アカウント名:
パスワード:
いつも不思議なんだが、公開しているサーバに無許可でスキャンを掛けるのはどうなの?内容によるってのもあるでしょうが、本件のはスキャナがAndroidアプリになってどっかで紹介されたりしてたので、世間的にはOKなんだと自分は驚きました。損害を与えなければ犯罪じゃないとしても、与えるかどうか事前には分からないですし、スキャン動作をアラートにしていた場合、技術者の対応が発生し、最悪の場合は、偽計業務妨害にもなりかねませんよね。
「被害無しのアタックは日常茶飯事なので無視」っていうノリが定着している会社/技術者が多いのも実感していますが、新参者の倫理観としては他人の機器に無断でスキャン掛けるのはNGかなと思っています。
# この前、脆弱性スキャナで業務サーバ落としちゃったのでACで(お前の功夫はそんな物かって言ったけど、めっちゃ怒られた)
インターネットに公開されているウェブサイトに対し、人間が対話的にアクセスするのと同じ程度のほどよい速度頻度で巡回ロボットが繋いでみて特に掘り下げることなく取得可能であった情報を統計的に解析してみることに何の問題がありましょうや?
それにアラートが上がったら即時緊急対応するため技術者を貼り付けるという体制と、今回のような緊急対応が求められる重篤な脆弱性を放置するという状況は矛盾しませんか。
貴兄が従前属していた業界では抜き打ち検査というのは「何日何時から抜き打ち検査をしますのでよろしくお願いします」と事前連絡があるものだったのですか?護衛船団方式横並びの某業界においてはそのような傾向であるとも耳にしますが。
#今回 Qualys SSL Labs で解析してついでに現代的に不要な古いプロトコル等も落として Forward Security も達成させました
ここ何週間か、手元の複数の顧客のIPSでErrata Securityをアクセス元とする不正な攻撃アラームを検出しています。実際に攻撃として成立するパケットが送られているようなのですが、それでも無問題なんですかね?# きっとそういう調査なんだろうなーと思ってたら案の定# レポートが公開された
元コメントにコメントしようと思ったけどここに。無問題かどうかは、公益と個々への損失との兼ね合いでしょう。あなたの場合が一般的かは分かりませんが、その程度であるなら個々への損失は軽微な一方、こういったレポートには公益性が認められると思われるので無問題に思えます。
それは公益性のある寄付の為なら、あなたの金を盗んでも良いという事?
メモリ読んでユーザ情報かき集めて、それをリストにして業者に売りつつ、奪取したサーバ情報を統計として宣伝すれば無実って、どんだけ素敵な社会なんだよ。
条件として悪用しなければ可ってのは、昔のブラックハット/ホワイトハットって呼ばれてた時代を思い出しますね。でも、それを判別する方法が無いのだから、性悪説でいいんじゃないかな、特に米国的には。
メモリ読んでユーザ情報かき集めて、それをリストにして業者に売りつつ、奪取したサーバ情報を統計として宣伝
これが事実なら当然問題ですよ。「きっとそういう調査なんだろうなーと思ってた」程度なら軽微なことですが、情報漏洩は全然軽微じゃないので。繰り替えしますが「無問題かどうかは、公益と個々への損失との兼ね合い」です。#今回の件で何か証拠があれば賠償金とれるんじゃないですかね。#証拠なければ名誉毀損ですけどね
×繰り替えし
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
こっちスキャンすんなっ (スコア:0)
いつも不思議なんだが、公開しているサーバに無許可でスキャンを掛けるのはどうなの?
内容によるってのもあるでしょうが、本件のはスキャナがAndroidアプリになってどっかで紹介されたりしてたので、世間的にはOKなんだと自分は驚きました。
損害を与えなければ犯罪じゃないとしても、与えるかどうか事前には分からないですし、スキャン動作をアラートにしていた場合、技術者の対応が発生し、最悪の場合は、偽計業務妨害にもなりかねませんよね。
「被害無しのアタックは日常茶飯事なので無視」っていうノリが定着している会社/技術者が多いのも実感していますが、新参者の倫理観としては他人の機器に無断でスキャン掛けるのはNGかなと思っています。
# この前、脆弱性スキャナで業務サーバ落としちゃったのでACで(お前の功夫はそんな物かって言ったけど、めっちゃ怒られた)
Re: (スコア:1)
インターネットに公開されているウェブサイトに対し、
人間が対話的にアクセスするのと同じ程度のほどよい速度頻度で巡回ロボットが繋いでみて
特に掘り下げることなく取得可能であった情報を
統計的に解析してみることに何の問題がありましょうや?
それにアラートが上がったら即時緊急対応するため技術者を貼り付けるという体制と、
今回のような緊急対応が求められる重篤な脆弱性を放置するという状況は矛盾しませんか。
貴兄が従前属していた業界では抜き打ち検査というのは
「何日何時から抜き打ち検査をしますのでよろしくお願いします」
と事前連絡があるものだったのですか?
護衛船団方式横並びの某業界においてはそのような傾向であるとも耳にしますが。
#今回 Qualys SSL Labs で解析してついでに現代的に不要な古いプロトコル等も落として Forward Security も達成させました
Re: (スコア:0)
ここ何週間か、手元の複数の顧客のIPSでErrata Securityを
アクセス元とする不正な攻撃アラームを検出しています。
実際に攻撃として成立するパケットが送られているよう
なのですが、それでも無問題なんですかね?
# きっとそういう調査なんだろうなーと思ってたら案の定
# レポートが公開された
Re: (スコア:0)
元コメントにコメントしようと思ったけどここに。
無問題かどうかは、公益と個々への損失との兼ね合いでしょう。
あなたの場合が一般的かは分かりませんが、その程度であるなら個々への損失は軽微な一方、こういったレポートには公益性が認められると思われるので無問題に思えます。
Re: (スコア:0)
それは公益性のある寄付の為なら、あなたの金を盗んでも良いという事?
メモリ読んでユーザ情報かき集めて、それをリストにして業者に売りつつ、奪取したサーバ情報を統計として宣伝すれば無実って、どんだけ素敵な社会なんだよ。
条件として悪用しなければ可ってのは、昔のブラックハット/ホワイトハットって呼ばれてた時代を思い出しますね。
でも、それを判別する方法が無いのだから、性悪説でいいんじゃないかな、特に米国的には。
Re: (スコア:0)
メモリ読んでユーザ情報かき集めて、それをリストにして業者に売りつつ、奪取したサーバ情報を統計として宣伝
これが事実なら当然問題ですよ。「きっとそういう調査なんだろうなーと思ってた」程度なら軽微なことですが、情報漏洩は全然軽微じゃないので。
繰り替えしますが「無問題かどうかは、公益と個々への損失との兼ね合い」です。
#今回の件で何か証拠があれば賠償金とれるんじゃないですかね。
#証拠なければ名誉毀損ですけどね
Re:こっちスキャンすんなっ (スコア:0)
×繰り替えし