水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 森川さん

森川さん

2004年6月30日(水曜日)

森川さん

ACCS不正アクセス事件裁判、一部非公開に (www.itmedia.co.jp)」。森川さん来たー。なんと常務取締役なんですね。まあプログラミングスキルが無くてもマネジメントスキルがあれば偉くなれたりはするでしょうし、それで特に問題はないと思いますが。

セキュリティホールmemoで紹介されていた、ちせさんの「不正アクセス行為の禁止等に関する法律違反の第二回公判を傍聴した記録 (sp.homelinux.com)」も興味深く。

CGIというものは、設定者の主観の通りにではなく、記述された指示の通りに動くものである。

以上、chise's page@security 2004/06/30 より

これは、「プログラムは思った通りに動くのではなく、書いたとおりに動く」という有名な格言ですね。

ところで、第一回公判の時もそうでしたが、検察側はアクセスログの、記録された時間にとてもこだわっているように見えます。法廷ものの映画などなら、そこからどんでん返しになるところなのですが、どうなのでしょう。

以上、chise's page@security 2004/06/30 より

検察は「犯行がいつ行われたのか」ということを立証する必要があるのですが、当然目撃者などはいないので、ログから犯行時刻を立証する必要があるということなのだろうと思います。実はここにはOSコマンドインジェクションによるログ改竄というとんでもない落とし穴がありますが、今回は office さんはアクセスしたことについては争っていないので、問題にはならないでしょうね。

※もう少し書いてしまうと、Web サーバのログに Web サーバの書き込み権限が必要なのは自明で、さて CGI は誰の権限で動いているのかしら、という話。suExec なら問題ない可能性もあるのですけれど。

関連する話題: セキュリティ / ACCS / ASK ACCS 個人情報漏洩事件

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 Webプログラミング

その他サイト