25i
>>821
判例がないとわからない馬鹿どもだから。
>>871
明白なのに逮捕して、そのうえ凶悪犯並みのニュースでの扱いなのか。
見せしめ効果抜群だなw
>>874
指摘だけなら逮捕されなかった可能性が非常に高いのにね。
指摘だけなら他にもいろんな人がして円満解決してるのにね。
ほんとオヒスって馬鹿だなw

876 :名無しさん@4周年:04/02/07 16:30 ID:cVsE+Dcn
公益性を考えて、発見した脆弱性を2chで晒せばお咎めなしという法律作ろうぜ。

877 :ID:+ud/Nm+M:04/02/07 16:31 ID:7vs2KiPG
>>873
やりかたがちょっと迷惑というのは同意。
まあ、助手もなにか目立つことをしないと上がれないんだろうねえ。
アカポスも最近は厳しいそうだからねえ。歳も歳みたいだしね。

878 :名無しさん@4周年:04/02/07 16:31 ID:cyqGrNuN
それでも不正アクセス禁止法を逆手にとって、
「不正アクセスした人間が処罰されているんだからウチ(サーバ管理者)
には何の責任も無い」
という主張を民事でやられると、俺ら貧乏人には為すすべが無いよ。
今回の件が不正アクセスに認定されちゃ困る。

879 :名無しさん@4周年:04/02/07 16:31 ID:RQiCTXJU
まあ何があろうとSEは奴隷なわけだが

880 :名無しさん@4周年:04/02/07 16:36 ID:2bIotKLO
医療ミスの隠蔽見たくなってなって参りました。

881 :名無しさん@4周年:04/02/07 16:36 ID:+Wx7XIhp
>>821
判例がないと判らないんじゃなくて、明白だから何だけどね。
判例が乏しければ逐条解説なんか見るんだけど、それ見れば明白だし。

見せしめ逮捕なんだって話だったら逆にスレ建つ。

882 :名無しさん@4周年:04/02/07 16:37 ID:PntqH25i
>>878
主張しても責任0にはならないよ。
しかるべき法律が施行されれば。
よくあるたとえ話で考えればわかるでしょ。

なんか今回の件を無理矢理一般論に当てはめたり
妙に不安がっている人が多すぎなような。
世間知らずの坊やがタイミングとサジ加減を間違えたって
懲らしめられたってだけの話なのに。

883 :名無しさん@4周年:04/02/07 16:37 ID:6EIF0mBp

     ∧_∧∩ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
    ( ´Д`)/< 先生!作者の意図通りに動くcgiってあるんですか?
 _ / /   /   \__________________
\⊂ノ ̄ ̄ ̄ ̄\
 ||\        \
 ||\|| ̄ ̄ ̄ ̄ ̄||
 ||  || ̄ ̄ ̄ ̄ ̄||
    .||          ||

884 :名無しさん@4周年:04/02/07 16:39 ID:PntqH25i
>>881
法律家から見て明白なのに逮捕したなら大騒ぎですよw
お馬鹿さんw

明白てことにしたい素人がいるからここではスレ伸びるんだろうけど。

885 :名無しさん@4周年:04/02/07 16:43 ID:PYWdXAHS
>>882
その法律が施行されたとしても、
どんな運用されるか信用できないんだよな〜。
検察が拡大解釈出来るような余地や前例は残して欲しくない。

886 :名無しさん@4周年:04/02/07 16:43 ID:78pSyCZj
昨日のID:awdS9Wh3の人は今日はどのウンコIDですか?

887 :名無しさん@4周年:04/02/07 16:44 ID:rEQlDiyN
officeは言動にちょっとばかし問題が有るので、
海外みたいに○週間のボランティア活動とかにして、
色々と考えて問題点を改めてほしい。

888 :名無しさん@4周年:04/02/07 16:45 ID:cVsE+Dcn
>>883 CGIは作者が作ったとおりに動く事が多いです。

889 :名無しさん@4周年:04/02/07 16:45 ID:+Wx7XIhp
>>884
なんか勘違いしてない?
おひす逮捕はあたりまえなのになんで厨房はこうも騒ぐのかと言いたいだけなんだが。

