アカウント名:
パスワード:
taraiok系のは特にそうだけど元記事は読んだ方がいい。印象が変わるかもしれない。少なくとも私は変わった。
例えば元記事からはこの脆弱性を発見したのは彼一人だけだったのでないことがわかる。アクセスも1度でなく複数回やったらしいこともわかる。
例えば元記事からはこの脆弱性を発見したのは彼一人だけだったのでないことがわかる。
"Mr. Al-Khabaz and colleague Ovidiu Mija"とあるから、この人と仲間のMijaさんですな。
アクセスも1度でなく複数回やったらしいこともわかる。
なんかここは大学とAl-Khabazさんの言い分が食い違っているようで 大学は「Al-Khabazさんは脆弱性を報告する前にドーソンのシステムへのアクセスで警告を受けており、検証に関する制約を説明した後もアクセスしてきた」 Al-Khabazさんは「脆弱性を報告した後、最初の検証でSkytechから警告を受け、NDAに署名することになった」
あと、 ・ストーリーの「Skytech の情報部門のディレクター Francois Paradi 氏」はたぶん間違い。Paradisさんはドーソン大のディレクター。 ・「Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。」は元記事に無さそうな記述。上に書いたようにNDAを結んでその場は済んだように書いてある。実際、Tazaさんは「彼の発見はありがたいよ無断でツールを走らせるのはダメだけど悪意がなかったことはわかってるよ」と言ってる。さらに、退学になってからはAl-Khabezさんを雇うとオファーしてる。話しが通じなかったのはドーソン大。 ・ストーリーには書いてないけど、Al-Khabazさんは「proxy等で身元を隠すのは簡単だったが、悪い事をするつもりはないので隠さなかった」と言ってる。確かにそうだろうと思う。 ・Al-Khabazさんが使ったのはAcunetixというツール。ぐぐる限りはかなり怪しげ…
・ストーリーの「Skytech の情報部門のディレクター Francois Paradi 氏」はたぶん間違い。Paradisさんはドーソン大のディレクター。
話の流れからすると、フランソワはSkytechの人だと思う。
・「Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。」は元記事に無さそうな記述。
これは彼の証言、「I apologized, repeatedly, and explained~」の部分。 あと、Skytechの発表 [skytech.com]を読むと、イメージが結構違う。
National Post の続報記事 [nationalpost.com]に、 "Francois Paradis, the college’s director of information services,..." と書いてありますけど。
これは彼の証言、「I apologized, repeatedly, and explained~」の部分。
うん、謝罪したとは書いてあるけど「話が通じなかった」風ではないでしょ?「禁固6-
"Francois Paradis, the college’s director of information services,..." と書いてありますけど。
そう書いてあるなら、その通りでしょう。
うん、謝罪したとは書いてあるけど「話が通じなかった」風ではないでしょ?「禁固6-12ヶ月に相当する犯罪行為であって、もし君が私と会ってNDAにサインしてくれないなら、王立カナダ騎馬警察に通報しなくちゃならない」と言われて、NDAにサインしたと書いてありますよね?
それは表現と解釈の問題ですね。 「謝罪」や「説明」と違って「話が通じなかった」と受け取るかどうかは、人それぞれでしょう。私はこれで十分だと思います。
最初の発見、開発会社への通報までとその後のアクセスとを別扱いにしていると読めました。
会社との最初のやり取りまでは感謝されているようですが、その後の検証などについてどういう話になっていたのかは書かれていません。おそらく学生に検証作業まで依頼してはいないでしょう(憶測です)。
だからこそ「なおったかな?」という気持で確かめただけにせよ、不正アクセスとみなされてしまったということでしょうか。
脆弱性があることを知っている人がアクセスした行為についてだからこその厳しい対応だったとはいえるでしょうが、悪意があったとまでは見なされていないように感じます。
もしそこに悪意があるとみなされたらただちに逮捕→裁判という流れになっていたのでは、思います。
reoだしな。
感謝する。思いっきり誤解するところだった。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
元記事を読もう (スコア:3, 参考になる)
taraiok系のは特にそうだけど元記事は読んだ方がいい。印象が変わるかもしれない。
少なくとも私は変わった。
例えば元記事からはこの脆弱性を発見したのは彼一人だけだったのでないことがわかる。
アクセスも1度でなく複数回やったらしいこともわかる。
Re:元記事を読もう (スコア:5, 興味深い)
"Mr. Al-Khabaz and colleague Ovidiu Mija"とあるから、この人と仲間のMijaさんですな。
なんかここは大学とAl-Khabazさんの言い分が食い違っているようで
大学は「Al-Khabazさんは脆弱性を報告する前にドーソンのシステムへのアクセスで警告を受けており、検証に関する制約を説明した後もアクセスしてきた」
Al-Khabazさんは「脆弱性を報告した後、最初の検証でSkytechから警告を受け、NDAに署名することになった」
あと、
・ストーリーの「Skytech の情報部門のディレクター Francois Paradi 氏」はたぶん間違い。Paradisさんはドーソン大のディレクター。
・「Al-Khabez 氏は状況を説明して謝罪したが話が通じなかったという。」は元記事に無さそうな記述。上に書いたようにNDAを結んでその場は済んだように書いてある。実際、Tazaさんは「彼の発見はありがたいよ無断でツールを走らせるのはダメだけど悪意がなかったことはわかってるよ」と言ってる。さらに、退学になってからはAl-Khabezさんを雇うとオファーしてる。話しが通じなかったのはドーソン大。
・ストーリーには書いてないけど、Al-Khabazさんは「proxy等で身元を隠すのは簡単だったが、悪い事をするつもりはないので隠さなかった」と言ってる。確かにそうだろうと思う。
・Al-Khabazさんが使ったのはAcunetixというツール。ぐぐる限りはかなり怪しげ…
Re:元記事を読もう (スコア:1)
話の流れからすると、フランソワはSkytechの人だと思う。
これは彼の証言、「I apologized, repeatedly, and explained~」の部分。
あと、Skytechの発表 [skytech.com]を読むと、イメージが結構違う。
Re: (スコア:0)
National Post の続報記事 [nationalpost.com]に、 "Francois Paradis, the college’s director of information services,..." と書いてありますけど。
うん、謝罪したとは書いてあるけど「話が通じなかった」風ではないでしょ?「禁固6-
Re:元記事を読もう (スコア:1)
そう書いてあるなら、その通りでしょう。
それは表現と解釈の問題ですね。 「謝罪」や「説明」と違って「話が通じなかった」と受け取るかどうかは、人それぞれでしょう。私はこれで十分だと思います。
ありがとうございます。元記事を読みました。 (スコア:1)
最初の発見、開発会社への通報までとその後のアクセスとを別扱いにしていると読めました。
会社との最初のやり取りまでは感謝されているようですが、その後の検証などについて
どういう話になっていたのかは書かれていません。おそらく学生に検証作業まで依頼しては
いないでしょう(憶測です)。
だからこそ「なおったかな?」という気持で確かめただけにせよ、不正アクセスとみなされて
しまったということでしょうか。
脆弱性があることを知っている人がアクセスした行為についてだからこその厳しい対応だった
とはいえるでしょうが、悪意があったとまでは見なされていないように感じます。
もしそこに悪意があるとみなされたらただちに逮捕→裁判という流れになっていたのでは、
思います。
---- sinbo
Re: (スコア:0)
reoだしな。
Re: (スコア:0)
感謝する。思いっきり誤解するところだった。