アカウント名:
パスワード:
http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]下手に直接連絡すると不正アクセスしたと訴えられかねん
基本的には個人で問い合わせるよりも、IPA経由の方が迅速な対応が期待できますね。IPAでも最低限の確認はするでしょうから、サイト運営側も最初から信頼性のおける情報として接することができるでしょう。
迅速云々よりも、少なくとも日本だとURLを手書きしてアクセスしたら不正アクセスになるから、自分の身を守るためにも対策が必要。
不正アクセス防止法は「他人のアカウントを利用する」「本来権限のない情報にアクセスする」といった要件がある。権限の設定が誤っている場合は対象にならない。その情報の使い方によって業務妨害と見做されたりすることはありえることだが。
この場合はサイト管理者の方が個人情報保護法違反で刑事罰をくらう可能性がある。
法律にはアカウントなんて概念は出てこないけど。ちゃんと読んで来いよ。「他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」に相当するので違法だよ。識別符号はIDともパスワードとも限らず、Cookieや、URL中のセッション番号でも良い。そしてアクセス制御機能は設計されている証拠があれば、欠陥があろうとも無かろうともアクセス制御機能が成立し、不正アクセス禁止法で保護される対象になる。アクセス制御機能に欠陥があるなら保護されないなんて理屈が通るわけ無いだろ?有罪になる人間が居なくなる。
もちろん、他人のコンピューターにあるCookieやセッション番号を盗んできたら成りすませるわけだからみだりに第三者に知られたらまずいでしょ。ローカルに保存しておいて、それを参照しなければアクセス出来ないような制御がされているんだから、そのような仕様書が書かれた時点で規約とか関係なしに「第三者に知らせてはならないもの」扱いでしょ。どういう意図で設計されているか、運用されているかは明文化されている必要がないからね。他の証拠で立証できればそれで良い。
法律には、利用規約に書かなければ保護しませんなんて書いてないけど。秘密にしようとしていた意図が存在したことの、数ある立証手段のうちの一つが規約文書ね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
IPAに連絡 (スコア:5, 参考になる)
http://www.ipa.go.jp/security/todoke/index.html [ipa.go.jp]
下手に直接連絡すると不正アクセスしたと訴えられかねん
Re: (スコア:3, すばらしい洞察)
基本的には個人で問い合わせるよりも、IPA経由の方が迅速な対応が期待できますね。
IPAでも最低限の確認はするでしょうから、サイト運営側も最初から信頼性のおける情報として接することができるでしょう。
Re: (スコア:1)
迅速云々よりも、少なくとも日本だとURLを手書きしてアクセスしたら不正アクセスになるから、自分の身を守るためにも対策が必要。
Re: (スコア:0)
不正アクセス防止法は「他人のアカウントを利用する」「本来権限のない情報にアクセスする」といった要件がある。
権限の設定が誤っている場合は対象にならない。
その情報の使い方によって業務妨害と見做されたりすることはありえることだが。
この場合はサイト管理者の方が個人情報保護法違反で刑事罰をくらう可能性がある。
Re:IPAに連絡 (スコア:0)
法律にはアカウントなんて概念は出てこないけど。ちゃんと読んで来いよ。
「他人の識別符号を入力して当該特定電子計算機を作動させ、当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」に相当するので違法だよ。
識別符号はIDともパスワードとも限らず、Cookieや、URL中のセッション番号でも良い。
そしてアクセス制御機能は設計されている証拠があれば、欠陥があろうとも無かろうともアクセス制御機能が成立し、不正アクセス禁止法で保護される対象になる。
アクセス制御機能に欠陥があるなら保護されないなんて理屈が通るわけ無いだろ?
有罪になる人間が居なくなる。
Re:IPAに連絡 (スコア:2)
細かく条件はありますが、とりあえず「識別符号」とは、「当該アクセス管理者によってその内容をみだりに第三者に知らせてはならないものとされている符号 」のようです。
大抵の場合、利用規約でパスワードは利用者の責任で秘密にすることが求められていますが、Cookie やセッション番号についても秘密にするように言及されているものも多いのでしょうか?
Re: (スコア:0)
もちろん、他人のコンピューターにあるCookieやセッション番号を盗んできたら成りすませるわけだからみだりに第三者に知られたらまずいでしょ。
ローカルに保存しておいて、それを参照しなければアクセス出来ないような制御がされているんだから、そのような仕様書が書かれた時点で規約とか関係なしに「第三者に知らせてはならないもの」扱いでしょ。
どういう意図で設計されているか、運用されているかは明文化されている必要がないからね。
他の証拠で立証できればそれで良い。
Re: (スコア:0)
法律には、利用規約に書かなければ保護しませんなんて書いてないけど。
秘密にしようとしていた意図が存在したことの、数ある立証手段のうちの一つが規約文書ね。