890 :名無しさん@4周年:04/02/07 16:46 ID:StDmSd4c
ちなみにオヒスはACCSにpenetration testを仕掛けるけど、
自分のところにpenetration testされると「ハウス!」。

891 :名無しさん@4周年:04/02/07 16:46 ID:IauGY2TO
>>797


892 :名無しさん@4周年:04/02/07 16:48 ID:PntqH25i
>>885
本当に善意の、過去においても良識ある言動を行っていた人物が
企業とネットワークの発展を考えて
「ちょっとだけ」行き過ぎた行動を起こしたというのなら、
多くの人間がその人間を擁護するだろう。

今回はそういうのとはかけ離れすぎていてww

893 :名無しさん@4周年:04/02/07 16:50 ID:nHflVB7t
>>886
あ、それ気になるなあ。

>>889
誰もあたりまえだとは思ってないようでしてw

894 :名無しさん@4周年:04/02/07 16:52 ID:PntqH25i
>>889
すまんかった。
慣らし運転中で煽りモードになっていたので読み違えてしまいました。
なんか擁護派がいなくて悲しい。

895 :名無しさん@4周年:04/02/07 16:56 ID:rEQlDiyN
とりあえず今回に限ってはどう贔屓目に見ても善意の行動ではない。
管理側に通告する前にどこか特定可能な上にイベントで実名リストまで公開。
これは悪意の行動と取られても否定不能で自称・セキュリティ専門家として恥ずべき行為。
自分の立場も考えないでとった軽はずみな行動。
有罪・無罪関係なしに彼にとっては良いお灸になったと思う。
これで反省の色が見えなかったら人間的に脆弱。

896 :チキン野郎:04/02/07 16:59 ID:frB72U88
帰ってきたーーーーーーーーーーーー!
>>893
昨日はいろいろ教えてくれてありがとうです
やっと少しだけ分かってきたぽいです。
>>894
相変わらず馬鹿ですな

897 :チキン野郎:04/02/07 17:04 ID:frB72U88
>>870
新事実でも何でもない。

898 :チキン野郎:04/02/07 17:06 ID:frB72U88
office氏を不正アクセス禁止法で有罪にするためには
彼が「不可能を可能に変える」必要がある。
今回の件では無理。

899 :名無しさん@4周年:04/02/07 17:07 ID:PntqH25i
>>896
名付け親に偉そうにするなw
つか一番馬鹿なお前がいないから二番目に馬鹿な俺が恥かいた。もう寝る。

900 :チキン野郎:04/02/07 17:08 ID:frB72U88
はや!

901 :チキン野郎:04/02/07 17:11 ID:frB72U88
office氏の掲示板見てて思ったんだけど
管理者がいなくなったあと荒らしが入らないようにして、
それと過去ログ改竄できないようにする仕組みは必要だな


902 :名無しさん@4周年:04/02/07 17:12 ID:vurMG0vJ
>>898
>彼が「不可能を可能に変える」必要がある。

そりゃ極論すぎるだろー
そうなると不正アクセスという犯罪そのものが存在しなくなるよー

903 :チキン野郎:04/02/07 17:16 ID:frB72U88
いや、ザル法の感は否めないけど、
条文ではそうとしかならないんですよ…
第三条を見ると全項目で、不正アクセスとは
「制限されている特定利用をし得る状態にさせる行為」
とあるの。
http://www.ipa.go.jp/security/ciadr/law199908.html

904 :名無しさん@4周年:04/02/07 17:16 ID:Hb7DiAmb
たとえ可能であっても、やったら犯罪。そのように解釈して欲しいな。>不正アクセス法

905 :名無しさん@4周年:04/02/07 17:16 ID:StDmSd4c
オヒスが無罪になる自信がある人は、
どーせ似たような問題抱えてるcgiはいっぱいあるだろうし
そういうcgiから個人情報ゲットしまくって
公の場に晒しまくってみてください。

