[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:05321] Re: セキュリティ指摘を受けたときの正しい対応手順とは

たかはしもとのぶです。

# 夜しか反応できないので、なんか遅れてますが……

>> 不正アクセス禁止法は形式が成立すれば OK ということらしいので、
>> 指摘者が詳しく説明するために実施した手順が形式として成立して
>> いれば、タイーホってことぢゃないっすか?
>
>管理者が指摘者に対し、
>再現手段を明確にする目的に限って不正な操作を承諾してあげれば
>よくないですかね?

仮に、法律的に見て問題ない許可を管理者が指摘者に行なったと仮定しても、
許可する以前に行なった不正アクセスだと判断される行為を免責するものでは
ないですよね。

# 遡及で免責ってできるんでしょうか?

もちろん、不正アクセスだと判断されない範囲の調査で脆弱性がありそうだと
判断して該当サイトに報告を行なった上で、アクセス管理者の許可をえて、実
際に不正アクセス行為を行なうということであれば、理論上は OK だと思いま
すが、何が不正アクセスかが非常にグレーな上、形式犯とあっては、現状仮に、
サイト管理者に、訴える意志が全くないと仮定しても、指摘側のリスクを 0
にすることはできなそうな気がします。

サイト管理者が、自サイトに対して善意で行なわれた脆弱性報告が犯罪になる
ことを避けようと考えたと仮定して、現状それを実現する方法ってあるんでしょ
うか?

-----
TAKAHASHI, Motonobu (たかはしもとのぶ)         monyo@xxxxxxxxxxxxxx
                                               http://www.monyo.com/