合否確認のためのシステム侵入で不合格に 141
ストーリー by Acanthopanax
侵入は侵入 部門より
侵入は侵入 部門より
Anonymous Component曰く、"CNNの報道によると、インターネット上に流れた「オンライン出願システムApplyYourself」に侵入するための情報を使って、正式な合格者発表の約1週間前にApplyYourselfに侵入したハーバード大ビジネススクールの119名の受験生達が不合格にされるそうです。
このサイトの役割は情報伝達なので、受験生達は受験結果を操作しようとしたわけではなく、早く合否結果が知りたかったという事なのですが、ビジネススクールの学長は「非道徳的で信用を裏切る行為」を行ったとして、「そのような行動を取った受験生達を受け入れる事は無い」と明言しているそうです。当然だろうと思う反面、受験生達は自分の行動の意味をはっきり認識していたのだろうか、と思うと切なくなるような話です。"
URLの推測は非道徳的で不正だ by Harvard (スコア:5, 参考になる)
Ed-Tech Insider: Defining "Hacking" [eschoolnews.com]
O'Reilly Developer Weblogs: Not linking is not security [oreillynet.com]
これらのページによると「不正侵入」の手順は以下の通りだ。
1. 自身のID及びPASSWORDを用いてApplyYourself.comに正規の手段でログインする。
2. ログイン後のページのソースを見て特定の文字列を探す。
3. ブラウザのアドレスバーに表示されているアドレスの一部を
"ApplicantDecision.asp"と書き換え、手順2で取得した文字列を追加する。
4. ブラウザの移動ボタンやエンターキー等を押しページを移動する。
5. 完了。
以上の情報とHarvardの主張を総合するとURLの推測は非道徳的で
人道に悖る非常に悪質かつ許容し難い不正な裏切り行為であるようだ。
俺も俺の隠しページを勝手に見た奴に賠償金を請求したり出来るだろうか。
Re:URLの推測は非道徳的で不正だ by Harvard (スコア:1)
ところで、URL推測アクセスって本当に完璧アウトなんでしょうか?
アウトなら以後謹しまねば...
そうなると、会社名とかから推測できるURLも公開されているか否か(どこかからリンクが貼ってあるか否か等々)をチェックしてからでないと、アクセスできなくなるのか...
Re:URLの推測は非道徳的で不正だ by Harvard (スコア:2, おもしろおかしい)
勝手に/favicon.icoを読みに行くようなのですが、これも不正アクセスですかね。
また、ブラウザの開発者は幇助犯になってしまうのでしょうか。
Re:URLの推測は非道徳的で不正だ by Harvard (スコア:1)
何的にアウトか否かという話なのでしょうか?
法的にアウトという話はアメリカでもしてないようです。
ハーバード大ビジネススクール的にアウトかどうかという話であれば、どうやらアウトのようです。
やっぱりTPOが大事なんじゃないでしょうかねぇ。
確かに (スコア:1, おもしろおかしい)
#過激派と間違われ拘束されたことがあるのでAC
それはちがうでしょう (スコア:1)
Re:それはちがうでしょう (スコア:3, 興味深い)
校長のコメントは「非道徳的」「信用を裏切る行為」ですよ。
犯罪かどうかという話はしてません。
ビジネススクールとしてimmoral はアウトと判断してもおかしくないと思います。
#ましてや「特定の URL に自分の受験番号を入れて試してみる、程度」って
#簡単に詐欺にひっかかってしまうような手合いはお断りって言われても仕方ないのではないかと
Re:それはちがうでしょう (スコア:1)
>道徳的な判断ができれば容易にヤバイことは理解できる内容ですよ。
覗く方法が不法性が高くないと感じれば、疑問をもたなくてもおかしいわけではないでしょう。
あなたは「容易に」とおっしゃいますが、判断基準を容易に共有できるのは、似通った道徳的な背景を持つ人同士だけですよ。
>他の投稿にも多いが
>物理的動作だけ見て、その背景にある目的・意思・影響を無視しすぎ。
あなたは事実を無視しすぎ。
不法性、犯罪性が高いことを容易どころか確定的に判断できるものを比較に持ち出してもなんの意味もないです。
とはいえ、今回の件において、発表日という約束を無視して自らの欲求を優先してしまっていることをもって、
道義的、信義的に問題があると判断される可能性は考慮しなければならなかったんじゃないかぁと思いますよ。
ましてや、ビジネススクールを受験するような人なんだし。
Re:それはちがうでしょう (スコア:1)
う~ん、やはり不法性の程度の問題でしょ。
少しでも不法性のあるような行為はしない人や
常に疑問を感じながら行動してる人というのはそうはいないと思いますよ。
>まるで、今回の内容が容易に判断できないような言い方ですね。
そりゃ、道徳(とか常識とか)なんぞに依存してればできるわけないと思いますがね。
たとえば、私は、議論している相手に向かって
>お前の言う「事実」とは?