タイーホされたら記念にスレ立ててあげます。

906 :名無しさん@4周年:04/02/07 17:18 ID:vurMG0vJ
俺の感覚だとこんな感じ

制作者はofficeが行った行為をそのプログラムで行うことが可能であると把握していた
なので新しいスクリプトを作成したがそんなマヌケなプログラムを使わせていたのがバレると恥ずかしいし「じゃあ、今までデータはダダ漏れだったんだな?」とユーザーに訴訟を起こされることが怖くて黙っていた
つまり制作者はofficeが行ったことをそのプログラムで出来るという事実を認識していた
ということは制作者の意図しないバグではないということになる
つまり、それは機能

今回の件はofficeとACCSという構図で考えると面倒になる
ACCSはそのプログラムは漏れないものだという認識で利用していたわけだからね
でもofficeとファーストサーバーという構図にすると制作者が認知していた機能なので不正アクセスは成り立たせるのが難しくなる
一番わかりやすいのはACCSがファーストサーバーを民事で訴える図式なんだろうなあ

907 :チキン野郎:04/02/07 17:19 ID:frB72U88
>>904
しかしそうすると、今度はブラウザからhtmlにアクセスしただけで
管理者が意図しなかったというだけで逮捕されることになりうるのでは?
>>905
個人情報は関係ない。忘れろ。

908 :名無しさん@4周年:04/02/07 17:20 ID:StDmSd4c
>>907
じゃぁ、あからさまに企業の内部情報っぽいのでも良いです。


909 :名無しさん@4周年:04/02/07 17:21 ID:nHflVB7t
>>903
もともとし得る状態にあることをしても罰せられないのは当たり前でしょ。
それじゃ普通のWeb閲覧するときもして良いのかどうか確認が必要になっちゃうし。

910 :名無しさん@4周年:04/02/07 17:21 ID:vurMG0vJ
良く見ると俺のもかなり極論だ(w
この図式で考えると罪に問われる者が存在しなくなってしまう可能性あるな

そういう結末も考えられるけど(w

911 :チキン野郎:04/02/07 17:22 ID:frB72U88
>>906
ACCSとかファーストサーバの本音という部分ではそんな感じですね〜
office氏はoffice氏の責任、ACCSにはACCSの責任、
ファーストサーバもヨゼフアンドレオンもそれぞれの責任。
全部分けて考えないとダメ。

912 :名無しさん@4周年:04/02/07 17:23 ID:Hb7DiAmb
>しかしそうすると、今度はブラウザからhtmlにアクセスしただけで
>管理者が意図しなかったというだけで逮捕されることになりうるのでは?

それでいいんじゃない?

913 :名無しさん@4周年:04/02/07 17:26 ID:RyanK4KC
http://www.okumura-tanaka-law.com/www/okumura/access/access.htm
Qセキュリティホール発見者の対応
A ルール化されたものはない。

逐条解説不正アクセス行為の禁止等に関する法律P89
経済産業省セキュリティホール報告書
http://www.meti.go.jp/policy/netsecurity/Foreign_Law_Report.pdf


914 :名無しさん@4周年:04/02/07 17:26 ID:StDmSd4c
まぁいずれにせよオヒスは余罪追及されてそっちでもアウト!に1000カノッサ。

915 :チキン野郎:04/02/07 17:27 ID:frB72U88
おそらくヨゼフアンドレオンは己の非に気付いたんだろう
だから声明文を取り下げ、取引先リストを改竄したんだと…。

>>908
刑法で産業スパイを禁止する法律なかったっけ
>>909
うん、office氏の責任を問うことができないってのは分かります。
ただアクセスできれば必然的に個人情報の流出につながる可能性は高く、
そうなると個人情報が守られなくなるからそっちが心配で…

916 :名無しさん@4周年:04/02/07 17:28 ID:4pBjx+t2
>>862
>>客観も何も、当該CGIで任意のファイルがみられることを管理者は知ってた、というのはガイシュツ。
>それは事実誤認でしょ
どっちが。
>開発者は知っていたしそれを回避するためのCGIを作って提供もしていたが昔のCGIのその仕様をユーザーに説明していなかったが正解
ファースト鯖は貸鯖屋であって、CGI開発者であるだけでなく鯖管理者だろ。
>それ以前に管理者であるヨセフアンドレオンにそんな能力は無いだろ
ACCSだってヨセフアンドレオンだって管理者側だが、ファースト鯖含めた管理者側の不手際でアクセス側を罪に問えるか。
管理者側は鯖の状態を承知の上放置。これが事実。

