【発見/報告】 ミズーリ州知事「ウェブページのソース表示はハッキング」。脆弱性指摘した人物を起訴の意向 [朝一から閉店までφ★]
■ このスレッドは過去ログ倉庫に格納されています
ミズーリ州知事「ウェブページのソース表示はハッキング」。脆弱性指摘した人物を起訴の意向
逆ギレ案件
Munenori Taniguchi, @mu_taniguchi
9時間前 in governor of Missouri
ミズーリ州のマイク・パーソン知事が、州が管理するウェブサイトで教職員の個人情報が暗号化もされずに閲覧可能な状態になっているのを発見・報告したジャーナリスト、ジョシュ・ルノー氏を起訴する意向を示しています。
昨秋、St. Louis Post-Dispatch紙の記者として活動しているルノー氏は州教育委員会(Department of Elementary and Secondary Education:DESE)のサイトを閲覧中に、ウェブページのソースコード上に10万人以上の学校教師、学校管理者、カウンセラーの社会保障番号が平文で記述されているのを発見、公表はせず、国にこの問題を報告しました。
その後、問題がすべて解決されたのを待って、ルノー氏はこれを記事化しました。おかげで、州当局には直接な被害は発生することもありませんでした。
しかしこの、本来なら州から感謝状の1枚も贈られてよいはずの行動に対して、パーソン知事は何を思ったのかルノー氏を「ウェブサイトをハッキングした」として犯罪者扱いし、起訴する意向を示しています。さらに州教育委員会のマギー・ヴァンデヴェン氏も、教育関係者への配布文書のなかで「ある人物がウェブページにおけるソースコードの暗号化を解除し、少なくとも3人の教育関係者の記録を持ち出し、その社会保障番号を閲覧した」と述べました。
一般的にウェブページのソースコードは平文で記述され、誰でもブラウザーのメニューからソースコードを表示閲覧できます。しかし、知事と教育委員会の理屈では、自分が所有していないウェブサイトで、その(誰でも見ることができる)HTMLソースを見ると、その人は悪意あるハッカーとみなされてしまうことになります。
St. Louis Post-Dispatch紙はこの問題に対し、FBIが州当局に対し問題はウェブサイトの不適切な設定で情報が閲覧可能になっていたことであり、ルノー氏の行為は「ネットワーク侵害にはあたらない」と助言したと報じています。また紙が入手した公文書からは、教育委員会のヴァンデヴェン氏が、当初はルノー氏に脆弱性の発見と未然の解決に至ったことを感謝するつもりだったことがわかっています。ヴァンデヴェン氏は知事に面会したときに考えを翻したようです。
知事がこのようなおかしな判断に固執するのは、どうやら知事が任命する法的監督機関であるハイウェイパトロールが、St. Louis Post-Dispatch紙の記事に関する調査を実施し検察に引き渡した報告を根拠としているようです。知事は検察への報告があった翌々日から、検察に対してルノー氏と新聞社をコンピューター改ざんに関連する州法を適用して起訴すべきだと主張しているとのことです。
パーソン知事は会見で、ルノー氏の行動を「他人の家のドアロックをピッキングで開けて勝手に入り込むような行為」とたとえて非難しました。しかし、実際にはピッキング(暗号を解除する)行為などはおこなわれておらず、適切なたとえとは言えないでしょう。むしろ最初から「全開のドアの前を通りがかったら、人に見られたら困るであろうものが目の前にデデンと置かれていた」というほうが適切です。
ルノー氏にしてみれば、チャック全開で歩いてきた人に「開いてますよ」とこっそり教えたら逆ギレされたような展開はまったくつまらないはず。知事と教育委員会は周囲の(まともな)意見にもっと耳を傾けるべきかも知れません。
Source:The Verge
coverage:St. Louis Post-Dispatch
https://japanese.engadget.com/governor-wants-a-journalist-prosecuted-for-looking-at-website-source-code-235003188.html 知事って起訴権限持ってんの?
すごいんだねあっちの国 馬鹿が多ければ多い程馬鹿が当選するクソシステムの結果こういうのが知事になるんだよ > ウェブページのソースコード上に10万人以上の学校教師、学校管理者、カウンセラーの社会保障番号が平文で記述
予算がなくてDB買ってもらえなかったとかいう落ち? 外で全裸になって「嫌なら見るな!嫌なら見るな!」AAな状態 ソースコード表示?ブラウザのハッキング機能を使って機密情報を覗くなんて!