などというように「お前」と呼ぶことは道徳にもとる行為であると思っていますが、
あなたは平然と使ってませんか?
なぜ容易に判断できるはずなのに使うのですか?
>さらに、自分が容易に判断できないと思う状況なのに疑問を持って行動すると事も無くてよいと?
そんなことは言ってませんよ。
判断するしない以前に疑問にも思わない可能性は十分にあると言ってるんです。
たとえば、法による基準であれば、ほぼ明確でしょう。
#中には理解できない人や理解したくない人もいたりはしますが
しかし、道徳などというように明確な基準がないものであれば、人によって基準がまちまちになるのは避け得ないと思います。
それを「容易である」と主張されるのでしたら、容易である根拠が必要なのではないでしょうか?
#自分がそう思う 以外の根拠が
>お前の言う「事実」とは?
今回の該当者がどう思って行為を為していたかという「事実」。
あなたは「隠されたページへの侵入」と断じていますが、
果たして彼らはそのような理解の元にその行為を為したのでしょうか?
途中経過を見ずに結果だけを見ていたり、途中経過だけ見て結果を問わなかったりすれば、
どちらであってもおかしな話になりますよね?
>と言う感想を持ちながら「疑問をもたなくてもおかしいわけではないでしょう。」と言う結論がなぜ出てくるのか非常に疑問です。
「自分では問題のある行為だと思わないが、他人から問題があると思われる可能性があるのでやめておこう」
という判断を、私は「道徳的な判断」とは呼ばないので。
Re:それはちがうでしょう (スコア:1)
百年以上も前の近隣の村しか存在しない(認知できない)社会ならまだしも、いまどきそんなものが存在するとでも思ってるのかしら?
>「不法性が高くないと感じれば」と既に感じていることを前提にしているのに今更感じないことを理由に
大小の問題だといってるのにゼロイチの二進数に置き換えないでもらえますか?
そういうことでないと都合が悪いのですか?
>舌の根も乾かないうちに何を言っているのでしょうか?
自分では容易に出来るといいながら、できもしないでいることを説明してるだけですよ。
>ちなみに私は容易に判断できますよ。道徳的に判断して何の問題もないと。
あなたが部屋で独り言言ってるならともかく、
誰かの相手をしている状況においてあなただけが判断できるかどうかは関係ないんですよ。
あなたの判断と相手の判断が同じであるのは、似通った道徳的な背景を持つ人同士だけだって前にも言ったでしょ。
件の受験生が「道徳的に判断して何の問題もない」と容易に判断しても、あなたは問題だと思うんでしょ?
>ええ、条件を変えて判断できない奴だというのを話の主題に持ってくるならそれに変更しても良いですよ。
あなたはいつも自分の行動が「容易に判断できるかどうか考えてから」行動してるの?
できる/できないなどという話はしていないのに、そういうことにしたがるのはなぜ?
そっちの方が都合がいいの?