917 :チキン野郎:04/02/07 17:30 ID:frB72U88
>>912
むちゃくちゃ過ぎw

918 :名無しさん@4周年:04/02/07 17:30 ID:uBp3v6ZJ
>>895
たぶん刑務所に入って出てきたとしても自分は正しいといいはると
思うぞ。あいつの性格からして。黙秘をしているという報道を聞いて、
ああ、officeはofficeだなと思った。

あの人(officeとは違う、みんなの嫌われ者)が警察に捕まったら、
「そういうことにしたいのですね」と、絶対言うと思う。

919 :チキン野郎:04/02/07 17:32 ID:frB72U88
容疑者が黙秘をするのは常套手段。office氏に限らない。
有罪にもならないから刑務所もない。

920 :名無しさん@4周年:04/02/07 17:33 ID:oWgN+YkR
不正アクセス行為と定められてる行為に今回の行為が含まれてないのに、
鍵の開いてる家に侵入するのは犯罪だろとか言ってるやつがいる意味不明だ。
不法侵入にでも当てはまるのか?

921 :名無しさん@4周年:04/02/07 17:34 ID:l88NZVD8
>>919
裁判官気取り?


922 :名無しさん@4周年:04/02/07 17:36 ID:mXcgBl23
不正アクセスにはならない。以上。

923 :名無しさん@4周年:04/02/07 17:36 ID:ztgeiZlp
>>921
裁判官気取りなんて、このスレにはたくさんいるだろうが

924 :チキン野郎:04/02/07 17:36 ID:frB72U88
>>921
クソ素人が裁判官かどうかはどうでもいい。
office氏を有罪にできるというなら根拠を示せ。

925 :名無しさん@4周年:04/02/07 17:37 ID:StDmSd4c
これで不正アクセスってことになったら、ここで「ならない」とか言い切ってる人って
ガクガクブルブルだったりするの?

926 :名無しさん@4周年:04/02/07 17:37 ID:0EJ5Ueig
取り調べ中に警官の拳銃が暴発してofficeが氏んだ、と聞いても
「あぁ、暴発じゃしょうがない」と納得出来ると思う。

927 :名無しさん@4周年:04/02/07 17:37 ID:SfQKfKao
パスワードを破る論理パズル
ttp://www.albinoblacksheep.com/flash/open.html

ムズィ・・・

928 :名無しさん@4周年:04/02/07 17:38 ID:ztgeiZlp
>>927
これ流行ってるの?

929 :名無しさん@4周年:04/02/07 17:39 ID:uBp3v6ZJ
>>925
たぶんな。きっとofficeは殉教者で自分もそれに続く不当逮捕
という印象を作りたいんだろ。


930 :チキン野郎:04/02/07 17:40 ID:frB72U88
>>925
警察がこじつけで無実を有罪に仕立て上げるのはそう珍しくない。
どっちかっていうと最初からガクガクブルブル
>>926
ありうるwサダムフセインがそうなりそうだが

931 :(;´Д`)ハァハァ:04/02/07 17:41 ID:u+NM301r
(;´Д`)ハァハァ

932 :名無しさん@4周年:04/02/07 17:42 ID:oWgN+YkR
ガクガクブルブルはコンピュータ利用者全員だ。
今回のが不正アクセス行為になったら、
何が不正アクセス行為になるからわからん。
だって条文になくても不正アクセス行為になるんだから。
変な言いがかりつけられて捕まったら、法の場で意図してないことを証明するために頑張るか

933 :名無しさん@4周年:04/02/07 17:44 ID:PntqH25i
厳密には不正アクセスに該当するが、
オヒスの馬鹿のようによほど目に余る行為さえなければ
逮捕も起訴もされない、そんなの世の中になるだろう。

警察の権限が拡大とか言うあほもいるだろうが
すでにそんなことは些細なことと思えるほど世の中はそうなっている。


934 :名無しさん@4周年:04/02/07 17:44 ID:Jd/zXY4B
>>932
もしかして痴漢冤罪事件みたいなもんすか?

