アカウント名:
パスワード:
#今回の脆弱性発見者の場合は「実験コメント」がヤバイかもしれませんが、「誰も使えないはず」の機能を利用できるようにすることは不正アクセス行為じゃなかったりするので、詳細が分からないとなんとも言えませんね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
"謝辞:"の部分 (スコア:0, フレームのもと)
特に指摘すると、すぐに威力業務妨害で訴えてくるトコとか…
(まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
Re:"謝辞:"の部分 (スコア:1)
セキュリティ報告のメールが spam 扱いにされていたところとか、不手際がいくつも重なっている部分もあり、完全に適切な対応とは言い難いのですが。
とはいえ、そういった不手際も含めて公開してくださっているのは、他のサイトでも参考になるとは思います。
>特に指摘すると、すぐに威力業務妨害で訴えてくるトコ
って、どこのことを指して言ってますか? ACCS のことであれば、
>(まぁ、実際にデータを盗んで晒しちゃう人はどうかと思いますけど)
という被害があった
をいをい (スコア:0)
イラクの大量破壊兵器と同じだよ。
存在するもの・該当するものは「ほれ、この通り」と示せても、
存在しないもの・該当しないものは示しようがない。
Re:をいをい (スコア:1)
報告じゃなくて発見のほうですが、不正アクセス行為の禁止等に関する法律 [ipa.go.jp] の第三条第2項の二が根拠となりうると考えています。
# この条文が、セキュリティホールをつくことを想定して書かれているものなので。
Re:をいをい (スコア:1)
若干「不正アクセス」の範囲を取りすぎているのではないか、と思います。
不正アクセス行為の禁止等に関する法律第3条第2項第2号は、大雑把に言ってしまえば、「管理者の予定外の手段で、管理者としては何らかの認証を経なければ使えないようにした『つもり』の機能を、『そうであると知りつつ』使える状態にした場合(但し、事前に許可を取った場合は除く)」は不正アクセス行為である、という規定です。
なお、
Re:をいをい (スコア:1)
で、1点だけ確認したいのですが、 誰も使えないはずの機能を利用できるようにすることが、不正アクセス行為にならないというのがよくわかりません。
「不正アクセス行為の禁止等に関する法律」の第三条第2項の二にある「特定利用」にあたらない、ということなのでしょうか。
同法第二条にあるように、「特定利用」はそのマシンを利用するあらゆる行為が含まれ、誰も使えないはずの機能は誰も使えないように制限されているわけですから、これが「特定利用」にあたらない、と主張することは難しいのではないでしょうか。
Re:をいをい (スコア:1)
で、「誰も使えないはずの機能の利用」が不正アクセス行為に該当しない、というのは、「アクセス制御機能」の定義(第2条第3項)に起因します。
「アクセス制御機能」の定義を口語的に言えば、「特定の符牒を知っている/持っている人にはネットワーク越しでの『利用制限の全部または一部を解除するため』に、管理者がコンピュータに導入した機能」になります。
#今回の説明用に相当端折って書いたので、正確性は相当落ちる表現です。申し訳有りません。
要するに、アクセス制御機能というのは、
・通常では利用が制限されていること
も必要条件ですが、
・特定の符牒を知っている/持っている人は利用の制限を解除できること
も必要条件なんです。
というわけで、「誰も使えないはず」のことをできるようにしたとしても、不正アクセス行為に該当しない、ということになります。
なお、「誰も使えないはず」というのは、手段は問わないので、証明しようとすると、多分悪魔の証明に近いものになります。
#そして「誰も使えない」可能性が否定できない限りは、不正アクセス行為に相当すると判断する事はできません。
で、「悪魔の証明」と書くと、それをさせられるのか、と反応する人もいるかもしれませんが、法律の運用上は疑わしきは罰せずの原則がありますので、
・検察側に「アクセス制御機能がある」ことの証明が義務付けられ、
・被告側は「検察が主張するアクセス制御機能がアクセス制御になっていない」ことの個別論破を目指す
ことになり、悪魔の証明が裁判の場で求められることはありません。
まぁ、法律の世界(特に刑罰規定のある法律)では、定義の厳密性を求められるが故に、通常世界の考え方からは考えられないような定義がなされることがある、という一例と御理解ください。
Re:をいをい (スコア:1)
「誰も使えない」というのは、本当に誰も使えないのか、アクセス管理者以外の誰も使えないのか、どちらの意味で使っているでしょうか。
前者なら、アクセス制御にあたらないというのは理解できます。
# もっとも、この意味で「誰も使えない」機能が使えるようになる状況が想定できませんが……。
ですが、後者なら、アクセス管理者が利用するための識別符号 (root のパスワードなど) があるはずですから、アクセス制御に該当すると思いますが、いかがでしょうか?
Re:をいをい (スコア:1)
おっしゃるように、アクセス制御機能が無い、というのは前者の場合です。
で、今回の件は「本来はリジェクトされるであろうデータをcgiに作成し、サーバに保存させることに成功した」という話だと思われるので、そのような行為をサーバーの管理者権限や、slashチームの人々だけが持っているような権限で行えるものなのかどうかが、アクセス制御機能の有り無しの判断基準になると思います。
#これが「任意のデータを保存させることに成功した」だと簡単なんですけど、今回はcgiにデータを喰わせるのを成功したに留まってますので。
やけに、細かい話になってしまってすいませんでした。