« ゲーム脳でふと検索してみる | トップページ | ガンホーの報道と株価 »

2005.03.31

不正アクセスねた

高裁までいくようですけども、とりあえずリンクのメモとか。

判決文…から解説しているようです。「ようです」というのはちゃんと入手したのかどうか書かれていないから。

脆弱性を指摘しても、とぼけられたり、こっそり修正して隠し通そうとしたり…… などという行為がなされると、指摘した側は当然不愉快に思います。

確か昔の雑誌(今は休刊の…Security Magazineだったかなあ)で、go.jpを相手にした話題でこの手の記事がありました。(執筆者はoffice氏)

今後のネットワーク社会が安全・快適な社会になるよう貢献をしていく所存です。

貢献ですか。そういえば、こんなのがありました。

なお、現在ACCSでは、上記「標準CGI」の欠陥について、レンタルサーバ会社が 負うべき責任問題について、話し合いを継続しています。

で、その後:

(関係ないですが、ファーストサーバ公表した文書のPDFファイル、今は通常のリンクからは たどれないような気がするんですが…。無かったことにしようとしている?(おいおい))

ファーストサーバ(株)は、結果的にはACCSを含む顧客に対して間違った情報を 提供したと言わざるを得ません。十分な情報公開があればこのような事態に 至らなかったと残念でなりません。

「残念でなりません」でそこで終わりなんですか…。 もっと先まで踏み込んでいってもらわないと貢献しているようには見えないんですけど。 (ひょっとして、中では賠償責任の話とかやっているのかもしれないですけど、 こちらからは何も分からないですし。)

***

ところで、その問題となったCGIスクリプトですが、こんな感じだったようです。 (さすがに中身を見るようなことはできませんでしたけど。調べても入手はできないと思いますし)

えーと「このCGIは」…

「テンプレートファイルやメール送信先を外部入力で指定する」「サニタイズしていません」

「クロスサイトスクリプティング脆弱性」「ディレクトリトラバーサル」 「ダイレクトOSコマンドインジェクション」「メールの第三者中継」

うわ、脆弱性のオンパレードだったんですか。てっきりXSSだけかと思っていたんですけど。

他にも、「一切をサニタイズしていない」とか「サブルーチンが一つもない」とかいう CGIだったようで。 (from 伝わらない)

(逆に言えば、これだけいろいろ問題のあるソースをヨセフアンドレオンが見抜けなかった ことになります、か。)

え…それだけでOKなんですか?うーむ。

***

何だか、ユーザーにとっては裁判が終わっても何も変わっちゃいないような気がするんですけど。損害賠償よりも、セキュリティホールを早急につぶしてくれるような仕組みが確立されないと、将来のインターネットの健全な発展は期待できそうにないです。

|

« ゲーム脳でふと検索してみる | トップページ | ガンホーの報道と株価 »

パソコン・インターネット」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/763/3513634

この記事へのトラックバック一覧です: 不正アクセスねた:

« ゲーム脳でふと検索してみる | トップページ | ガンホーの報道と株価 »