935 :名無しさん@4周年:04/02/07 17:45 ID:uBp3v6ZJ
俺がこまわり君だったらofficeは死刑!



936 :チキン野郎:04/02/07 17:45 ID:frB72U88
>>933
該当しない。というかどの条項に該当するのか?
>>934
まさにOFFICE氏の場合がそれ。

937 :名無しさん@4周年:04/02/07 17:48 ID:4pBjx+t2
立法意図もなにも、警察の公式文書、
http://www.npa.go.jp/hightech/fusei_ac1/gaiyou.htm
に、アクセス制御機能を、
>特定電子計算機の特定利用をしようとする者に電気通信回線を経由して識別符号(識別符号を用いて
>アクセス管理者の定める方法により作成される符号と当該識別符号の一部を組み合わせた符号を含む。)
>の入力を求め、正しい識別符号が入力された場合にのみ利用制限を自動的に解除し、正しい識別符号
>ではなかった場合には利用を拒否するコンピュータの機能
と書いてあるのに、識別符号なんか使ってない攻撃がこの法に引っかかるわけないだろ。
みんな、この文書改竄された場合に備えてダウンロードしとこうぜ。

938 :名無しさん@4周年:04/02/07 17:49 ID:uBp3v6ZJ
普通のコンピュータ利用者はcgiのコードを読んで特定のファイル
を割り出し、その特定ファイルを表示できるようなPOSTを組み込んだ
スクリプトをわざわざ書いて実行するとは思えんが。
すくなくとも漏れの母親は自分のPCを持っていて普通に
メールをやりとりしたりWebサイトを見ている
普通のコンピュータ利用だと思うが、
どうかんがえてもそんな面倒なことをしそうにもないぞ。


939 :名無しさん@4周年:04/02/07 17:50 ID:4M8XA1FZ
↓札幌ゆきまつりでモナーの雪像ハケーンしますた!
ttp://up.isp.2ch.net/up/0c40579d8055.jpg

雪祭りでモナーが!!!
http://news2.2ch.net/test/read.cgi/news7/1075213041/

940 :チキン野郎:04/02/07 17:50 ID:frB72U88
>>934>>936
あ、ごめん。撤回。
痴漢は犯罪だけど、今回のoffice氏のは犯罪ではない。

941 :名無しさん@4周年:04/02/07 17:51 ID:mXcgBl23
ここが噂の無能の吹き溜まりにしてセキュリティ無視的サーバ管理で有名な
ファーストサーバー様と逆切れ激昂のACCS様と先走った早漏警察機構殿が
折角拘束したoffice氏が不起訴→誤認逮捕確定で自爆して四肢断裂して
五臓六腑爆裂してしまう救えない感じのサイバーパンクTRPG題材になりそうなスレですか?

942 :名無しさん@4周年:04/02/07 17:52 ID:Jd/zXY4B
>>940
あのー冤罪って書いてあるの読めます?

943 :チキン野郎:04/02/07 17:52 ID:frB72U88
>>938
面倒かどうかは関係ない。
例のcgiは実質的なサーバとして機能していた。
ほとんどの利用者はそれに気付かなかっただけ。

944 :名無しさん@4周年:04/02/07 17:53 ID:4pBjx+t2
>>932
>ガクガクブルブルはコンピュータ利用者全員だ。
>今回のが不正アクセス行為になったら、
>何が不正アクセス行為になるからわからん。
httpで公開されててもscpではアクセス制限されてるファイルは、httpでアクセスしたらアクセス制御機構の回避になるというのが警察の論理(w)らしいから、笑い事じゃないよ(w
ほとんどのウェブアクセスが該当するからな。


945 :名無しさん@4周年:04/02/07 17:53 ID:StDmSd4c
>>933そうだね。
厳密には違法でも突出した馬鹿が捕まるだけだし。通常。
いちいち厳密に逮捕してたら日本人全員捕まりそうだよ。
スピード違反とか。

オヒス擁護してる人は必死にイメージアップがんばってるようだけど、
もし上着被せられるようなことがあったら、
上着被ったままコマネチのポーズやってくれないかな?お願い。あめちゃんあげるから。

946 :名無しさん@4周年:04/02/07 17:54 ID:Jd/zXY4B
>>945
俺は擁護派じゃないけど、
スピード違反検挙の実態を知った上での発言ですか?

