« NDS・・・ | メイン | 勝手に値上げすんなよ(´Д`;) »
2004年12月15日
サイバーノーガード戦法は無敵
■ 管理者が想定していないアクセスは不正? ACCS裁判 [ITmedia]
大事になる前に○○間違ってますよ?とか言われると、漏れは助かった?と思うのですが。
検察側は、同行為はサーバ管理者が通常利用と想定している利用法とは異なるため、不正アクセスにあたると主張している。
例えばショッピングモールの商品検索cgiだったとして、運用側の想定としては「検索フォームに入力されたキーワードを元に検索結果を表示」ですよね?。
そして、このcgiはpostオンリーに見えるとしましょう。
それなのにgetで通ったって場合はどうなるんでしょ?
出てくる物は一緒でも、想定する利用方法と食い違ってると思うのだが・・・。
試しに&admin=xxxxxなんか入れてみたら通って、顧客データが・・・ギャーみたいな(´Д`;)
世の中にはこんな恐ろしいcgiありますからな(´Д`;)
こんな言い分認められてたらサイバーノーガード戦法は永久に無敵ですよ。
ただでさえ、現状じゃ無敵なのに。
M$の脆弱性は叩きまくってパッチが遅いだの何だの言う癖に、てめーの所の脆弱性報告されたら犯罪者扱いですからね(´Д`;)
大体、仕様上の欠陥や運用上の問題点などは、現場の人間は気づきにくい物です。
本格運用になっておかしい所がぽろぽろ出てきたりするんです。
普通は第三者試験やるんですが、社内の違う技術者がやったりするんで、これまた気がつかなかったりするんですよ。
作ってる人達が気づかないんだから、外部が気づかせるしかないでしょうに・・・
トラックバック
このエントリーのトラックバックURL: http://blog.nrkstd.net/cms/mt-tb.cgi/90
このリストは、次のエントリーを参照しています: サイバーノーガード戦法は無敵:
コメント
いや?だって現場でシステム組んだりソフト作ったりしてればわかるじゃねーか!みたいな(´Д`;)
マジで何考えてるのか解らないですよ。
第一、ACCSのページの個人情報についての項に、どういう風な対策を取っているのかとか言う事が書いてないのが駄目。office氏無駄骨(´Д`;)
ACCSはもうバカかとアホかと。
アチシならコメントする気も失せるYOヽ(;´Д`)ノ