アカウント名:
パスワード:
悪用する方法を書いて実際に予約まで取ってるマスコミってクソじゃね?
取った予約はキャンセルしましたって、それは「返したからいいだろ」って言ってる万引き犯と同レベルじゃん。
普通は記事にする前にバグについて問い合わせて時間置いてから情報公開しますよね。こんなことやってるから情報の信用度も減っていくんでしょうね。
それはセキュリティホールが誰も知らない場合に発見者が踏む手順ですね。今回のこれはザル過ぎて既に被害者が大量発生している可能性が高いシステムに対応を迫る話ですから全く条件が違いますよ。
報道されるまで誰も知りませんでしたが何か
報道前にSNSでは結構流れてたよ。
Twitterと5chでは報道前から話題になってたわアンテナ低いだけで知らなかった馬鹿どもの一人なのに糞ダサいなお前自分が知らないことは誰も知らない事自分が知ってる事が世界の全てでその全てが正しいと思ってるだろ?子供かお前は
そのURLひとつ出さないで人格否定を優先してくる様が実にお子様でつね
既に被害者が大量発生しているとは知らなかった誤入力の可能性があるという程度ではなく、悪用している人間がいる、という前提がないと成り立たない理屈だよね
接種始まってたっけ?そんなに被害者が大量発生してるって本当なの?公開したことで被害者増える可能性は無い?
> 普通は記事にする前にバグについて問い合わせて時間置いてから情報公開しますよね。
今回は置いておく時間がとれなかったということでしょう。
SQLインジェクションはバグでしょう。しかし、別人の番号でも予約が取れるのは仕様だと思います。
バグってのは作ったつもりの通りに動かないとか、設計通りでない動きをする場合。
今回のはシステム上に正しい番号かどうか検証する仕組みが桁数くらいしかないのでバグではありません。
バグではなく、設計通りの動作について問題を提起するのは別に良いのでは?
それが仕様だろうがバグだろうがセキュリティ上の問題を引き起こす場合はむやみに公開してはいけない当たり前の話
泥棒「アホか。こんな糞システムで公開した奴が悪いわ」
クソシステムだからと言って無法地帯じゃないけど
それ、悪人側の論理ですよ。
万引きって実際にモノを盗ってるけど、キャンセル予約した場合って、システム上OKとなってる以上は盗んだことにならないですよね?同列とはならないのでは?
カバンに入れて→店の外に出て→また入って棚に置く普通に万引きじゃね?
見咎められなければ商品を店外に持ち出しても元に戻せば窃盗ではないと言うようなもの
それに何らかの公益性があれば起訴はされないだろうけど、倫理的に許されるか許されないか微妙なラインだと思う
論理的には万引きできることを確認したうえで万引きしなかったということなので。正確に例えるなら、無人販売店に並べられたキャベツを手に取って、買わずに元に戻したってところ。
システム上は番号を入力ミスして取り消したのと同じ。
不正アクセス禁止法では、アクセス制御機能(ID/Passwordの認証など)があるシステムが対象で、今回のタコシステムは要件を満たさない。
ただし、いきなり致命的な欠陥だらけであることをばらしてしまったことは倫理的に問題がありそう。この酷い出来から考えて、マスコミ記者が見つけてしまうくらい分かりやすい欠陥だからいずれ公にされたことだろうけど。
入力が受け付けられることを確認して、予約確定の直前で止めたなら万引しなかったと言えるけど予約確定させてから予約取消しをしているのなら、万引してから商品を元に戻したといえるかと。
不正アクセス禁止法違反ではないけど、不正な予約をして接種予約や接種自体の邪魔をすれば偽計業務妨害にはなりえるSQLインジェクションは仕様じゃなくてバグだが、実証コード作ったら不正指令電磁的記録作成罪に問われるリスクはある
実環境で試さにゃわからんこともあるだろうから、極力影響のない範囲でやることは全部非倫理的で悪いことだとは思わないけど最悪書類送検ぐらいは覚悟したほうがいいかも。起訴は余程悪意がなければきっとされない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
万引き犯と同レベルのAERA (スコア:0)
悪用する方法を書いて実際に予約まで取ってるマスコミってクソじゃね?