>ほら、理解できないとか、容易である根拠が必要とか、無知が免罪符になるとはっきり言っている。
なんだ、結局、根拠もなく「自分がそう思うからそうだ」といってるだけか……
>「自分では問題のある行為だと思わないが、他人から問題があると思われる可能性があるのでやめておこう」はまさに道徳のカテゴリーですね。
……
あなたの道徳観がその程度のことに基づいているのはわかりましたが、
その基準ですと「他人から問題があると思われる」という主観に過ぎず、
「道徳的な判断ができれば容易にヤバイことは理解できる」ということにならないのでは?
#コメント頭の「普遍的な道徳ってのが存在してる」と信奉してるのであれば
#あなたの中では解決しててもおかしくないんだろうけどさ
Re:それはちがうでしょう (スコア:1)
あなたの道徳とわたしの道徳は一致してないでしょって言ってるの。
>#ちなみにそんな村でも道徳は常に変化していきますね
変化しようがしまいが、その村に住む人間同士には一致してるでしょうね。
でも、あなたの住む村とわたしの住む村は違うの。
そして、件のビジネススクールの受験生たちが住む村も違うの。
おまけにお互いの村がどういうものかすらも不明なの。
よくこんな状態で道徳を基準に持ち出せるよなぁ……
わたしが言ってるのは、件の受験生の行為はある判断基準から非難されることはあっても仕方ないだろうが、
その判断基準を「道徳」において非難してるやつは阿保だ ということだけだよ。
Re:それはちがうでしょう (スコア:1)
ふーむ、たしかに近しいかもしれない。
それにしては、119人は多すぎるかもしれないけど、総数がわかんないからなんとも言えないか……
>えーと、道徳的判断が間違っている事をもとに道徳的に間違っていると非難するのは阿保とは?
ごめんなさい、私の表現がだいぶすっとんでましたね。
「道徳的な判断ができれば容易にヤバイことは理解できる」というのが阿保だということです。
行為の結果について、ビジネススクール側から「非道徳的だ」という評価をされたとして、
では、受験生は「道徳的な判断ができれば容易にヤバイことは理解できるか?」というとそれは否だろ ということです。
「道徳的」が同じ基準であれば判断できるであろうが、そうでない人にはできないだろう。
その「そうでない」というのは、判断する能力がないだけの場合もあれば、そもそも判断基準が異なっている場合もある。
ってだけの話。
>相互関係を否定し個の判断でよしとする理由は?
よしとしてませんよ。
「個の判断ですべて解決できたはず」とする意見をよしとしていないだけです。
Re:URLの推測は非道徳的で不正だ by Harvard (スコア:1)
認証かけて権限で制約つけるなり、flashやjavascriptで隠匿するなり、APサーバで特定ルートからしか行けないようにするなり、ナンボでも方法があるだろうに(苦笑
# 管理者IDが漏れたらおじゃんですがねw
システム構築運営するだけのポリシーがないんじゃないかと小一時間:-P
---- 何ぃ!ザシャー
Re:URLの推測は非道徳的で不正だ by Harvard (スコア:2, 興味深い)
というのはあまりに暢気、と言わざるを得ません。
既に本当にそうなっているのだから。 もし今回のケースが国内で起きた場合、警察や検察は、三(認証とデータが同一マシンにある場合には二)に該当する不正アクセス行為と見なす可能性があります。
「ある期日後に合否結果を表示する機能」の「ある期日後に」という「制限」を免れることができる「指令 [srad.jp]」を入力している、というように当てはめることができるからです。
というか、例のあの裁判での検察の主張を考えれば、 その可能性はかなり高いのではないでしょうか。
我々は、知的好奇心を否定する。 (スコア:3, 興味深い)
研究熱心な学生はいらない。モラルこそ全てだ。
むらちより/あい/をこめて。
Re:我々は、知的好奇心を否定する。 (スコア:1)
Re:激しくオフトピ (スコア:1)
であれば普通であると聞きました。
#今調べたところ、関白相手でも使うみたいです。
ひょっとして、T.MURACHIさんはあのお方のお忍びの姿……!?
