管理者が想定していないアクセスは不正? ACCS裁判(ITmedia記事)
管理者が想定していないアクセスは不正? ACCS裁判(ITmedia記事)
検察側は、同行為はサーバ管理者が通常利用と想定している利用法とは異なるため、不正アクセスにあたると主張している。
それはサイバーノーガード戦法(Net Security)を推進しようという発言か?意図でサーバを守れるんだったら誰も苦労はしない。
何度繰り返された発言だかもうわからなくなっているが、再度確認しておこう。
HTTPというプロトコルはステートレスである。クライアントが投げたリクエストに対してサーバがレスポンスを返すという一連の流れで完結してい る。逆に言えば、レスポンスを読み込んで新たなリクエストを生成するのはクライアントの機能であって、プロトコルに定められた動作ではない。仮に全くオリ ジナルのレンダリングエンジンをもつブラウザを作成したとして、そのエンジンにバグがあったためフォームデータが必ず文字化けしたとしても、それは HTTPというプロトコルから見れば正当なリクエストである。
想定していない利用法というのはあくまでアプリケーション設置者にとってであり、そんなことはHTTPというプロトコルは一切関知しない。管理者= アプリケーションが想定していない、と自ら言っているのだから防御する義務はアプリケーションにあると俺は考える。そしてそのアプリケーションに、パラ メータの改変を想定した防御は一切なされていなかったのであれば、これは不正アクセスとは思えない。
上記の意見は、仮にWebサーバの設定による公開はされていなかったとしても、アプリケーションで閲覧可能であったのであれば、それは公開状態であ るという考え方に基づいている。少しでも防御していれば俺も不正アクセスと言うのだが、実際にどうだったのかは俺にはわからない。これが異なれば結論もお のずと変わるだろう。