947 :名無しさん@4周年:04/02/07 17:56 ID:uBp3v6ZJ
>>937
ログインにはパスワードが必要なシステムであるという要件だよ。
だから普通のサーバ機を使っていれば、「アクセス制御機能を持つ」
と解釈される。

948 :チキン野郎:04/02/07 17:56 ID:frB72U88
>>945
office氏を擁護するとかしないとかいう問題じゃない。忘れろ。
問題は彼を逮捕する理由(つまり違法行為)がないことだ。
警視庁の姿勢の問題。

949 :名無しさん@4周年:04/02/07 17:57 ID:4pBjx+t2
>>938
>普通のコンピュータ利用だと思うが、
>どうかんがえてもそんな面倒なことをしそうにもないぞ。
犯意があったかどうかという話か?
そもそも犯罪じゃない行為に犯意があったかどうかは関係ないぞ。


950 :名無しさん@4周年:04/02/07 17:58 ID:l88NZVD8
cgiへ渡してる引数はパスワードに該当するだろ。

951 :チキン野郎:04/02/07 17:58 ID:frB72U88
>>947
だからcsvmail.cgiがサーバとして機能してたんですよ

952 :名無しさん@4周年:04/02/07 17:59 ID:6Cg7LcS2
まとめサイトどこ〜?チンチン!

953 :チキン野郎:04/02/07 18:01 ID:frB72U88
>>950
該当しない。よしんば該当したとしても本件とは無関係。忘れた方がいい。
引数を渡す以前から、件のcgiはroot権限のない全ユーザに
鯖上の全ファイルを開示するサービスをしていた。

954 :名無しさん@4周年:04/02/07 18:01 ID:uBp3v6ZJ
左翼おとくいの「不当逮捕」でつか?


955 :名無しさん@4周年:04/02/07 18:02 ID:4pBjx+t2
>>947
>ログインにはパスワードが必要なシステムであるという要件だよ。
>だから普通のサーバ機を使っていれば、「アクセス制御機能を持つ」
>と解釈される。
だからなんだ?
普通のサーバでscpはアクセス制御機能を持ち一般人にはほとんどのファイルが読めない。
それらのファイルがhttpで公開されてても、一般人がhttpでそれらのファイルをアクセスしたらscpのアクセス制御機能の回避だ。
これで不正アクセス禁止法違反になるっていうなら、全インターネットユーザタイーホしろ。


956 :名無しさん@4周年:04/02/07 18:02 ID:StDmSd4c
>>949
4pBjx+t2ってさ、ぶっちゃけphfどう思う?

957 :名無しさん@4周年:04/02/07 18:02 ID:l88NZVD8
>>952
http://www.geocities.jp/officeandaccs/

958 :チキン野郎:04/02/07 18:03 ID:frB72U88
>>952
http://www.geocities.jp/officeandaccs/index.html
>>954
左翼か右翼かは関係ない。忘れろ。

959 :名無しさん@4周年:04/02/07 18:05 ID:l88NZVD8
>>953
該当しないってのには、同意しないな。忘れるつもりは無い。

>引数を渡す以前から、件のcgiはroot権限のない全ユーザに
>鯖上の全ファイルを開示するサービスをしていた。

そんなサービスやってないだろ。
それはセキュリティホール。


960 :名無しさん@4周年:04/02/07 18:05 ID:Jd/zXY4B
>>954
左翼もなにも、事実として警察が時々不当逮捕をするから、
ウヨサヨ連中にそういう詭弁を吐かせる隙を与えてるのだが…

961 :名無しさん@4周年:04/02/07 18:06 ID:uBp3v6ZJ
>>951
だから、それは仕様書に「このcgiを使えばどこにでもアクセス
できます」とでも書いていないと駄目なんだってば。
機能していても、「はい、それはバグです。セキュリティホールを
ついて本来のアクセス制御を回避されてしまいました」で終わりなの。
あの法律はホスト側にアマアマで作っているの。でも法律は法律。