取った予約はキャンセルしましたって、それは「返したからいいだろ」って言ってる万引き犯と同レベルじゃん。
Re:万引き犯と同レベルのAERA (スコア:1)
こんな糞システムで公開した奴が悪いわ
Re:万引き犯と同レベルのAERA (スコア:1, すばらしい洞察)
普通は記事にする前にバグについて問い合わせて時間置いてから情報公開しますよね。
こんなことやってるから情報の信用度も減っていくんでしょうね。
Re: (スコア:0)
それはセキュリティホールが誰も知らない場合に発見者が踏む手順ですね。
今回のこれはザル過ぎて既に被害者が大量発生している可能性が高いシステムに
対応を迫る話ですから全く条件が違いますよ。
Re: (スコア:0)
報道されるまで誰も知りませんでしたが何か
Re: (スコア:0)
報道前にSNSでは結構流れてたよ。
Re: (スコア:0)
Twitterと5chでは報道前から話題になってたわ
アンテナ低いだけで知らなかった馬鹿どもの一人なのに糞ダサいなお前
自分が知らないことは誰も知らない事
自分が知ってる事が世界の全てでその全てが正しいと思ってるだろ?
子供かお前は
Re: (スコア:0)
そのURLひとつ出さないで人格否定を優先してくる様が実にお子様でつね
Re: (スコア:0)
既に被害者が大量発生しているとは知らなかった
誤入力の可能性があるという程度ではなく、悪用している人間がいる、という前提がないと成り立たない理屈だよね
Re: (スコア:0)
接種始まってたっけ?
そんなに被害者が大量発生してるって本当なの?
公開したことで被害者増える可能性は無い?
Re: (スコア:0)
> 普通は記事にする前にバグについて問い合わせて時間置いてから情報公開しますよね。
今回は置いておく時間がとれなかったということでしょう。
Re: (スコア:0)
SQLインジェクションはバグでしょう。
しかし、別人の番号でも予約が取れるのは仕様だと思います。
バグってのは作ったつもりの通りに動かないとか、設計通りでない動きをする場合。
今回のはシステム上に正しい番号かどうか検証する仕組みが桁数くらいしかないのでバグではありません。
バグではなく、設計通りの動作について問題を提起するのは別に良いのでは?
Re: (スコア:0)
それが仕様だろうがバグだろうがセキュリティ上の問題を引き起こす場合はむやみに公開してはいけない
当たり前の話
Re: (スコア:0)
泥棒「アホか。
こんな糞システムで公開した奴が悪いわ」
Re: (スコア:0)
Re: (スコア:0)
クソシステムだからと言って無法地帯じゃないけど
Re: (スコア:0)
それ、悪人側の論理ですよ。
Re: (スコア:0)
万引きって実際にモノを盗ってるけど、
キャンセル予約した場合って、システム上OKとなってる以上は盗んだことにならないですよね?
同列とはならないのでは?
Re: (スコア:0)
カバンに入れて→店の外に出て→また入って棚に置く
普通に万引きじゃね?
Re: (スコア:0)
見咎められなければ商品を店外に持ち出しても元に戻せば窃盗ではないと言うようなもの
それに何らかの公益性があれば起訴はされないだろうけど、倫理的に許されるか許されないか微妙なラインだと思う
Re: (スコア:0)
論理的には万引きできることを確認したうえで万引きしなかったということなので。
正確に例えるなら、無人販売店に並べられたキャベツを手に取って、買わずに元に戻したってところ。
システム上は番号を入力ミスして取り消したのと同じ。
不正アクセス禁止法では、アクセス制御機能(ID/Passwordの認証など)があるシステムが対象で、今回のタコシステムは要件を満たさない。
ただし、いきなり致命的な欠陥だらけであることをばらしてしまったことは倫理的に問題がありそう。
この酷い出来から考えて、マスコミ記者が見つけてしまうくらい分かりやすい欠陥だからいずれ公にされたことだろうけど。
Re: (スコア:0)
入力が受け付けられることを確認して、予約確定の直前で止めたなら万引しなかったと言えるけど
予約確定させてから予約取消しをしているのなら、万引してから商品を元に戻したといえるかと。
不正アクセス禁止法違反ではないけど、不正な予約をして接種予約や接種自体の邪魔をすれば偽計業務妨害にはなりえる
SQLインジェクションは仕様じゃなくてバグだが、実証コード作ったら不正指令電磁的記録作成罪に問われるリスクはある
実環境で試さにゃわからんこともあるだろうから、極力影響のない範囲でやることは全部非倫理的で悪いことだとは思わないけど
最悪書類送検ぐらいは覚悟したほうがいいかも。起訴は余程悪意がなければきっとされない。