ACCSの個人情報漏洩事件で、元京大研究員に有罪判決〜東京地裁(InternetWatch)

ACCSの個人情報漏洩事件で、元京大研究員に有罪判決〜東京地裁(InternetWatch)

ぐはぁ。2月3日のエントリの冗談が冗 談では無くなってしまったではないか。

Slashdot.jpでも議論されている。HTTPでも制御していたのであればここまで議論が発展することはないと思う。

Slashdotの投稿を読んでいるとHTMLを書き換えたことからURLの書き換えと同一とは見なせないのではないかという論点があるようだが、 それは誤りだ。ブラウザベースで考えるからそんな間違った認識を持つのである。これはHTTPリクエストで考えてみればすぐわかる。

HTTPリクエストで見ると、管理者側が想定していたリクエストは以下のようなものであったと推測される。

POST /foo.cgi HTTP/1.1

host: www.example.com

file=hoge.csv

office氏が行ったのはこのリクエストのhoge.csvを別のファイル名に書き換えただけである。URLの書き換えと全く変わらない。URL の書き換えの場合はfoo.cgiを別の名前に書き換えるだけである。

file=hoge.csvの書き換え自体を認めないようにしてあったのであれば、仮にそこに抜け穴があったとしても不正アクセスとされるのに異論 はない。制御している形跡が見えないからこそ異論を唱えているのだ。

これに対してFTPでは制御も認証も行っていたというのは論理のすり替えである。少なくとも技術的には全く首肯できない。

セキュリティ,ニュース,司法

Posted by いつみゆう