アカウント名:
パスワード:
> プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという
不正ではあるけど、あまりに技術力が低いのも問題では
これって不正にあたるのかな?客観的には、PR TIMESがURLを一般に周知してたか否かの差でしかないよね。
#逸般人的には周知済みだったのかも
ランダムな数字何桁かのインデックスみたいなものがついていて適当な推測を元に総当りでアクセスかけた~とかいうなら不正アクセスというか、異常なアクセスと見なされるかもしれないが程度の問題でしょうね○△□社の2021年8月2日発表のプレスリリースのURLは ○△□2021-8-2.html みたいな規則になってたなら、毎日とか一週間ごとにチェックかけるのを不正とはいえないでしょう
#何故だか分からないけど隠しURLがGoogleさんにバレることもあるので、そのあたりは念を入れて注意するのが常識
グレーゾーンが残ってると応用が利きそう。今後の株価に影響する内容のプレスリリースをそれなりに総当たりすればヒットするようなURLで置いておいて、便宜を図りたい相手が何かしかけてくる分には放置しつつ、そうじゃない余所様が覗きに来たら訴えるとか。
https://twitter.com/cheenanet/status/1413483229831516161/photo/1 [twitter.com] によると、画像一括ダウンロードのURLパラメータはcompany_id=[数字3桁]とrelease_id=[数字3桁]がキーになっていて、インクリメントされた数字っぽい感じがする
https://srad.jp/comment/4068054 [srad.jp] によればただの連番URL。連番URLがいくつまであるかわからんときにエラー出るまで一括DLとか普通の操作すぎてどこが不正なんだレベル。コマンドシェルでファイルをDLする際の標準的なツールであるwgetもcurlも連番一括DLとか当たり前に搭載してる。
通行止めにもせずにユーザーが想定通りの順路で歩かなかった事を不正と言われても、その、困る。むしろどう歩くことを想定してたかとか知らんのだし……
とはいえアラートループですら逮捕される世の中だし技術者が見たら鼻で笑う事でも法律は認めないって前例は腐るほどあるしなあ
アラートループは悪戯レベルとはいえ悪意があるけど、連番ファイルのダウンロードにはなんの悪意も無いからなぁ……指定のブラウザでのリンククリック以外のアクセスを禁止する契約を結んでいたとかならともかく、特に明確な契約を結ばずふつーにリンク踏んで連番だったので連番指定でDLした場合、それが許されないアクセス方法だと知る手段すら無い。誰かがこうして欲しいと思った内容をエスパーして従わなければ違法なんて言われたらどうすりゃいいんだ。
アラートループを悪意と表現するなら非公開のプレスリリースを見ようとURLを連番でGETするのも同じ程度には悪意だろ
連番で落とす側は何番までが公開済みかもわかんねぇよって話だよ。公開済みのを全部一括で取ろうとしたら非公開のまで落ちてきて、どこからが非公開なのかも分からんという状況になってしまう。
どうだろう。アラートループは不特定多数に小さな損害を与えるけど今回のは犠牲者はサービス元のみで、しかもどれも公開情報。クラックして入り込んだわけでもなく、誰でもアクセスできるものだったわけだ。
クラウドの公開設定をミスって公開されてるファイルにアクセスしたら不正アクセスなんだろうか。連番のアクセス頻度だけの問題?ゆっくりならOKか。
まあ、それで「治安」は良くなっても、技術力は下がるんだよな。
米国では保護者には子供を守る義務があり車などに放置したりすることを法律で禁じている様に、「WEBサーバ管理者の善管注意義務違反」とした方がいい気はするが、ここら辺、どうなんだろう。「悪いことをした人が悪い」という考えは防犯意識の欠如を招くと思いませんか。公共事業の競争入札でも、入札資料をトイレに行っている間にカメラで盗み撮りされたという、言い訳が通るのなら、まともな入札が成り立たない。特殊詐欺被害が無くならない理由のひとつは、防犯意識の欠如にあると思う。(被害者を責めるわけではないが)。(かと言って、一人暮らしの心情を考えるとすぐに相談する相手がいないという問題に行き着くわけで)。総理大臣が、金融機関に防犯指導してくれないかな。
というか、ふつうのWindows開発者・利用者だって、連番一括ダウンロード機能付きのダウンローダー(フリーソフト)ぐらい必要に応じて使いますよ。Irvine [impress.co.jp]とか
(ごめんなさい。最近はまるっきし使ってないです。SSで保存してます。)
