アカウント名:
パスワード:
制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、所有者の意図がどうであろうが「公開」に違いないと思うよ。
『本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。他方、本件アクセスは、本件CGIの脆弱性を利用したものであり、あえてその方法を管理者が認める必要はなく、想定もしていなかったものである。そうすると、本件の各特定利用ができたのは、プログラムの瑕疵または設定上の不備があったためにすぎないのであり、アクセス管理者が本件アクセス行為のようなかたちで特定利用することを誰にでも認めていたとはいえない。よって、本件においても、本件CGIおよび本件ログファイルの各閲覧は、アクセス制御機能による特定利用の制限にかかっていたものということができる』
日本だと、URL直打ちすれば認証なしでアクセス可能なページであっても、
本件においては、本件CGIファイルおよび本件ログファイルのURLを入力する方法によっては、これらを閲覧することができないように設定されていた。
HTMLファイルの内容を書き換えることにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動させることで、ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを閲覧したということができる
URLの入力による程度であれば、不正アクセスにはならないということだろうか。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
公開URLじゃないでしょ (スコア:1)
私は、アンカーなどで明示されているのもだけが「公開」だと思うが。
Re: (スコア:2, すばらしい洞察)
そのころの常識が今でもそのまま通用するとは思わないけど、基盤はそこにあるわけ。
だからリンクが張られていないURLにアクセスする行為はwebの仕組みとしてはまったく正当なもので、制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、所有者の意図がどうであろうが「公開」に違いないと思うよ。
うじゃうじゃ
Re: (スコア:-1, 荒らし)
駅前の自転車置き場で鍵のかけ忘れた自転車をこっそり借りちゃった。制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、・・・
なんて連想するので素直には受け入れがたい論法だね。制限のないリソースを使うことが違法というのはこまりものだが、かといって「公開」で好き勝手につかってもいい、というのも社会常識(*)とは違う気がする。なにかいい概念がないものかね?
(*)すくなくとも世間でいう「好き勝手に使っていい公開状態」って所有者がそうしてもらっていいという意図ありきだと思っているので。
Re: (スコア:1)
本来のルートに認証プロセスがあり、そこからリダイレクトされる構成だとしたら、
それは不正アクセスと見なされるのではないでしょうか。
「不正アクセスとは何か」--office氏の判決を読み解く:ニュース - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20082116-2,00.htm [cnet.com]
で、たとえに出された鍵をかけ忘れた自転車を盗むという行為は、本来
鍵を持っている人のなりすましと考えられるので、結局は不正に
なるんじゃないですかね
Re: (スコア:1)
「不正アクセスとは何か」--office氏の判決を読み解く:ニュース - CNET Japan より引用
リンク先の件ではきちんと鍵が掛かっていたようです。
Re:公開URLじゃないでしょ (スコア:1)
もちろん読んでます。この裁判の本質はその次の括弧書き以降じゃないですか?
「設定の不備」をどこまで認めるかに依りますが、本来有るべきFTPを介した
ID、パスワード認証を迂回してアクセスしたことが問題であり、そのものに
鍵がかかっているかどうかは問題ではないように読めます。
なお、リンク先の一つ前のページ戻ってもらうと「鍵がかかってないファイルに
アクセスしたのだから問題ない」という弁護側の主張は認められていません。
--
『そうすると、本件サーバのCGIおよび本件ログファイルを閲覧するためには、
プログラムの瑕疵や設定の不備がなければ、FTPを介してIDとパスワードを正しく
入力しなければならないところを、被告人は、HTMLファイルの内容を書き換える
ことにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動
させることで、ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを
閲覧したということができる』
CGIにID、パスワード認証がなかったとしても、『プログラムの瑕疵や設定の不備』
(要するに脆弱性)を突いてアクセスしたのだから不正アクセスになるのである、
という論理だろう。
--
Re:公開URLじゃないでしょ (スコア:2, 参考になる)
ちなみに、FTPの認証を回避した方法が という通常行うことの無い手段で実現されているので、#1311177 のコメントのような心配はあまりないかなぁと私は思います。 さらに書くと、CNET Japan の記事では、 というふうに判決を読み取っています。
ついでに、結構前の話なので、どのような方法で"本件CGIおよび本件ログファイル"を閲覧したか忘れましたので調べてみました。
ACCS不正アクセス事件のテンプレ
http://www.geocities.jp/officeandaccs/index.html [geocities.jp]
CNET Japan の内容を踏まえて読んでみると、そう間違った情報ではないかと思いますので、参考までに。