まあ、そうであっても「おっしゃられる」ではなく、「おほせらる」を使うのでしょうが。
ビジネススクールなんだし (スコア:1)
あの国では誠実さを忘れてるビジネスマンも多そうですし。
Re:我々は、知的好奇心を否定する。 (スコア:1)
重要なコメントのように見える
まあビジネススクールに研究心はいらないのかもしれないけど。
Re:我々は、知的好奇心を否定する。 (スコア:1)
学校側:かなーり脆弱なシステムを使っていた事が公に。
受験者側:不合格。
と双方痛み分けな訳で、下策の部類なんじゃないかと。
インターネットにおける倫理観に関する講座を開講し、
該当者にはその受講を義務付けるとか、ビジネスチャンスに結び付けてほしかった。
#学長がこれではビジネススクールも大した事なし!?
素朴な疑問 (スコア:2, 参考になる)
>「システムに侵入した119名の受験生について、
>氏名を把握した」と述べている。
どうやって?
#まさか,その受験番号を確認してたからじゃないよね
Re:素朴な疑問 (スコア:2, 参考になる)
Re:素朴な疑問 (スコア:1, 興味深い)
Re:素朴な疑問 (スコア:1)
他人と言うか、ネットジャンキーな兄弟や友人の所業かも知れません
少なくとも秘匿義務のあるデータによる個人認証が必要だと思うのですが
#疑わしきは黒ですか,そうですか
情報処理試験の合否通知の場合 (スコア:1)
今回の場合、
そこに記載されているのではないどこかに、受験番号とパスワードが入れられたのだとしたら、受験者の不正行為と認定しても良いと思うんですけど?
親や兄弟がそれを知って行ったとしたら……やっぱりそういう遺伝子が混じってそうだから排除で良いんじゃない?
Re:素朴な疑問 (スコア:1)
ページは受験番号とパスワードによる認証が掛かっていました。
パスワードは受験票の封筒を開封しないと見えないようになっていて、他人に教えないようにとの注意書きがありました。
ここからは推測ですが、本人しか知らないはずのパスワードが入力された=本人がアクセスしたと判断したのではないで
しょうか。それなら、例えパスワードを知っている他人がアクセスしたとしても、パスワードを教えた本人の責任でしょう。
Re:素朴な疑問 (スコア:1)
誰かがパスワードの規則性を予測してアクセスしたかもしれないし、
パスワードや受験番号一覧が流出していた可能性もあります。
クラッキングや情報流出が無かったかの確認と、
今回不合格になっていない受験生や関係者の関与も疑うべきですね。
というか、怪しい連中全員を落としたからには本人がアクセスしたか、
本人の過失でパスワードが流出した以外考えられないと言う証明をするのが筋だと思いますがねぇ
…あちらでは無かった事を証明するという不可能事が
あった事の証明より重視されているのかな?
#
#落とす事を考える前にセキュリティが必要だった事を反省しなさい
#
#状況はいつも最悪、でもそれが当たり前
Re:素朴な疑問 (スコア:1)
Re:素朴な疑問 (スコア:1)
Re:素朴な疑問 (スコア:1)
/* Kachou Utumi
I'm Not Rich... */
Re:素朴な疑問 (スコア:1)
読解力を疑われるような内容を人間性を疑われるような書き方で書くのはよしたほうがいいのでは?
Re:素朴な疑問 (スコア:1)
そうだとすると,ApplyYourself 側に問題があった可能性も出てきます.
-----
#よっこらしょ.
Re:素朴な疑問 (スコア:1)
敢えて簡単にしておいて個々人の考え方やモラルの参考にしていたりして。
「家に帰るまでが受験です」どころか「合格通知を受け取るまでが受験です」って処?