そのへんのソフトも問題ない範囲だと言いたいんだが人によっちゃ逸般的って言うかもしれん。wgetやcurlはコンソールでファイル落とす際にはほぼ他の選択肢がない(実質)標準ソフト。この辺のソフトを特殊呼ばわりされたら死ぬわボケェって感じで必須なんよ。
某ソフトウェアのバージョンアップ版をダウンロードするのに、本社のリリースで新バージョンのリリース(とバージョン番号)を知る↓日本サイトの公開バージョン(つまり旧バージョン)のダウンロードURLを取得↓URLを改変して最新バージョンを取得ということをやっていた時期があった(サポート契約中の日本サイトからのみダウンロード可能なため)
不正アクセスだったのか…
うちの自治体のワクチン予約サイトも、9時に予約開始なのに、8時59分の時点で非公開のはずの予約サイトのURLが出てきて、しかも9時1分時点で半分近く埋まってるとかね。転売ヤーbotもあんな感じで買い占めてるんだろうな。
#予約できたとはいえ、予定が狂った#9時より前にログインしたやつは一旦全部取り消すべき# https://vaccines.sciseed.jp/ [sciseed.jp]自治体名と適当な文字列/loginがURLになることを後で知った、しかも65歳以上が先行でやってる場合は推測できる
予約や投票は公開して1分で死ぬってみんな知らんのかね
ん?コロナ予約サイトは、予約を受け付けていない状態でもいつでもログインできるよ。普段は自分の予約状況の確認や予約した接種場所へのアクセスなどの各種情報を案内するサイトとして機能しているから。
予約受付時間になったら、予約ボタンがONになる仕組み。
そんなことより、集団接種会場では「ヘルスアミュレット」なるアプリのCMが放送されているのだが、公共機関の接種でこれ問題ではないのか。
通常時のアクセス数とイベント前後のアクセス数は違うでしょ。
そりゃあ、有名バンドであれば東京ドームのチケットが4分でソールドアウトとか普通ですからね。
×技術力
○馬鹿、無知
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
おそまつ (スコア:2, すばらしい洞察)
> プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという
不正ではあるけど、あまりに技術力が低いのも問題では
Re:おそまつ (スコア:2)
これって不正にあたるのかな?客観的には、PR TIMESがURLを一般に周知してたか否かの差でしかないよね。
#逸般人的には周知済みだったのかも
Re:おそまつ (スコア:1)
ランダムな数字何桁かのインデックスみたいなものがついていて適当な推測を元に総当りでアクセスかけた~とかいうなら不正アクセスというか、異常なアクセスと見なされるかもしれないが程度の問題でしょうね
○△□社の2021年8月2日発表のプレスリリースのURLは ○△□2021-8-2.html みたいな規則になってたなら、毎日とか一週間ごとにチェックかけるのを不正とはいえないでしょう
#何故だか分からないけど隠しURLがGoogleさんにバレることもあるので、そのあたりは念を入れて注意するのが常識
Re:おそまつ (スコア:1)
グレーゾーンが残ってると応用が利きそう。
今後の株価に影響する内容のプレスリリースをそれなりに総当たりすればヒットするようなURLで置いておいて、便宜を図りたい相手が何かしかけてくる分には放置しつつ、そうじゃない余所様が覗きに来たら訴えるとか。
Re:おそまつ (スコア:1)
https://twitter.com/cheenanet/status/1413483229831516161/photo/1 [twitter.com] によると、画像一括ダウンロードのURLパラメータはcompany_id=[数字3桁]とrelease_id=[数字3桁]がキーになっていて、インクリメントされた数字っぽい感じがする
Re:おそまつ (スコア:2, 参考になる)
https://srad.jp/comment/4068054 [srad.jp] によればただの連番URL。
連番URLがいくつまであるかわからんときにエラー出るまで一括DLとか普通の操作すぎてどこが不正なんだレベル。
コマンドシェルでファイルをDLする際の標準的なツールであるwgetもcurlも連番一括DLとか当たり前に搭載してる。
通行止めにもせずにユーザーが想定通りの順路で歩かなかった事を不正と言われても、その、困る。
むしろどう歩くことを想定してたかとか知らんのだし……
Re: (スコア:0)
とはいえアラートループですら逮捕される世の中だし
技術者が見たら鼻で笑う事でも法律は認めないって前例は腐るほどあるしなあ
Re: (スコア:0)
アラートループは悪戯レベルとはいえ悪意があるけど、