962 :名無しさん@4周年:04/02/07 18:07 ID:oWgN+YkR
>>959
サービスとセキュリティホールの違いで何が違うのか不正アクセス法に関わる部分で教えてくれ。

963 :チキン野郎:04/02/07 18:07 ID:frB72U88
>>959
あなたは多分セキュリティ専門なんだろう。
だから逆に勘違いしているんだと思う。
不正アクセス行為そのものと、それができる状態(ホール)とは別物だ。
office氏は不正アクセスをしていない。

964 :名無しさん@4周年:04/02/07 18:07 ID:StDmSd4c
office冤罪説支持者はphf attackも不正アクセス禁止法でタイーホされないと思ってたりするの?

965 :名無しさん@4周年:04/02/07 18:08 ID:4pBjx+t2
>>956
>4pBjx+t2ってさ、ぶっちゃけphfどう思う?
中身理解できないCGI動かすのはヴァカ。
中身理解できててphf動かすのは基地外。
今回の例は後者だ。


966 :名無しさん@4周年:04/02/07 18:08 ID:uBp3v6ZJ
>>995
なんか痛いやつだなおまえ。


967 :名無しさん@4周年:04/02/07 18:09 ID:ueaRtLTx
>>961
「アクセス制御してます」と書いてなきゃ駄目なんちゃう?

968 :名無しさん@4周年:04/02/07 18:09 ID:oWgN+YkR
>>961
不正アクセス防止法はその前段階のアクセス制限を破れる状態にすることが不正アクセス行為として書かれてないか?

969 :名無しさん@4周年:04/02/07 18:11 ID:SdhyEyWg
えーと、俺がまとめよう。

法律が整備されてなかった。

以上。

970 :名無しさん@4周年:04/02/07 18:11 ID:yKKI4U16
>>964
逮捕されないとは思ってないんじゃ
不正アクセス防止法違反じゃないと言ってるだけでしょ

971 :チキン野郎:04/02/07 18:11 ID:frB72U88
>>961
不正アクセス禁止法が禁止しているのは、
不可能を可能にする行為だけだ。
初めから可能ならアクセスしても問題ない。

972 :名無しさん@4周年:04/02/07 18:12 ID:ztgeiZlp
>>969
法律がないのに逮捕したらまずいだろ

973 :名無しさん@4周年:04/02/07 18:12 ID:0EJ5Ueig
>>995はがんがれ。


974 :名無しさん@4周年:04/02/07 18:12 ID:bTW9jvM1
>>955
terraと名乗ってた作者はサイトたたんで逃亡。
出版社、IPA、JPCERTにも報告してあるが放置されている、任意コマンド実行可能なCGIの攻撃方法がここにある。
http://pc.2ch.net/test/read.cgi/sec/1025492970/142n-

利用者は知らされずに放置されてるので、今でも実行可能だろう。
犯罪じゃないというなら実行してみてくれ。

975 :チキン野郎:04/02/07 18:13 ID:frB72U88
>>974
任意コマンドの内容が「不可能を可能にする」ものではないか?

976 :名無しさん@4周年:04/02/07 18:14 ID:4pBjx+t2
不正アクセス禁止法の「不正アクセス」はパスワードとID等による狭い意味のアクセス制御しか想定してないので、それ以外の方法で「アクセス制御」しててそれを回避しても法による「アクセス制御機構の回避」にならないんだよ。




977 :名無しさん@4周年:04/02/07 18:14 ID:oWgN+YkR
>>974
たとえ犯罪じゃないと考えてても公の線引きが出来てない時にぎりぎりの場所に行くのはただの馬鹿だろ。

978 :名無しさん@4周年:04/02/07 18:15 ID:StDmSd4c
>>964
いや。聞きたいのはphf attackは白か黒か?ってこと。

979 :名無しさん@4周年:04/02/07 18:15 ID:/mTvhriF
アドレス削ったら凄い物が見つかっちゃった程度の話だったら笑えるが

980 :名無しさん@4周年:04/02/07 18:15 ID:baOXU3Oj
結局47氏だったんだな。

981 :名無しさん@4周年:04/02/07 18:17 ID:Jd/zXY4B
>>974
そうそう。不起訴とか、裁判で無罪とかなったとしても。
現時点でも逮捕されるリスクはかわらないし、時間と金の無駄。
警察に前歴のデータなんか残したくないし。


982 :名無しさん@4周年:04/02/07 18:17 ID:bTW9jvM1
>>977
奴の中では明確に犯罪ではないんだろう?

