2004年11月29日(月曜日)
傍聴記録
セキュリティホールmemo (www.st.ryukoku.ac.jp)で紹介されていました:
- 不正アクセス行為の禁止等に関する法律違反の第五回公判を傍聴した記録 (上) (sp.homelinux.com)
- 不正アクセス行為の禁止等に関する法律違反の第五回公判を傍聴した記録 (下) (sp.homelinux.com)
なかなか詳しく書かれていて、たいへん参考になります。
S:技術者は、禁止したいことがあれば、それなりのメカニズムで禁止をしなければならないと考えます。フォームデータが改変されることを防ぐような機能はありませんでした。これは一般的な考えで、CGIセキュリティについての(公式の?)FAQには、改変を妨げる仕組みはないから注意するようにと明記されています。またCGIの入力を信頼してはならないというサイトもたくさんあり、妨げられていないことは行っても構わないというのは管理する側にも常識です。
Internet Watch の記事 (internet.watch.impress.co.jp)では「HTMLの仕様書に付随」となっていて意味不明でしたが、こちらのメモでなんとなく分かりました。「(公式の?)」という部分はおそらく「W3Cの」と言っていたのでしょう。Internet Watch の記者の方は W3C = HTML 仕様書と理解され、気を利かせて「HTMLの仕様書に付随」としたのだと思います。The World Wide Web Security FAQ (www.w3.org) の Can people see or change the values in "hidden" form variables? (www.w3.org) のことで間違いなさそうですね。
B:csvmail.cgiのcsvmail.logへのアクセスは、アドレスの直接入力でもできましたか。
S:フォームの内容をそのままURL欄に入力してアクセスできます。
B:URLの直接入力では見られない、という証拠があるが……。
S:それは実証による証明ですか。
B:そうです。
S:不可能であるということは実証で示すことはできないので、その証明は無効です。というのは可能であるという反例がひとつあればよく、同じ環境を作って試したところ僕はアクセスできました。
B:その、URLを入力するというのと、ソースを書き換えるというのは、サーバにとっては違うのですか。
S:まったく同一です。
「証拠」というのは GET メソッドでアクセスしたときの挙動のことで、反例というのは javascript: スキームで POST するような URL なのでしょうね。
※もっとも、javascript: スキームの URL を作るくらいなら wfetch などでリクエストを直接作った方が早い気がしますが、早さの問題じゃないか。
K:サービスというのは、プロトコルのことですか。
S:違います。サービスを提供する上での規則が、プロトコルです。
うーん、これは分からなくて質問しているのか、あえて質問しているのか良く分からないですが、いずれにしても凄い質問ですね。プロトコルという言葉をどう誤解しているのかが気になるというか。
裁判官の方が「FTPとHTTPを一緒に引き受けるプロトコルがあったら」と言ったとき、篠田先生はその仮定自体を否定はなさらなかったけど、そういう手順(=プロトコル)は開発されていないし、使うニーズもなさそう(というよりファイルの転送とハイパーテキストの転送が別であるほうが便利だから別々になっているのでしょうから)なので、今後も開発されないのではないかと思います。
質問者の理解がアレなので質問が意味不明化していますが、Web の閲覧とファイルのメンテナンスを一緒にこなすサービスということで考えますと、WebDAV というものがありますね。WebDAV なら閲覧もメンテナンスも Web サーバがポート 80 で処理するようにできるわけですが、この場合はどうなのかというと……サービス自体にはアクセス制御機能が有るけれども、特定のファイルについては管理者がアクセス制限を解除しているので閲覧しても問題ないということになるのでしょうか。
※関係ない人が PUT したりしようとすると、401 が返ってきて識別符号の入力が求められるのでしょうか? 実は WebDAV よく知らないので何とも。
まあいずれにしても、ACCS の件では CGI は一切アクセス制御していなかったし、FTP にいくら固いアクセス制御機能があっても Web アクセスには一切関係ないとしか言いようがないと思うのですけれど。
- 「傍聴記録」にコメントを書く
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件
- 前(古い): 2004年11月27日(Saturday)のえび日記
- 次(新しい): 2004年11月30日(Tuesday)のえび日記