これは (スコア:2, 興味深い)
結果を早く知りたい気持はわかるが落ちつけ (スコア:2, 興味深い)
Re:結果を早く知りたい気持はわかるが落ちつけ (スコア:2, すばらしい洞察)
本人は大したことでは無いと思っていても、それが原因で手痛い仕打ちを食らってしまう bloger とか最近増えてますしね…。
Re:結果を早く知りたい気持はわかるが落ちつけ (スコア:1)
合否確認のための出入りが許可されている時間内でも、発表時間前に、掲示板の前にいるのがダメですか?
回線が細くてつながらない場合に、苦情の電話をかけたらダメなんですか?
知りたい方にしてみれば、つながらない理由を確認する方法が他にないわけですから、運営側の都合を一方的に言われても、同意のしようがありません。
Re:結果を早く知りたい気持はわかるが落ちつけ (スコア:1)
いや,単にそれだけの意味のサンプルということで,非合法でも何でもないです。それでもわざわざ苦情電話かけてくるというほどに「見たい」んだなぁと。
実は「発表のメインは校内に掲示してあるやつで,WEBのやつはサブ。回線細いから混んでたらしばらく待ってね」ということは入試のときに説明してるんですよ。実際,数分待てばそこそこ沈静化してるわけですし。それでもそういう状況であると。
Re:結果を早く知りたい気持はわかるが落ちつけ (スコア:1)
>15:30より前の時間に掲示板の前に行けないって、
>文句をつけたらそれはアホでしょう。
>いったい何が目的やら。
># おかしい?
いや、正しいです。
でも、URLが公開されていたんだから、掲示板の前に行けるようになっていたのと同じことでしょ。
お門違い (スコア:2, すばらしい洞察)
ビジネススクールですよ。
大学卒業後数年間の実務経験がないと受けることすら出来ないんですよ。
「自分の行動の意味をはっきり認識」出来ないような人間を受入れる余地はないかと。
こちらへどぞ (スコア:1)
# なんて技術があるわけでもなく、単なる「その通りやっただけ」なんだろうな。
これ良いですね。
先輩から聞いた、うまいカンニングの方法を実践しちゃう学生を予め排除した、ってとこですかね。
Re:こちらへどぞ (スコア:1)
> カーネギーメロン大学も、ハッキングした受験生を不合格にする方針。
だそうです。
Re:こちらへどぞ (スコア:1, 興味深い)
意図的に非公開にされていない限り、Webにあるデータは全て公開されているものだというのが、世間の一般常識です。
・・・と希望どおりの台詞でスレを伸ばすテスト
いや本当にそう思うんだけどねぇ。
公開されている場所に置く以上、見られたくないものはきちんと管理しろと。
うーん (スコア:1)
単なる動作確認のための疑似データかもしれないじゃない。
結局非公開の情報じゃ信用できなくて、公式発表も確認してそう...
Kiyotan
Re:うーん (スコア:1)
空白ページが表示されたのではないかとかかれています。
情報が入っているファイルが発見されたのではなく、おそらく
合否確認フォームのURLとかが発見されて公になったのではないでしょうか。
で、そのフォームに自分の受験番号(と氏名も必要かな)を入れて
試しちゃった人がアウトと。
Re:うーん (スコア:1)
アクセスしようとした事には違いないだろうけど。
Not Foundが出たとしたら、それはアクセスをした事になるのだろうか。
それともアクセスできなかった事になるのだろうか。
# いや、単に疑問に思っただけなので。
李 露星
Re:うーん (スコア:1)
>管理者の意図しないアクセスなのでアウトです。
これってどこからきてんの?
そもそもブラウザってのは、アドレスバーにURLを入れてアクセスできるように作られているので、「管理者が意図しない」ってのは無理があると思うんだけど。
Re:うーん (スコア:1)
Copyright (c) 2001-2014 Parsley, All rights reserved.
どこに「侵入した」と書いてある? (スコア:1, 参考になる)
Re:たとえ話 (スコア:1, おもしろおかしい)
やけに具体的だな