983 :チキン野郎:04/02/07 18:17 ID:frB72U88
>>979
ほとんどそれと一緒。
公開してるcgiに引数としてファイル名を渡せば全ファイルを表示できた。

984 :名無しさん@4周年:04/02/07 18:17 ID:uBp3v6ZJ
>>968
それは3の1だろ。こっちは3の3。

985 :名無しさん@4周年:04/02/07 18:18 ID:PntqH25i
さすがにもう擁護派ダウソ厨の
詭弁の中に注目に値するものがなくなってきたな

986 :名無しさん@4周年:04/02/07 18:18 ID:4pBjx+t2
>いや。聞きたいのはphf attackは白か黒か?ってこと。
なんか粘着だな。
判例でもあるのか?


987 :名無しさん@4周年:04/02/07 18:18 ID:StDmSd4c
>>981
要するにそういうリスクを考慮できない香具師が
セキュリティを語っていたというのもお笑いだな。

988 :チキン野郎:04/02/07 18:20 ID:frB72U88
>>985
擁護とかダウソとか忘れろ。
office氏を有罪に持ち込めるというなら、まずその条文を示せ。

989 :名無しさん@4周年:04/02/07 18:21 ID:5ff0aG7O
今この掲示板をWebブラウザで見ている奴は、telnetやftpではパスワードを
入力しない限りアクセス出来ない情報を、read.cgiを利用し/newsplus/....な
引数を渡すことによって引き出している。

ひろゆきが「その情報を公開する意図はなかった。アクセス者を全員告発する」と
言って行動にでればタイーホ祭りが発生するのか?

990 :名無しさん@4周年:04/02/07 18:21 ID:4pBjx+t2
>いや。聞きたいのはphf attackは白か黒か?ってこと。
あ、そうか。
黒だよ。
/etc/passwd抜いてパスワードクラックするんだろ。


991 :名無しさん@4周年:04/02/07 18:21 ID:oWgN+YkR
>>984
3の1、3に限らず全てに「特定利用をし得る状態にさせる行為」と書かれてるけど?

992 :名無しさん@4周年:04/02/07 18:22 ID:LIWRrZuJ
よぉ〜し、パパ1000とっちゃうぞ!

993 :チキン野郎:04/02/07 18:23 ID:frB72U88
新スレ立てなくていいの?

994 :名無しさん@4周年:04/02/07 18:23 ID:PntqH25i
もともと真意などとは関係なくここはディベートの場としてみてる面もある。
結論をやたらと急ぐということは擁護派ダウソ厨の意見はもう出尽くしたということなのだろう。

995 :名無しさん@4周年:04/02/07 18:23 ID:Jd/zXY4B
>>987
それはおひすのこと?まぁ香具師は元からそういう人間でしょ。
リスクを最重視したら、そもそも表にでてこないよ。
だからといって今現在、第三者がスクリプトを実行することのリスクとは違う。


996 :名無しさん@4周年:04/02/07 18:24 ID:+Wx7XIhp
結論もくそもねーし。
20日後にダウソ厨全員((( ;゚Д゚)))ガクガクブルブル

997 :名無しさん@4周年:04/02/07 18:24 ID:uBp3v6ZJ
>>976
いったい誰がそんな嘘をお前に教えた。ここにその馬鹿つれてこい。


998 :名無しさん@4周年:04/02/07 18:25 ID:c2lsbY58
_| ̄|○ アァァァァ・・・・ヤッテモタ・・・・・・

999 :名無しさん@4周年:04/02/07 18:25 ID:7/zPOcbr
1000獲り合戦もないくらい下火になったな

1000 :gogoooo:04/02/07 18:25 ID:VzH/1+/h
1000

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

312 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)