公開URLの掲載をハックと見なされる 69
ストーリー by nabeshin
単純でもフロー付はちょっと 部門より
単純でもフロー付はちょっと 部門より
あるAnonymous Coward 曰く、
(つづく)携帯電話向けテレビ配信サービスの米MobiTVは、携帯電話コミュニティであるHowardForums.comに掲載コンテンツの削除を要求した(本家/.記事)。問題の発端はフォーラムのメンバーが誰でもアクセスできるMobiTVのストリーム放送を発見したことだ。このURL(現在はアクセスできない)は暗号化されてもいないし、認証も必要ないのだが、MobiTVはHowardForums.comのオーナーであり主催者であるHoward Chui氏に使用停止を求める文書を送付した。問題のURLを掲載することはMobiTVサービスへのハック行為と同じだというのがその理由であった。
HowardForums.comのアナウンスに経緯が掲載されている。これによると、一時はサイトの一時閉鎖の可能性すらあったようだが、Chui氏がコミュニティメンバーに行動を呼びかけた結果、この話はMobiTVの社長にまでエスカレーションされたようだ。社長は「我が社の最優先事項はシステムのセキュリティ案件を正すことであり、現在取り組んでいるところだ。加えて我が社はコンテンツと携帯キャリアに対しての責任があり、システムが破られた際の影響を最小限に止めないといけない。これが法務チームの対応の根拠だった。これからもHowardForumsの面白く明るい識見を楽しみにしている。」とChui氏に語ったとのことで、事態はとりあえず丸く収まったようだ。
「これはハック?」「いいえURLです。」(本家/.コメントより)
少し前 (スコア:3, 興味深い)
韓国のテレビはテレビ局公認でネットでも見れるようになっているのですが、あるサイトに”会員でないと見れない放送局のインターネットテレビのASFファイルへの直リンクURL"がかかれていたのですが、数日後もう一度見に行ったらその部分が消されてました。
やっぱり、この件と同じようなことがあったんでしょうか。
あと、Picasa ウェブのプライバシー ポリシーにこんな記載が
アルバムを「公開」すると、公開ギャラリーにアクセスするすべての人が、あなたのアルバムを閲覧できるようになります。アルバムを「非公開」にすると、写真は公開ギャラリーには表示されませんが、URL を知っているユーザーは閲覧できます。この設定は、アルバムで [アルバム プロパティを変更] リンクをクリックすることで変更できます。
// 私はやったことないんだが、適当にURL入力して非公開のページを見てしまったら、やっぱり法的にもまずいんだろうか。
Li-ion DC 1.2V(定格:3.7V) 500mA 乾電池はリサイクルへ
いいのなら (スコア:2, おもしろおかしい)
Re:いいのなら (スコア:1)
Re: (スコア:0)
Re:いいのなら (スコア:1)
Re: (スコア:0)
的な契約を交わしてないなら、何の問題も無いと思いますよ。
契約を交わしているのなら、それに反する事はお勧めしません。
御自分の責任能力でもって判断・対処して下さい。
それに、使い捨てのセッションIDなら、
ログインし直すよう警告が出るぐらいでしょうし、
ハックでしょ (スコア:1)
使用停止を求めるのは勇み足だったと思うけど、その後は穴を塞ぐ必要性に気づいたようで、
良かったんじゃなかろうか。
Re:ハックでしょ (スコア:1, すばらしい洞察)
穴を塞ぐことじゃなくURLの削除をフォーラムに求めるという行為だったという所でしょ。
やれることからやるという意味の初動ではまぁしょうがないとは思うけど、これで法的責任を問うたりしたら
かなり恥ずかしい企業として記憶されるのではないかな。
Re:ハックでしょ (スコア:1)
#四苦八苦=4x9+8x9=108=煩悩の元
Re:ハックでしょ (スコア:1)
クラックは「手段を問わない」っていうイメージがあるので
今回の場合はどっちかっていうとクラックのが近い気がする。
