2004年6月30日(水曜日)
森川さん
「ACCS不正アクセス事件裁判、一部非公開に (www.itmedia.co.jp)」。森川さん来たー。なんと常務取締役なんですね。まあプログラミングスキルが無くてもマネジメントスキルがあれば偉くなれたりはするでしょうし、それで特に問題はないと思いますが。
セキュリティホールmemoで紹介されていた、ちせさんの「不正アクセス行為の禁止等に関する法律違反の第二回公判を傍聴した記録 (sp.homelinux.com)」も興味深く。
CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである。
これは、「プログラムは思った通りに動くのではなく、書いたとおりに動く」という有名な格言ですね。
ところで、第一回公判の時もそうでしたが、検察側はアクセスログの、記録された時間にとてもこだわっているように見えます。法廷ものの映画などなら、そこからどんでん返しになるところなのですが、どうなのでしょう。
検察は「犯行がいつ行われたのか」ということを立証する必要があるのですが、当然目撃者などはいないので、ログから犯行時刻を立証する必要があるということなのだろうと思います。実はここにはOSコマンドインジェクションによるログ改竄というとんでもない落とし穴がありますが、今回は office さんはアクセスしたことについては争っていないので、問題にはならないでしょうね。
※もう少し書いてしまうと、Web サーバのログに Web サーバの書き込み権限が必要なのは自明で、さて CGI は誰の権限で動いているのかしら、という話。suExec なら問題ない可能性もあるのですけれど。
- 「森川さん」にコメントを書く
関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件
- 前(古い): 2004年6月27日(Sunday)のえび日記
- 次(新しい): 2004年7月1日(Thursday)のえび日記
