unoの日記

2003 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2004 | 01 | 02 | 03 | 04 | 05 | 06 | 07 | 08 | 09 | 10 | 11 | 12 |
2005 | 01 | 02 | 03 | 04 | 06 | 07 | 08 | 11 | 12 |
Seasarprojectの日記はこっち

2004年02月06日

[]キックオフミーティング

明日ですね。どきどき。

京大研究員が不正アクセスで逮捕された事件

ACCS不正アクセス 京大研究員逮捕事件に関するテンプレ

不正アクセス行為の禁止等に関する法律

件の研究員が使ったアクセス手法(前者URLに記載)を不正アクセス禁止法(後者URLに記載)と照らし合わせて考える。この前者URLでのアクセス手法に関する記述が事実に合っているとした場合。

第三条2の一は、「他人の識別符号を入力」は行われていないのであるから適用されない。

第三条2の二は、「当該アクセス制御機能による特定利用の制限を免れることができる情報(識別符号であるものを除く。)又は指令」って何?ということになる。(第三条2の三においても同様かな)

その際、「特定利用の制限」を行うような「アクセス制御機能」が元々該当CGIにあったのかどうかが争点になる。

「与えたファイル名は何でも受け付けてそのファイルを表示するんだから、アクセス制御機能は無い!」というのは、それだけでは根拠が弱いと思う。それは、バグと仕様を混同するソフトベンダーと同じ穴の狢である。

自分が、アクセス制御機能の有無を判断する第一の根拠になると考えるのは、CGIプログラムの仕様書にアクセス制御機能が載っていたかどうかだ。CGIプログラムを提供していたファーストサーバはこの点で、今回の件に無関係でいることはできない。

仕様書そのものがなかった場合は、現状有姿のソフトウェアであってソフトウェアの動作(どんなファイル名も受け付ける)そのものが仕様であると判断でき、不正アクセスには当たらないと考えられる。

mail: uno at venus dot dti dot ne dot jp / 買いたい本リスト / pv:361453
R S S T I M E S