連番ファイルのダウンロードにはなんの悪意も無いからなぁ……
指定のブラウザでのリンククリック以外のアクセスを禁止する契約を結んでいたとかならともかく、
特に明確な契約を結ばずふつーにリンク踏んで連番だったので連番指定でDLした場合、
それが許されないアクセス方法だと知る手段すら無い。
誰かがこうして欲しいと思った内容をエスパーして従わなければ違法なんて言われたらどうすりゃいいんだ。
Re: (スコア:0)
アラートループを悪意と表現するなら
非公開のプレスリリースを見ようとURLを連番でGETするのも同じ程度には悪意だろ
Re: (スコア:0)
連番で落とす側は何番までが公開済みかもわかんねぇよって話だよ。
公開済みのを全部一括で取ろうとしたら非公開のまで落ちてきて、
どこからが非公開なのかも分からんという状況になってしまう。
Re: (スコア:0)
どうだろう。
アラートループは不特定多数に小さな損害を与えるけど
今回のは犠牲者はサービス元のみで、しかもどれも公開情報。
クラックして入り込んだわけでもなく、誰でもアクセスできるものだったわけだ。
クラウドの公開設定をミスって公開されてるファイルにアクセスしたら不正アクセスなんだろうか。
連番のアクセス頻度だけの問題?ゆっくりならOKか。
Re: (スコア:0)
まあ、それで「治安」は良くなっても、技術力は下がるんだよな。
米国では保護者には子供を守る義務があり車などに放置したりすることを法律で禁じている様に、「WEBサーバ管理者の善管注意義務違反」とした方がいい気はするが、ここら辺、どうなんだろう。
「悪いことをした人が悪い」という考えは防犯意識の欠如を招くと思いませんか。
公共事業の競争入札でも、入札資料をトイレに行っている間にカメラで盗み撮りされたという、言い訳が通るのなら、まともな入札が成り立たない。
特殊詐欺被害が無くならない理由のひとつは、防犯意識の欠如にあると思う。(被害者を責めるわけではないが)。(かと言って、一人暮らしの心情を考えるとすぐに相談する相手がいないという問題に行き着くわけで)。総理大臣が、金融機関に防犯指導してくれないかな。
Re: (スコア:0)
というか、ふつうのWindows開発者・利用者だって、連番一括ダウンロード機能付きのダウンローダー(フリーソフト)ぐらい必要に応じて使いますよ。
Irvine [impress.co.jp]とか
(ごめんなさい。最近はまるっきし使ってないです。SSで保存してます。)
Re: (スコア:0)
そのへんのソフトも問題ない範囲だと言いたいんだが人によっちゃ逸般的って言うかもしれん。
wgetやcurlはコンソールでファイル落とす際にはほぼ他の選択肢がない(実質)標準ソフト。
この辺のソフトを特殊呼ばわりされたら死ぬわボケェって感じで必須なんよ。
Re:おそまつ (スコア:1)
某ソフトウェアのバージョンアップ版をダウンロードするのに、
本社のリリースで新バージョンのリリース(とバージョン番号)を知る
↓
日本サイトの公開バージョン(つまり旧バージョン)のダウンロードURLを取得
↓
URLを改変して最新バージョンを取得
ということをやっていた時期があった
(サポート契約中の日本サイトからのみダウンロード可能なため)
不正アクセスだったのか…
Re: (スコア:0)
うちの自治体のワクチン予約サイトも、9時に予約開始なのに、8時59分の時点で非公開のはずの予約サイトのURLが出てきて、
しかも9時1分時点で半分近く埋まってるとかね。転売ヤーbotもあんな感じで買い占めてるんだろうな。
#予約できたとはいえ、予定が狂った
#9時より前にログインしたやつは一旦全部取り消すべき
# https://vaccines.sciseed.jp/ [sciseed.jp]自治体名と適当な文字列/loginがURLになることを後で知った、しかも65歳以上が先行でやってる場合は推測できる
Re: (スコア:0)
予約や投票は公開して1分で死ぬってみんな知らんのかね
Re: (スコア:0)
ん?
コロナ予約サイトは、予約を受け付けていない状態でもいつでもログインできるよ。
普段は自分の予約状況の確認や予約した接種場所へのアクセスなどの各種情報を案内するサイトとして機能しているから。
予約受付時間になったら、予約ボタンがONになる仕組み。
そんなことより、集団接種会場では「ヘルスアミュレット」なるアプリのCMが放送されているのだが、
公共機関の接種でこれ問題ではないのか。
Re: (スコア:0)
通常時のアクセス数とイベント前後のアクセス数は違うでしょ。
Re: (スコア:0)
そりゃあ、有名バンドであれば東京ドームのチケットが4分でソールドアウトとか普通ですからね。
Re: (スコア:0)
×技術力
○馬鹿、無知