みたいな? 日本のマスコミなら修正前に嬉々として公表して被害を広げるだろうな 全裸で街中歩いてるおっさんを注意したら
キレられて訴えられた感じ >>3
右も左もクズしかいない我々ジャップランドがそれを言うのは・・・・・ 親切に通報した人には負担だけど裁判で白黒つけた方が
すっきりするんじゃね >>20
ミズーリ州の陪審員とか、知事よりヤヴェーやつばっかだろ? >>16
なんとなくでソースも見るけど
お前のクソみたいなチンケな感覚を一般的と思うの、頭悪すぎるからいい加減やめたら? >>16
見れるようになっているのだから
意図は問題なくない?
訴えるならブラウザじゃない。 そのレベルだとそんなもん作ったほうが悪いぞIT音痴 >>1
>ルノー氏にしてみれば、チャック全開で歩いてきた人に「開いてますよ」とこっそり教えたら逆ギレされたような展開はまったくつまらないはず。
この譬えだと逆ギレした方にも分がある 共和党の知事が州政府を辱めるためのハッキングだみたいなアホなこと言ってたやつか
F12押せば誰でも閲覧できる状態だった不始末を誤魔化すために大事にした感じだな Webブラウザでソース表示機能を提供しているグーグル・マイクロソフト・アップルも、幇助罪で訴えるべきだよね 小学生ですらPython使えばスクレイピングできる時代にこの知事はアホとしか言いようがないっていうか
英語圏の人間でこのレベルは処刑したほうが良い >>2
検察官が起訴権独占してる国は日本だけでしょ。 >>2
アメリカは権力者がやりたい放題できる国だから 結構ちゃんとした企業のサイトでも
ソースが汚かったり素人臭いのがけっこうあるのが不思議 そもそもウェブページのソースコードって暗号化というか非公開にできるの?
コピペ対策とかいろいろあるけどソースコードってどうやるんだろう え〜〜と?
そういう情報は、ソースコードに平文で記載するんじゃなく、データベースで管理しろってことかな? >>37
普通に右クリックでページのソースを表示って出るわな(笑) なんか予約システムの脆弱性指摘したメディアに同じようなこといってた日本の大臣いたな
頭おかしいやつは日米問わずいるんだな >>14
> メールヘッダー覗いても怒られそう感
なんとなくパケット見てもアウトかもね・・・ これは情報を公開したほうを逮捕すべきだろ
事実として公開してしまったんだから
被害がないなんて誰が証明するんだよ >>42
「ある人物がウェブページにおけるソースコードの暗号化を解除し、少なくとも3人の教育関係者の記録を持ち出し、その社会保障番号を閲覧した」と述べました。
この前提の暗号化が技術的に実現できるのかなと思って >>16
見れるようになっているのだから
意図は問題なくない?
訴えるならブラウザじゃない。 火事です、と110番したら、放火犯にされるような話だな ホワイトを起訴するのかよw
前提知識が無い奴は頭おかしい事するよな マウスでポチポチーで見れるもの見たら訴えられんのか… 最近はPHPでソース隠ぺいしているサイトも多いと思うけどね
そもそもソース表示で見える内容は公開している内容のはず
ソースに書いてあるのに公開していないというのがそもそもおかしい >>1
無理にワールドワイドウェブを使う必要はない。
ソース表示できない独自のブラウザを実装してそのブラウザでしか使えない暗号化プロトコルを開発して、そのブラウザでしか見れないサイトを作ればいいだけだろ。
何ならOSから自作しても構わないはずだ。
それともミズーリ州にはソース表示できないブラウザを実装する自由やプロトコルを開発する自由、OSを自作する自由はないのか? >>16
表示されてる情報が不親切だとソース見たほうがわかりやすかったりする 米国でも少数派で日本の老害みたいなのもいるだろうな 一方日本はブラクラはマルウェアとして、貼ったやつを逮捕した >>16
右クリックだけで見られる物に意図も糞もない。 こういう馬鹿なことを言い出す政治屋はどうせ頭がQなトランプ派の共和党だろう
日本でこの手の馬鹿を晒すマヌケが大抵日本会議脳の自民党であるのと同じ JAVAとかのプログラムコードであれば難読化といった処理をするのも割と普通
