たとえ善意の脆弱性の検証であったとしても法は遵守すべきでは - co3k.org

僕は今年に入ってからたまたま発見したセキュリティ脆弱性を積極的に報告するようにしはじめました。当然、検証の際には法を遵守するよう心がけていますし、他にも、検証の過程で誤って被害を与えてしまうことがないように、たとえば SQL Injection 脆弱性の発見は避けるなどの自分ルールを決めて、素人なりに細々とやっています。 さて最近、 昨今の学校のセキュリティ事情【第一章 学校のPC(生徒使用PC)について】 - toriimiyukkiの日記 http://d.hatena.ne.jp/toriimiyukki/20110907/1315406102 というエントリを見つけまして、これをふむふむと読んでいたところ、: ふと、自分の学校のユーザーリスト(下記のコマンドで取得)を見てると「testuser」なる者があった。 net group [グループ名] で、試したところ「****」という

[ockeghem]

同意。ウェブ健康診断仕様は許可を得て実施する前提だが、それでも/etc/passwdではなく/etc/hostでチェックする。不用意に機微なファイルを見ないため

[harupu]

セキュリティの為なら、他人をけなしたり陥れたりしてもOK、むしろ推奨すべき、というセキュリティ界隈の風潮をいい加減やめてほしい。

[equinox79]

「できる！脆弱性検証」「小悪魔女子大生の脆弱性検証日記」「脆弱性検証ガール」的なものへの需要

[tkmkz]

鳥居みゆっき

[unarist]

最近の話だと、誰かが突っついた穴を存在だけTwitterに出して、俺も俺もと探して突つきまわるのも少し引っかかってる。

[nekoluna]

私も昔いろいろやってたけど違法になってからはやりづらくなったのでやめた。　面倒じゃない人だけが違法じゃない範囲で検証すればいいと思う

[touhousintyaku]

ふむふむ

[tyage]

みゆっきだったのか

[zonoise]

サイバークロスカウンターってググったら色々あるのね

[souki_e]

学生(生徒か？)がこうした脆弱性をついて検証(違法だけどね)してから報告をしたとのことだが、通常はどういう検証をするのだろうか

[pochi-p]

「違法行為で逮捕」だけでなく、「逆恨み訴訟」「勘違い訴訟」とかもありえる訳だから、石橋を補強しながら渡るくらい慎重にした方が良さげ…。 / 事前交渉や手法の厳選とかすべきよね。

[mumincacao]

自称こまんどいんじぇくしょんは自由にふぁいるを置ける時点で脆弱性ではないけど，利用規約次第かなぁ？ 実行可能ふぁいるあっぷろーどかと思ったけどそれすら違うし・・・ （・ｘ【みかん

[kakkyaa]

ハッカーのお作法について

[imo758]

法にアホなところがなければいいんだけどねえ…

[igrep]

同意。覚えとこう。"（裏を返せば法を遵守した上での検査であれば文句を言われる筋合いはないわけで）"