[Tep-j-general] Re: 脆弱性とか

Zurück zum Archiv-Index

TAMURA Toshihiko tamur****@bitsc*****
2004年 4月 10日 (土) 14:27:35 JST


こんにちは、田村です。

はまださん:

> 脆弱性への対策自体はすごく大事な事だと思うんですが、脆弱性を見つけるため
> のプロセス(要するに「(疑似)アタック」)に対して
> 
> ・不正アクセス禁止法
> ・刑法
> 
> によるブロックががっちりかかってますんで、ちょっとその辺が怖いな〜という
> 印象です。

ええ、「発見者」が何をしてもいいのか、何をすれば違法なのかは、
よく分からないですね。
現状ではセキュリティに関する一般的な見解や合意のようなものが
できているわけではないので、今回のガイドラインをもとにして、
しだいに形が決まってくるのかもしれません。

まどろっこしくはありますが、
まあ、妥当な展開なのではないかと思います。


> 「自分のシステムは自分で何とかしろ。他人のところで迂闊なテストをすると不
> 正アクセスとしてしょっ引く」
> 
> 的なお上の基本方針は、
> 
> 「わざわざ俺が不正アクセスに挙げられるリスクを冒してまで脆弱性を見つける
> ことはないや」
> 
> という方向の「悪い」影響をコミュニティに与えるんじゃないかと心配になりま
> す。逆に、ゼロディアタックの危険性を増やしてるような気も。

うーん、そんなふうにとらえる人もいますね。
先日のACCS事件については、別の事情もあったので、
あの延長上に考える必要はないと思います。

むしろ、脆弱性が発見されたときのサイト運営者の責任が明確になれば、
あんなこじれ方もしないのではないでしょうか。


> ワタシも少し前の投稿で
> 
> 「osCommerceから問答無用に個人情報を引っこ抜く」
> 
> スクリプトとか出しちゃったんですが、アレは確信犯的にスクリプトの名前を指
> 定しませんでした。
> 
> たとえばアレにtest.phpとか名前を付けてて、(これは管理ツールの一種ですか
> らまさか/catalogのほうに置くようなことはないでしょうが:^^;)
> 
> /catalog/test.php
> 
> に対するアクセスがあった場合、これって不正アクセスになるのかどうか、もし
> 不正アクセスじゃないにしても、それで確実に顧客の個人情報を抜かれてしまう
> →しつこく
> 
> 「これは非常にヤバいスクリプトです」
> 
> と念を押すべきだったんでしょか??

ああ、そういえばそうですね。
実際に使われる場面でのセキュリティに注意するのは難しいですけど、
そういった配慮が必要なんですね。

-- 
田村敏彦 / 株式会社ビットスコープ
E-mail:tamur****@bitsc*****
http://www.bitscope.co.jp/





Tep-j-general メーリングリストの案内
Zurück zum Archiv-Index