[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[connect24h:7005] Re: CGIの欠陥突き情報引き=P$7$?5~Bg8&5f0wBaJa!!7Y;kD#
- To: connect24h@xxxxxxxxxx
- Subject: [connect24h:7005] Re: CGIの欠陥突き情報引き=P$7$?5~Bg8&5f0wBaJa!!7Y;kD#
- From: おおおか <ohoka@xxxxxxxxxxxxxxxxxx>
- Date: Thu, 05 Feb 2004 00:30:00 +0900
おおおかです
従来は、すくなとも わざわざ物を盗ってきて
それからおもに「脆弱性があるよ、ほら〜盗れた〜」とは
やらなかったと思います。
中村さんの書かれた=>
> 欠陥システムを作成し、販売し、親切にも忠告してくれた人が
> 居たのに無視して放置し、欠陥が明らかに分かるように「事例」
> をディスプレイされたら(これはやり過ぎと私も思いますが)、
> 逆切れして業務妨害として被害を被ったと訴えた「真の」犯人側
> が何も罰せられてない事は問題無いのですか?
> 厳罰に処すべきは真犯人の方ではないのですか?
>
> 激しく勘違いされていると思われます。
これは私が最初に書いた
> 本人がサーバやソフトを止めたわけでもなく
> 閉鎖したのは、CGIの欠陥を除去する為などの理由で勝手に協会がやった
> 事です。
> 止めざるおえない理由としてはCGIの欠陥以外に考えられません。
> と言う事は穏便に指摘したとしても、
> 遅かれ早かれ「止めて」対処しなければならなかったはずです。
> そんなものはCGIの欠陥を作りこんだ会社が責任を取って
> しかるべき問題だと「ソフト開発会社に勤める一般人」としては思いますがね〜
と言っている事は基本的に同じですよね
と言う事で、何も勘違いはしていないと思います。
吉岡さんが書かれた=>
> 脆弱性の警告をする目的で機密情報を取得した人(以下Aとします)を逮捕して
私が問題にしているのは、機密情報を勝手に取得した人は犯罪者であって
しかるべきだ と言う事であって、
脆弱性を警告する為に無警告で情報を勝手に取得までする必要はなかったのでは
ないかと言う事です。
「いついつ実際にやって見せます」と事前に警告していれば話しは別です。
それにセミナーとしてやってみせるのであれば、
普通であれば、同じシステムを試験環境に構築して その上でデモするのが
一般的であって、実稼動している他人のサーバで許可も得ず
実験する行為自体が非常識だと思います。
そうじゃないと、サーバ管理者の視点に立ってみれば、いつ何時どこから
物を盗まれているか分からず それこそ 夜も眠れなくなります。
で苦労して捕まえてみれば、脆弱性を試してみたんだ と言う言い訳をすれば
何でも許される事になります。
但し、現行法では、今回のケースでは犯罪にはならないと思います。
なので、単なる「逮捕」と言うデモンストレーションがしたかっただけだと
思います。
また、今回の彼に悪意があったとも思っていません。
一般利用者が被害を受ける可能性のある脆弱性の検出や指摘は 今後も
あるべきだと思っています。
私の見ている視点がサーバ管理者側(ユーザ側)だというだけの話しです。
+-----------------------------------------------------+
おおおか <ohoka@xxxxxxxxxxxxxxxxxx>
+-----------------------------------------------------+
--[PR]------------------------------------------------------------------
▼▼▼世界の横尾忠則がてがけた!!▼▼▼
→→→→→【スパイダーマン】の複製シルクスクリーンプレゼント←←←←←
http://ad.freeml.com/cgi-bin/ad.cgi?id=c3Ugm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp