論議をかもしています。どうやらI−MODE通販の顧客情報が
簡単に手に入ってしまう物なのですが、私は面白がって
ついついスレッドが立ってから数件顧客情報を見てしまいました。
このことについて
@情報を見たら犯罪になるのか?
A技術的には設計者またはサイト運営者に落ち度がないのか?
Bこれからこのセキュリティーをどうすべきか?
について専門的な観点から意見を聞かせてください。
犯罪者になってしまうのが、一番気になるんですけどね・・・
参考スレ
http://choco.2ch.net/test/read.cgi/news/1010387528/l50
2. 全く無いとは言いきれない 顧客に対しての責任という意味ではあると思う
3. 普通(?)はサイト管理者に報告するんだろうな 勇気要るけど
以上、終了。
ガ━━━(゚Д゚;)━━ン
やっぱり・・・
これは罪にはならないでしょうよ。
どっちかっつーと罪に問われるのは、個人情報とかを安易に入手できる場所においていう方であって。
パスワードで秘匿されている場所に置かれているものを、不正な手段で入手したのであれば、
きっちり当てはまるけど。
罪にならない。>>6のいっているように
パスワードで守られたエリアに進入したら、不正アクセスになる。
よくフリーのCGIなんかでログの名前をかえないでそのまま
使っているのを。除いてしまった場合も罪にならない。
その情報を悪用したら罪になるのは当然だが。
デフォルトのままで使ってる管理者のなんと多いことか?
スゴイな〜これは、
>技術的には設計者またはサイト運営者に落ち度
ありありでしょう。
顧客台帳が、お店の陳列棚に並べてあるようなもんだ。
petit.log
自分の過去の経験から? そんなの何の根拠にもなんないよ…。
例えば、
「CGIスクリプトのデフォルト設定のログファイル名を使って顧客情報を覗いた」
場合と
「周知の(例えばOSの)脆弱性を利用して顧客情報を覗いた」
場合の明確な違いは? 俺には分からん。駄目管理者なのは分かるけど。
どちらのケースも顧客情報を見る為に「何らかの努力」をしている。
だから今回のケースも灰色。もしかしたら濃い灰色かも。
でもそれを決めるのは司法の仕事ってことね。
過去に判例が無いとかで罪にならないと決めつけるのは危険。
別に>>1を怖がらせる為に言ってる訳じゃないよ。
でも面白半分でこういうことをやって捕まるのは嫌だろうから
これからはやっちゃ駄目だよ。
うーん いまいち説得力に欠ける
不正アクセス防止法条文みてみそ
インターネットという公然な場所に
本来秘匿すべき情報を陳列したら
陳列した人間の方が罪に問われるのは当然でしょう。
ストリーキングのお姉ちゃんが走っているのを見たら、
見た方をコウゼンワイセツ罪でしょっ引けるんですか?
そもそも、.htaccessなりで、csvやdatの参照が出来ないようにすることだって出来るし、
方法はいくらでもあるというのに、こんな風に顧客情報だの個人情報だのを
抜かれる愚かさを嗤うべきであって、たまたまそれを発見したものを
どのような法律でとがめるというのでしょうか?
>>14
のいうとおり、不正アクセス防止法は、その根拠にすらなりませんが。
>ストリーキングのお姉ちゃんが走っているのを見たら、
>見た方をコウゼンワイセツ罪でしょっ引けるんですか?
俺がそのような意味の文章を書いたの?
あえて例えるなら、
「スカートの中が覗けるまで屈むのは無実?」
という感じだと思うけど。当然スカートの中を見ること自体は問題無い。
階段を上る時上を見たらたまたまパンツが見えた、なんてのはありがち。
これも例えとしては適切じゃないけど。
>抜かれる愚かさを嗤うべきであって、たまたまそれを発見したものを
>どのような法律でとがめるというのでしょうか?
>>1が発見したとはどこにも書いてないよ。
ここで書いてるのは>>1の行為がどうかってことじゃないの?
その場合不正アクセス防止法以外が適応される可能性だって
0% じゃ無いんだけど。
件のサイト管理者に全く落ち度が無いなんてことも俺は言ってない。
だからといって「鍵が開いている家に無断で入るのは良いのか?」なんて
屁理屈を言うつもりもない。
ただ、>>1が顧客情報を見る為に何らかの努力をしたのは事実。
間違っても顧客情報を保存したログファイルにリンクが張ってあった訳じゃないんだから。
この辺をどう判断するのかは司法の仕事ってのは前に書いた通り。
でもって、こういう問題を「罪にならない」と言い切るのはどうなのか、と。
法律の専門家でもなければ言い切るのは止めた方がいいんじゃないか、と。
だから俺は「灰色」という曖昧な返事をしたわけ。法律の専門家じゃないからね。
>>1は
>について専門的な観点から意見を聞かせてください。
>犯罪者になってしまうのが、一番気になるんですけどね・・・
ていってるよ。法律かネットワークに対する専門知識がないんだったら
黙ってれば?
ていうのはちょっと意地悪な答え。
>ただ、>>1が顧客情報を見る為に何らかの努力をしたのは事実。
>間違っても顧客情報を保存したログファイルにリンクが張ってあった訳じゃないんだから。
>この辺をどう判断するのかは司法の仕事ってのは前に書いた通り。
>でもって、こういう問題を「罪にならない」と言い切るのはどうなのか、と。
正直、この件に関して
「罪になる可能性は否定できない」という論調の話をするのは明らかに
ミスリーディングだからおよしなさい。
あなた自身がいっているように、
>という感じだと思うけど。当然スカートの中を見ること自体は問題無い。
>階段を上る時上を見たらたまたまパンツが見えた、なんてのはありがち。
>これも例えとしては適切じゃないけど。
ということで、この件で罪を問わなかった判例がある。いくらでも自分で調べてくれ。
とにかく、この件が「罪になるかもしれない」
という以上、その論拠になる「法律」を指摘しなくてはいけないはずなのに、
あなたはそれをしないで、ムードだけで話しているじゃない?
とにかく、この件引っ張るんだったら、該当する法的根拠ね、下さい。
顧客情報が見れちゃったということでしょ?
以前任意のファイルが削除できるセキュリティホールが指摘されたCGIだね。
この穴についてはいまはふさがれてるけど、こんな穴もあったのか。
http://www.ansi.co.jp/tech/cgi/security/advisories/cargopro_2001_01_20.txt
>>19
打ち間違いじゃない。公開されているCGIのデフォルト設定だから、
CGIのソースを見ればわかること。これはCGIを設置した人間も馬鹿だし、
こんな危険な設定をデフォルトにしてしまったCGIの作者も馬鹿。
この手のデータファイルを置く場所はパスワードをかけるとかいう以前に、
Web経由でアクセスできない場所(public_html の外)に置くのが鉄則。
私もそう思う。
ゆえに見られたCGI設置ECサイトの責任だと思う。
見て、情報入手しただけは、罪にはならないが、
悪用すれば罪になる。
ここのスレッドの1にもリンクあるよ
書き込みできないから、ニュース速報板のスレッド一覧にある
>/tmp/フォルダはWebからアクセスできない場所に配置するか、
>それが不可能な場合は添付の.htaccessをこのフォルダに設置してください
でもデフォルト設定は変わっておらず。
https://www.netsecurity.ne.jp/article/1/3688.html
この情報見て、ふと自分サイトはどうなんだろ?っと確認したところ、
掲示板のCGIのログファイルの過去ログ用のだけ、読み取りフリーになっとった。
ウチのはIPアドレスぐらいしか覗けないけど、完璧だと自負してたのが
現実は厨房だったよ。はぁ、逝ってこよう…。
購入した商品を知る方法ってあるの?
顧客リストの電話番号に電話して、店の名前を騙り聞き出す
その方法ではパクられそうだね。
店ではログ見てどうやって希望の商品を判断してるんだろう?
やっぱ別ファイルなのかな?
前スレに別ファイルがあるからマッチさせるような事が書いてあったよ。
了解!調べてみます。
調べてもリンク貼ったり教えたりしてくれなくていいからね。
一応さっき言った前スレはこれのこと。28考えて行動してね。ナンカキケン
>カタログのコードと、csvファイルのコードを比べると、何を買ったか判るよ。
>具体的には、ヤバイから書かないけど。
スッドレスットパー。
「ドラマが戦争のシーンになっていく中で、在の成美が天皇万歳派のスガ子の脚本
に納得できなくなった」というふうに言ってしまってほされたんだYO。
1ch.tvのログ流出騒動のときに、
ログを見た人間、cgiを見た人間、すべて逮捕だよなあ…。
いおた大喜び。
今回のcgiをそのまま使って、顧客情報ファイルを用意して、
パスもかけずに放置しておいて、見にきた奴がいたら、即訴えて金取る。
痴漢訴訟の女子高生みたいなやり方は、どう?
示談に持ちこむのは有り得るかもね。
法的根拠はないんで訴訟になったら即負けだけど。
痴漢訴訟の女子高生の場合なんかも、
実際に訴訟になったらアイツらには旨みが無いわけで
駅裏とかで示談交渉するのが、そもそもの狙いだし。
>レベル低いね〜ココも。
…とわざわざ書いてみて、暗に自分のレベルの高さを
誇示したくなる程度のレベルなんですね?あなたも。
そうそう。
安い自己満足だよな。
1)まずは↓ココをクリック。
http://www.google.com/search?q=icargo.cgi&hl=ja&lr=
2)検索でヒットしたホームページに飛ぶ。
3)例えば検索でヒットしたページが↓のようなURLだとする。
「http://www.google.com/cgi-bin/icargo.cgi?form=menu」
4)↑のURLのicargo***の部分を「tmp/addr.csv」に置き換える。
例「http://www.google.com/cgi-bin/tmp/addr.csv」
5)Enterキーを押すと顧客情報ファイルを見れます。
1のリンク先の1@コピペ
http://headlines.yahoo.co.jp/hl?a=20020110-00000002-vgb-sci
「i モード EC サイト個人情報流出事件」ではなにがおきたのか?(Scan) (10日12時33分)
http://headlines.yahoo.co.jp/hl?a=20020110-00000001-vgb-sci
多数の i モード EC 構築用CGI で個人情報が多数流出の危険(Scan) (8日8時21分)
http://headlines.yahoo.co.jp/hl?a=20020108-00000001-vgb-sci
できるやんガ━━━(゚Д゚;)━━ン
かな〜り時間かかるだろ〜ね。
使ってる業者見てみたら。
想像しながら(;´Д`)ハァハァ
「バイーヴ買ったのバレバレなんだぜ。」これ最強デシタ。
どこかに落ちてないかい?古いバージョンでも可。
ttp://www.rescue.ne.jp/cgi/icargo/
あーあ、レスキューさんとこ、落ちてるよ(笑)
改定履歴に汚染チェック追加とあるので、古いの使ってるところは…
しかしレスキューもminiBBSの頃から攻撃対象にされてるのに進歩がないなぁ。
*
ものがわかっている人の多さだと思ってある意味心強くはあるけど、
反面、寂しいことでもあるよな。
こういうことを肴に、というこ気の毒な人もいるわけだけど、
ちょっくら話なんかしてみたいって思う気はあるんだけどな。
だからってそれを使って何する?ってな話になると
足がつきそうな話にしかならんという現実問題がね。。。
見て楽しむ分にはいいが、ことが事件に発展するとなると
権力機関の力技の前には小手先の技なんて消し飛んでしまうし。
または元スレの1のような情報を売り飛ばすことは?
これは安全な活用方法だと思うが…*
地下スレ過ぎて誰も来ないんじゃない?。しかしこの板dat落ちしないな。(w
女性が8割程いましたぜ(;´Д`)ハァハァ
非常に興味ありです。
見てみたいぞ!!
PGPの公開鍵貼ればコソーリ教える。(2ヶ月前なんで対策済かも)
>>64 落としそこなった、おいらも見たい。
来たよfromハローツアー
ここはsageでいこうね
もう少しヒントちょ。
ここは廃棄して本スレに戻ります。
(この板で100落とすのに何日かかると思ってるんだろう・・・。)
ttp://www.tupmatu.com/the.htm
このサイトにはびっくりした。
こういうのは、もっとこっそりとやるもんだと思ってた。
ttp://cgi1.synapse.ne.jp/~sei362ak/mailme/member.dat
ちょっとワラタ
member.dat の変換PGを作成途中です。
(DAT2CSV)
検索キーを教えてください。m(x x)m
あと、あぷろだもおながいします。
賛成
不思議だ
ttp://www.lifetrust.net/formzb/
てゆうかわかった人いる?
交際のほうはこれ。
ttp://www.kousai.com/id.html
信じられんセキュリティだ。。
R
義兄が弁護士の方ですか(プ
最新技術を使った詳細なアクセスログをとっている方ですか?(プ
あら、そうなの。スマソ。
このサイトがまるみえ。
宣伝ぢゃないよ、パーミッションの設定ミス。
なにこれ?
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705)
最近の過去ログよんだ?
ここ、やっと見えなくしたようですね
ここはマターリやりませう
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
クラックしかけてくる奴の国名ランキング(日本除く) (851)
ウイルスバスター2006のスパイウェア疑惑について (701)
The Cleaner (112)
The Cleaner (112)
物理的にマックをぶっ壊すウイルスってあるのか? (121)
【総合】サンドボックス 砂箱 sandbox (278)
--log9.info------------------
IDに時代劇語録が出たら嬉しいスレ・七ノ章 (220)
佳作・及第点だと思う時代劇作品 (107)
必殺商売人 (699)
時代劇の華「切腹」について語れ! (128)
【尾上菊之助】弥次喜多隠密道中【目黒祐樹】 (169)
「水戸黄門」由美かおるの後釜は誰がいい? (288)
一般人と時代劇ファンの見分け方 (404)
勝手なキャスティング 時代劇板版 (127)
時代劇の名脇役俳優総合 (170)
【藤沢周平】NHK 蝉しぐれ 其の十【HD放送化】 (241)
【BS時代劇】猿飛三世 Part1 【2012年10月期】 (824)
【木曜時代劇アンコール】鞍馬天狗 (127)
[露口茂] (140)
☆セリフだけで何の時代劇か当てるスレ 第1部☆ (202)
必殺シリーズの名セリフを語ろう (755)
【フンドシ】時代劇のチラリズム【ジュバン】 (252)
--log55.com------------------
東方神起の雑談避難所14278
羽生結弦と高橋大輔アンチスレ
50代の奥様(ID梨) part1
自爆に負けた和歌山連呼が暴れるから浅田真央がますます嫌われる
別館★羽生&宇野&高橋アンチスレ
【悲報】ナンバーワンユーチューバーはじめしゃちょーさん、SwitchをUUUMから貰えず
【東ノキ】乃木ヲタ・欅ヲタ鉄道研究部避難所 1両目【東ケヤ】
アフィカスゲーム実況者速報のナポ婆だよお
