水無月ばけらのえび日記

傍聴記録

セキュリティホールmemo (www.st.ryukoku.ac.jp)で紹介されていました:

• 不正アクセス行為の禁止等に関する法律違反の第五回公判を傍聴した記録 (上) (sp.homelinux.com)
• 不正アクセス行為の禁止等に関する法律違反の第五回公判を傍聴した記録 (下) (sp.homelinux.com)

なかなか詳しく書かれていて、たいへん参考になります。

Internet Watch の記事 (internet.watch.impress.co.jp)では「HTMLの仕様書に付随」となっていて意味不明でしたが、こちらのメモでなんとなく分かりました。「(公式の?)」という部分はおそらく「W3Cの」と言っていたのでしょう。Internet Watch の記者の方は W3C = HTML 仕様書と理解され、気を利かせて「HTMLの仕様書に付随」としたのだと思います。The World Wide Web Security FAQ (www.w3.org) の Can people see or change the values in "hidden" form variables? (www.w3.org) のことで間違いなさそうですね。

「証拠」というのは GET メソッドでアクセスしたときの挙動のことで、反例というのは javascript: スキームで POST するような URL なのでしょうね。

※もっとも、javascript: スキームの URL を作るくらいなら wfetch などでリクエストを直接作った方が早い気がしますが、早さの問題じゃないか。

うーん、これは分からなくて質問しているのか、あえて質問しているのか良く分からないですが、いずれにしても凄い質問ですね。プロトコルという言葉をどう誤解しているのかが気になるというか。

質問者の理解がアレなので質問が意味不明化していますが、Web の閲覧とファイルのメンテナンスを一緒にこなすサービスということで考えますと、WebDAV というものがありますね。WebDAV なら閲覧もメンテナンスも Web サーバがポート 80 で処理するようにできるわけですが、この場合はどうなのかというと……サービス自体にはアクセス制御機能が有るけれども、特定のファイルについては管理者がアクセス制限を解除しているので閲覧しても問題ないということになるのでしょうか。

※関係ない人が PUT したりしようとすると、401 が返ってきて識別符号の入力が求められるのでしょうか? 実は WebDAV よく知らないので何とも。

まあいずれにしても、ACCS の件では CGI は一切アクセス制御していなかったし、FTP にいくら固いアクセス制御機能があっても Web アクセスには一切関係ないとしか言いようがないと思うのですけれど。

• 「傍聴記録」へのコメント (1件)

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

いただきもの

何故か DOS/V マガジンをいただきましたので、記念に写真を撮ってみたり。

※プロフィールとか所属組織名が載ってないのは別に隠しているわけではなくて、間に合わなかっただけとかいう。

• 「いただきもの」にコメントを書く

関連する話題: 出来事 / 写真