#あくまでどっちかっていうと
Re:ハックでしょ (スコア:1)
想定してないってのがそもそも・・・・。
◆IZUMI162i6 [mailto]
Re:ハックでしょ (スコア:1)
クラックじゃないので問題ないでしょうね。
>サービス提供者が想定していなかった使い方をしている
そういう使い方が悪いわけでもないんだろうね。
都合が悪ければ塞ぐだけでしょうね。
>使用停止を求めるのは勇み足だったと思うけど
色々な楽しみ方があるわけで、それを許していたわけだからね。
自分の想定外の楽しみ方をされたからといって文句を言ってはいけませんね。
トランプを「ポーカーのためだけに売った」と思っていて、神経衰弱やうすのろまぬけや大貧民をした人にどうこう言うのと同じですね。
公開URLじゃないでしょ (スコア:1)
私は、アンカーなどで明示されているのもだけが「公開」だと思うが。
Re:公開URLじゃないでしょ (スコア:2, すばらしい洞察)
そのころの常識が今でもそのまま通用するとは思わないけど、基盤はそこにあるわけ。
だからリンクが張られていないURLにアクセスする行為はwebの仕組みとしてはまったく正当なもので、制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、所有者の意図がどうであろうが「公開」に違いないと思うよ。
うじゃうじゃ
Re:公開URLじゃないでしょ (スコア:3, すばらしい洞察)
> 制限する手段はいくらでもあるのにそれをせずにアクセス可能な状態で置いていた以上は、・・・
「置いていた場所」の属性が問題ですね。
公共の自転車置き場は「私有物を一時的に預ける場所」と認知されているので、持ち去るべきではありません。
しかし、「公の場」とも認知されているため、他の利用者に見られて、指を差されて、
「何この痛チャリ、きんもー☆」と言われるのを防ぐ事も出来ません。
私有地に置く分には、見られたり指を差されたりしないように、
如何なる覆いで目隠しをしようが、その場所の属性設定者の自由です。
(明確な違法行為を犯さなければ)誰にも手は出せません。
# 「意図せぬ公開」にグダグダ言い訳するヒトって、ただ見てるだけのヒトを盗人扱いしたがるよね。
# 己の不作法を棚に上げて、酷い侮辱だ。
Re:公開URLじゃないでしょ (スコア:1, 興味深い)
結局のところ論点は
「原理的に閲覧可能であるWeb上のコンテンツに対する立場の違い」
だと思います。
そしてそれは時代とコミュニティの変遷とともに変化していく。
どちらが正しいか?
という問題ではなくて、どちらが今現在、ネット上の社会通念として
コンセンサスを得ているか?でしょう。
ネットを古くから使っていてURLを自分で直入力するのが当たり前の世代では
「意図せぬ公開」でグダグダいうのは許しがたいというのは大変良く分かりま
すし、その逆もしかりです。
それに、「意図」せぬ公開という議論の「意図」の部分をどこまで取るか?に
よってもいろいろと是非がありそうですし、たとえば、Webサーバーのセキュ
リティホールのようなものは、プログラム上のセキュリティホールと設定上の
ミスによるホールが、どこまでが「意図」でどこからが「意図してないのか?」
というのも、厳密に議論すると結構難しいと思う。ですから、そんな、言葉の
問題ではなくて。広義の意味と狭義の意味がごっちゃにもなる。
だから、この手の問題を議論するときには、
「どちらがより正しいか?」ではなくて
「どちらがより今の社会に適応しているか?」
もしくは
「どちらがより未来のネットの姿に相応しいか?」
という方向性の議論をすべきだと思います。
個人的には、緩やかにですけど、法的もしくは社会のコンセンサスとして「意
図せぬ公開を公開されてしまう行為」は、徐々に違法という扱いになってしか
るべきだと思いますがね。オタクとしてはあまり好ましいとは思いませんが、
Re:公開URLじゃないでしょ (スコア:1)
>コンセンサスを得ているか?でしょう。
コンセンサスが変わっても、HTTPの機能が変わるわけではないのです。