たとえソースコードを見られても著しく理解が困難にしたりする場合も多い
コピーされて使われる事を防ぐためだ
まぁだったらPHPでそもそもソースコードを見れなくするほうが一般的だけどね
webページ作成のプロだったら常識だから、作ってる人が素人かプロがやってるとしたらミスったとしか思えんが そんなにソースを見られたくないならサーバからレスポンスしてんじゃねーよ。
受け取ったソースをレンダリングしようがテキストで見ようがクライアントの勝手だ
クライアント上の運用裁量なんだが、サーバサイドからとやかく言われる筋合いはない
嫌ならプロトコルから何から独自規格でも作って勝手にやれ。 >>67
そんなことしないわ。メンテナンスを難しくするだけじゃん。 やっぱり共和党w
アメリカって馬鹿なのは底辺だけかと思ったら
政治家もポンコツなんだな。
そりゃ馬鹿達が選んでるのだから当然か。 右クリックをjavascriptで禁止しておかないと >>41
CGIやASAPで、スタイルタグ生成して表示させればいい。 自衛隊公式ページにAA仕込んでたサト吉は
クビレベルだな。 >>2
そもそもアメリカは日本と違って連邦制なんだし、一部権限は合衆国政府より地方政府のほうが強いぞ こういう老害が幅を利かせているのはどこでも同じなんだなw
逆に訴えて賠償金踏んだくってやれ レスつけてくれるのは嬉しいけど、ないでしょ?権限
州知事に
訴追権限 女子トイレのセキュリティ確認でドアを空けてみるようなもんか 日本の政治家みたいなバカは、アメリカのにもいるんだな。
ま、共和党はバカが多い。 元保安官だから「俺が法だ!」のノリなのかもしれない 案の定反マスクのトランプ派
ネットによる全人類低脳化陰謀論とかあったら信じるわ >>81
最初から全開でチラ見したら逮捕された感じ まあ要するに行政が面子を潰された腹いせ・逆ギレだな
自分たちが間抜けだったのが悪いのに、その事実を認めたくなくて、自分たちは悪くないと思い込み、または意図して、あるいは正常バイアスが働いて、こういう間違った逆恨みをついには行動に移す。
岡崎市立図書館事件と同じ
この情けないお漏らしの事実が公にならければ臭いものに蓋とばかりにやり過ごすつもりだったが、
公になったから都合が悪くなり、逆ギレし出した >>32
>>34
アメリカの州知事が公訴権を持っているという根拠のポインタを示して サーバはそのソースコードを正規のhttp(s)リクエストに応じて送出したのだから、クライアントが受け取ったそれは正当なものだ。
また、そのソースコードはバカ正直にレンダリングしないといけず、プレーンテキストで見たらダメだなんていう取り決めは無い。そういうプロトコルじゃないので。
もしどうしてもクライアント側にそこまで強制したいなら、httpサーバであることを諦め、そのような珍妙な要件を満たすプロトコルにしないといけなかった。
それをしなかった時点でそれはサーバ設計側の落ち度だろう。クライアントに責任転嫁してんじゃねーよ ページ閲覧した時点で社会保障番号も読み込まれているので訪問者全員訴えないとな >>16
ソースの方が元々の文書の形式だよ
ブラウザを使うから見えやすくなってるだけで
テキストエディタで開いたらソースになる
だから?と思ったらソース見るよ >>2
州知事は(彼の考えでは)この件における被害者である州を代表してルノー氏を告訴すると言ってる >>49
修正されるのを待ってから実はこうなってたと公開したんだぞ >>91
いやそーいう話ではなく
そもそもhtmlファイルに個人を特定できる情報を
直書きしてるのが問題なのであって… まぁ、そりゃ恥ずかしいわな。あいつお漏らししてたぜ、なんて言いふらされるのは。たとえパンツを洗ったあとだったとしてもな。
だからといってそれが何法に違反するっていうんだ。まして役所の不祥事だぞ。
むしろ無能で情けない税金泥棒どもを反省させるためにもこのような不祥事は公開するのが公共利益というものだ。反省しろ反省を。 ■ このスレッドは過去ログ倉庫に格納されています