Francisの日記: ACCS-Office 2
あーこわいこわい。
ネットワークにすこしもかすらない仕事に転職して正解だった。
まあ、折角馬鹿正直に出て来てくれる奴を潰したら、地下に潜るだけだぜ。
検察も裁判所もACCSもヨセフアンドレオンもファーストサーバも、わかってねえなあ…
俺の思っているのは不正アクセス禁止法でなにもかも適用しようってのが間違いだって事。基本的にはアレはパスワード破りを想定されているモノなのであると解釈するのがもっとも無理が無いと思う。俺の解釈では特定電子計算機というのはサービス(の1スレッド)ごとね。同一サーバでFTPとHTTPが動いてたら計算機2個。
想定しないものを縛れるように法律を適用しちゃったら、本来あるべきだった追加されるべき立法が無くなってどんどん歪むぞ。
しかしなんというか、脆弱性のあるCGI置き放題の世の中になるね。
というかちょっとワレズとかが楽になったと思う。
公衆送信権の侵害でぽつぽつ捕まえたことでmp3やアプリをWEBで直にばら撒く人はさすがに減った。しかし、以下のような方法を使えばやり放題になるのである。あ、やっちゃダメですよって言っておきますからね。
どういうシナリオかって言うと
サーバを立てます。HTTPとFTPのサービスを動かします。CGIが動く状況にします。FTPはログインIDとパスワードを用意します。これでmp3を「誰にも見られないと思ってFTPでIDとパスワードを使って」アップロードします。mp3のリストもアップします。
自分でファイルを保存する目的ですからね。公衆送信してませんからね。
FTPでアップするフォルダはHTTPから見えなくしておく。
次に表と裏の顔を持つCGIを作成する。これは表向き単なる掲示板システムのように見えるが、その実動作としては
・引数に渡したファイル名のモノを相対パスをたどって取ってきてくっつけて返す
・書き込みもパスと内容を引数にぶち込むとそのままファイルを作る
とかそんな単純な動作で作っておく。
しかもこいつのアクセス権はmp3のあるフォルダに通っている、というか「うっかり何にでもアクセスできるようになっている」
普段使う際は、ウエブサイトから掲示板へ入るリンクに巧妙に掲示板の部品やカキコの内容についてのファイル名等が引数に指定してあるわけ。
さて悪用(といっても設置者と連携をとるわけだが)時、ファイルをダウソする側は「いかにもありそうなファイルのリストが格納されているところ」のパスをCGIにぶち込みます。
/cgi-bin/data/list.dat
みたいなのが当該CGIの黒いユーザ的に常識になってるとかそういう感じで。そうすると提供するつもりはありませんよと言いつつされているファイルリストが取れるのでさらにCGIをそのパスで叩いてファイルを取得。
WEBで配布ウマー
んでこの長い話で何が問題かっていうと「神」と「厨」のコストバランスを崩壊させること。「神」は法的に取り締まられるリスクが高く、Winnyでもないかぎり今はやっているのはつらいはず。しかし、「厨」はWEBで落とす限りリスクはゼロである。悪人の世界的に「施しをしてやっている」側なのにつかまりやすいのはキツイものがあろう。
しかしこの方法をとれば、「神」は「ええっファイルを公開した意図はありません!盗まれた!」と被害者になれば良い。「厨」はうまくファイルはいただけるし、不正アクセスぐらい(手法は簡単だし)たいしたことは無い。最初から不正アクセスするつもりで行くのだから、ログが残っても問題ないような経路でつなぐだろうし、「神」の側も「うっかりログをとりわすれている」はずだ。
#なんだか何もかもばかばかしくなって来たので中断。
#微妙に再開
あ、ちゃんとした話は高木先生の所とかで入手してくれい。もう俺は付き合いきれんわこの問題。
有体物としてのPCひとつを単機能のものとしか考えていないって感じのMSDOS時代の法律屋の電波的発想自体がアホ過ぎて、考えるのも馬鹿馬鹿しい。NET時代には一つのPCにおいて多数の機能を同時に実現するのは当たり前だし、仮想マシンいっぱいがメインフレームの中で動く時代ももう来ているってのにねえ。
ばーかばーか(やっぱり思考停止)
なるほど (スコア:0)
Re:なるほど (スコア:1)
別の意図を装って、うまく出願の文章を作ればこの動作に抵触する特許は書けそうな気がしますが。多分新規性が少ないか、既知として却下されそうですが。
…って、「天」って天然の天?