道具を正しく使うには、正しい使い方を知っている必要がありますし、
正しい使い方を知っていればそもそもこんな問題は発生しません。
新しい要求にはそれに応じた新しい道具を創るのが筋でしょう。
例えば、選択肢を増やして公開範囲を制限することは可能かもしれません。
HTTPは大きく言って公開か認証か非公開かという三択ですが、公開したい
相手だけに認証なしに公開するという選択肢があれば摩擦は減るでしょう。
三次元空間の対人関係を、どうやって電子空間に投影するかが問題ですが
情報の統合化が進んで規格が固まれば、たとえばケータイに登録があって
お友達属性の人にだけ公開するといった設定が可能になるかもしれない。
ケータイをドングルのように使うことになったら、それはそれで抵抗がありますが……
Re:公開URLじゃないでしょ (スコア:1)
本来のルートに認証プロセスがあり、そこからリダイレクトされる構成だとしたら、
それは不正アクセスと見なされるのではないでしょうか。
「不正アクセスとは何か」--office氏の判決を読み解く:ニュース - CNET Japan
http://japan.cnet.com/news/sec/story/0,2000056024,20082116-2,00.htm [cnet.com]
で、たとえに出された鍵をかけ忘れた自転車を盗むという行為は、本来
鍵を持っている人のなりすましと考えられるので、結局は不正に
なるんじゃないですかね
Re:公開URLじゃないでしょ (スコア:1)
「不正アクセスとは何か」--office氏の判決を読み解く:ニュース - CNET Japan より引用
リンク先の件ではきちんと鍵が掛かっていたようです。
Re:公開URLじゃないでしょ (スコア:1)
もちろん読んでます。この裁判の本質はその次の括弧書き以降じゃないですか?
「設定の不備」をどこまで認めるかに依りますが、本来有るべきFTPを介した
ID、パスワード認証を迂回してアクセスしたことが問題であり、そのものに
鍵がかかっているかどうかは問題ではないように読めます。
なお、リンク先の一つ前のページ戻ってもらうと「鍵がかかってないファイルに
アクセスしたのだから問題ない」という弁護側の主張は認められていません。
--
『そうすると、本件サーバのCGIおよび本件ログファイルを閲覧するためには、
プログラムの瑕疵や設定の不備がなければ、FTPを介してIDとパスワードを正しく
入力しなければならないところを、被告人は、HTMLファイルの内容を書き換える
ことにより、変更前とは異なるリクエストを本件サーバに送信し、本件CGIを起動
させることで、ID、パスワードを入力することなく、本件CGIおよび本件ログファイルを
閲覧したということができる』
CGIにID、パスワード認証がなかったとしても、『プログラムの瑕疵や設定の不備』
(要するに脆弱性)を突いてアクセスしたのだから不正アクセスになるのである、
という論理だろう。
--
Re:公開URLじゃないでしょ (スコア:2, 参考になる)
ちなみに、FTPの認証を回避した方法が という通常行うことの無い手段で実現されているので、#1311177 のコメントのような心配はあまりないかなぁと私は思います。 さらに書くと、CNET Japan の記事では、 というふうに判決を読み取っています。
ついでに、結構前の話なので、どのような方法で"本件CGIおよび本件ログファイル"を閲覧したか忘れましたので調べてみました。
ACCS不正アクセス事件のテンプレ
http://www.geocities.jp/officeandaccs/index.html [geocities.jp]
CNET Japan の内容を踏まえて読んでみると、そう間違った情報ではないかと思いますので、参考までに。
Re:公開URLじゃないでしょ (スコア:1, 興味深い)
理想的には不正アクセスと見なされない方がいいように思います。
例えば、「ある有益な情報の載ったページを見つけたのでブックマークしておいた。
後日、どこかの掲示板にそのページへのリンクを掲載して書き込みを行った。」という場合、
もし掲示板に書き込みした時点で、そのページが認証プロセスを経てリダイレクトされる
構成に変更されているが、直打ちでアクセス可能になっていれば、不正アクセスに
なりかねないですね。
VioletR 氏の元コメントにも、CNET Japan へのリンクが付いてますよね。
たとえの方では、鍵をかけていない自転車は共用自転車なので誰でも乗って行って
構わない(実際にそういう共用自転車が多い)という駐輪場に、
共用自転車ではないが鍵をかけ忘れた自転車が置かれていて、
それに乗っていったという感じ? 要は鍵をかけ忘れているのかどうかを
完全に確認するのが困難なんですよ。
Re:公開URLじゃないでしょ (スコア:1)
こちらの書き方も悪かったけど、それは論点が違う。
元コメントは公開とみなすかどうかの基準を「リンクなどが張られているかどうか」としている。
wwwの概念ではその理屈は通用しないだろ、というのが私の見方です。
それを好き勝手に利用していいか、というのはまた別の話。
うじゃうじゃ
Re:公開URLじゃないでしょ (スコア:1, すばらしい洞察)
今回の件を自転車の例で行くと、
駅前の自転車置き場で鍵のかけ忘れた自転車が置いてあった、という話をした。
という事になるが、この話を聞いた貴方は自転車泥棒を連想するわけですね?
そんな独創的な連想法で受け入れ難いといわれても困ります。
***
なぜかセキュリティの話になると、こうやって論点をずらして話を曖昧にしようとする輩が一人二人は必ず現れますが、何故なんでしょうね?
やっぱりセキュリティに関して正しい知識を啓蒙して欲しくない立場の方なんでしょうか。
例)
サーバからデータを盗み見たという事件を指して
誤:金庫に入ってたデータを盗み出したんだから窃盗と同じ。
正:せいぜい「金庫に入ってたデータを複写した」。
持ち主の手からなくなるか残るかという点で本質が違いすぎる。
河合一穂が逮捕された事件を指して
誤:セキュリティホールを指摘したら逮捕された。
正:不正アクセスの疑いがあったから逮捕された。 (厳密には威力業務妨害の嫌疑も同時にかかってたが)
セキュリティホールを指摘するのは今でも全くもって合法。
後者の例は/.jでも多かったうえにずっと居座ってたなあ…
Re:公開URLじゃないでしょ (スコア:1)
「家」と「ホームページ(広義の意味の)」で考えてみるとわかりやすいのではないでしょうか。
どちらも同じように、住所(URL)を辿れば誰でもその場所にアクセスすることができます。
「土地」にせよ「www」にせよ、パブリックな空間です。その中にプライベートな空間を構築しているわけです。
しかし、家には敷居や壁があって、プライベートな空間であることを明示しているから、鍵がかかっていないからといって勝手に侵入していいことにはなりません。
でもWebページの場合は、URLにアクセスした時点で原理的に中身が見えてしまうわけですから、公開したくないのであれば管理者が壁や鍵をしっかりと設置しなければならないのではないかと思います。
#公開していないURLにリンクを張るな、というのは、根底に検索エンジン至上主義(あるいは、インターネットの入り口は検索エンジンであるという考え方)みたいなものがあるように思うのですが。
Re:公開URLじゃないでしょ (スコア:1)
もっとも、物理的な掲示板と違って「空間」という制約は存在しないので
あらゆるweb pageは巨大な一つの掲示板に貼られているイメージになります。
HTTP serverが認証なしに参照できる情報は、掲示板に張り出された状態です。
自分で掲示しておいて、見るなという方がどうかしています。
Re: (スコア:0)
# 情報の世界に有体物の論理を持ち込んでも遠からず破綻する可能性が高いので、独自の規範を持つことは必要な気がしています。裁判所を納得させられるかはいささか不安が残りますが。
Re:公開URLじゃないでしょ (スコア:2, すばらしい洞察)
Re:公開URLじゃないでしょ (スコア:1)
アンカーで明示されている野茂だけ??
Re: (スコア:0)
これは私のローカルホストのURLを公開しているのでハックですね。
削除を求めます。
Re: (スコア:0)
野茂とホモの見分け方
アンカーで明示されているのが野茂
Hなのにh抜きで表記してるのがホモ ttp://ww...
Re:公開URLじゃないでしょ (スコア:1)
常識の斜め上をゆく (スコア:1)
でもハックというには単純というか
「単にアクセスしただけじゃん?」
っていう流れはみんな分かってるはずなのに、
あえて
ハック/公開かどうか
を議論してる感じがなんとも。
………アレゲでいいよね。
Re:公開URLじゃないでしょ (スコア:1)
で、そのアンカーが記載されいているページへのURLは公開されているのかね?
# つーか、それでは竹本泉の『先頭の車』じゃないか。
インターネットにおいては、公開されていないのならばアクセスできない。
URLをたどるだけで誰でもがアクセスできるならば、それは公開されているのです。
fjの教祖様
Re:公開URLじゃないでしょ (スコア:1)
”公開”って、もしかして法律用語?
Re: (スコア:0)
ようつべとかニコ動とかよく検索できるなぁって思う
Re: (スコア:0)
publicly available
記事本文は
publicly accessible
これって、「誰でも利用できる」「誰でもアクセスできる」
って意味でしょ?
Re: (スコア:0)
結構あると思うんですけど,こういった既知の URL って「公開」扱い?
ホスト名のみの表記 (スコア:1)
『最新のアレゲ情報を slashdot.jp で今すぐGET!』みないな感じで。
これではプロトコルが指定されていないので、HTTP かどうかわかりません。
ftp://~.jp/ や ftp://slashmaster@~.jp/ なのかもしれませんし、
あるいは telnet://slashmaster@~.jp/ なのかもしれません。
このような表記を見て、HTTP 以外のアクセスを試みようとする行為は、
やはり"ハック"とみなされてしまうのでしょうか?
それともプロトコルを指定していない以上、ポートスキャンも想定範囲内でしょうか?
# …というわけで URL は正しく記載しましょう。」
# とパンフレットの原稿に修正依頼を出したところ、
# 「技術者の言うことはよくわからん。」と一蹴されてしまいました。
# IE のアドレスバーに入力してアクセスができればなんでも良いのだそうで。
女子高生的レスポンス (スコア:1, おもしろおかしい)
足を見られるのは嫌という、女子高生的レスポンスですね。
ミニスカはくけど足見たら痴漢ね、みたいなw
すぐに湧き出す (スコア:0)
続きはWebで [about]
日本的回答 (スコア:0)
「いいえURLです。もしかしたらハックかもしれないけど、クラックではないね。」
Re:日本的回答 (スコア:1, おもしろおかしい)
「これはハック?」
「72です」
Re:日本的回答 (スコア:1)
「ほんにょごにょん」
らじゃったのだ
公開前Webサイトを見られるハック? (スコア:0)
これはハックにあたるのでしょうか?
http://hoge/test/ [hoge]
// せめてBasic認証くらい付けようぜ!
Re:セキュリティホールは積極的に公開されるべきか? (スコア:1, おもしろおかしい)
正:穴があったら入りたい。
Re:セキュリティホールは積極的に公開されるべきか? (スコア:1)
Re:セキュリティホールは積極的に公開されるべきか? (スコア:1)
ヽ(・Д . )ノ
Re:セキュリティホールは積極的に公開されるべきか? (スコア:1)
>という情報だけ公開すれば済む話です。
ということですが、「アクセス制限すべきURL」かどうか、サイト運営者以外がどうやって判断するのですか?
「アクセス制限しているものの、穴があって見られてしまう」ならわかりますが。
「自分でリンクを張ってないから、公開してないんだ」なんてのは、いくら何でも通らないでしょう。
Re:セキュリティホールは積極的に公開されるべきか? (スコア:1, おもしろおかしい)
昔はanonymous FTPというものがあってのぅ、セキュリティーボールを投げあったりしたもんじゃ。:-P