過去ログ表示


過去ログ 36 を表示

トピック内全 43 記事中の 11 〜 20 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1] [2] [3] [4]


非公開というものについて、みなさんにお聞きしたく思い
書き込みをしています。

> 「盗みみられた」と言いましたが、本来読めてはいけないデータが読まれた、という意味ではないので、ちょっと補足しておきます。
>
> 掲示板の多くは、「非公開」というのは、単にリンククリックなどでcgiによって表示されるHTMLの中にmailto:でメールアドレスを埋め込まない、という意味しかありません。
> 書き込んだメールアドレスは記事情報のファイルの中に書かれ、サイト側で特別なセキュリティー対策を施していない限りは記事情報のデータファイルは公開されている場所にあることが多く、そのファイルをダウンロードすることが容易なのが普通だと思います。
> そして、記事のデータファイルを暗号化して保存するなどの対策をしているシステムも少なく、ダウンロードしたあと中身をみれば、データファイルの中のメールアドレスデータも取得できるわけです。
> つまり、掲示板の書き込みの「非公開」というのは、リンククリックだけで目に見える形で書き込んだメールアドレスが表示される、ということがない、という程度の意味しかないのが一般的です。
> 従って、掲示板の場合は、ここらあたりのことも含めて、掲示板にメールアドレスを書いたらSPAMが来ても当然、と考える方が多いのです。

非公開というものの意味は本当に、wadaさんがおっしゃるような意味なのでしょうか?
技術的にというか、実際上はそうであるということと「非公開」という本来の意味は
異なるのではないですか?
これは言葉遊びではなく、ユーザが非公開を選ぶ際の理由や、そもそもメール非公開と
いう選択肢がもうけられた目的を考えてもparsleyさんのおっしゃっている方が
理解できるのです。

>掲示板にメールアドレスを書いたらSPAMが来ても当然、と考える方が多いのです。
これも掲示板の情報が書かれているファイルをのぞくような技術的な興味をもって
いる人には、当然かも知れませんがそうでない方の方が多いと考えます。
管理者の中にもレンタルの掲示板を使って、荒らし対策のためにフリーメールでない
アドレス記入を必須とし、自分たちは必要なのでメールアドレスを記入してもらいます
が、その掲示板に書き込んでいるほかの方には公開しませんというような意味で
「非公開」という選択肢をもうけている方もいらっしゃるはずです。

在る程度の技術的な知識無しに管理者をしていること自体に問題があるというのも
一つの考え方ですが、パソコンのことをほとんど知らない素人でも自分のホームページを
持ち、そこに掲示板をもうけることが珍しくない現在の状況で、先のような論理は
無理があるような気もいたします。

これはここだけの問題ではなくwadaさんのおっしゃる通り、社会システムや法律の
整備にも責任の一端があると思います。
そこに掲示板のシステムも含まれるのではないでしょうか?

Wadaさんに文句を言っているわけではありません。
Wadaさんのおっしゃることは現在の状況はそうであるということと理解しておりますし、
それについては正しいと思います。
みなさんはどのようにお考えでしょうか?

もしどなたかスレッドを変えて、このことについて話し合っていただけると
私も勉強になると思います。


BBS書き込み時に非公開に設定したメールアドレスが漏れたという今回の問題ですが、実際にどのようにして漏れたのかはSPAM業者以外には判らないのでそれはさておき、よくあるケースとしては

1) CGIの仕様バグあるいは実装バグでメールアドレスが HTMLコンテンツ内に登場するケースがあり、それを参照された。
2) 書き込みデータの保存ファイルを直接参照された。

の二つがあります。#5139のうみゅさんの報告によって前者の可能性もあることが判りましたが、実際にどちらなのか、あるいは別の手段なのかは不明です。

#5137で Wadaさんが書かれたのは後者のケースについてですね。
Wadaさんの意見は

  書き込んだメールアドレスは記事情報のファイルの中に
  書かれ、サイト側で特別なセキュリティー対策を施して
  いない限りは記事情報のデータファイルは公開されている
  場所にあることが多く、そのファイルをダウンロードする
  ことが容易なのが普通だと思います。

なのですが、これは実際にそういう状況はあります。

掲示板などを実現しているCGIプログラムを無償で配布してくださっている作者の方々が沢山いらっしゃるのですが、そのプログラムのインストール方法の説明の中でログファイル名の変更に言及していないものがあります。

ログファイル名やその場所を配布時から変更しない場合は、CGIプログラムをちょっと調べればログファイル名がわかる訳で、よって上に書いた 2)の方法で直接参照できたりもします。

そういう問題を理解しているCGI利用者はログファイル名や場所を程度に変更して、あるいは更に別の方法でログファイル直接参照の可能性を下げようとします。

とりあえず検索機能で非公開アドレスが出てくる問題を対処して、そしてもしもここがログファイル直接参照回避の工夫をやってなければ是非やりましょう... って事で。
あと、こういう問題を厳しく見る人もだんだんと増えてきたので、プライバシの扱いについて一言書いておいた方が良いでしょうね。(気をつけていますが保証いたしません。万が一を気にする人はメールアドレスを入力しないでね、とか)


Re[6]: スパムメールが届くようになりました。
(#5147) このトピック中13番目の投稿

> 確かにやばいっすね、この掲示板 [検索] すると非公開にしたEメールアドレスが表示されちゃいます。

そうですか? 今、簡単に検索してみたのですが、メールアドレスは表示されないようです。
再現手順が明確なら、一度、それを管理人に送っていただけないでしょうか。


Bug-jp 3059
(#5148) このトピック中14番目の投稿

>>確かにやばいっすね、この掲示板 [検索] すると非公開にしたEメールアドレスが表示されちゃいます。
 これと今回のspamの関連性は薄いように感じるのですが。そこまでする収集ロボットがあるとはちょっと思えませんが…。

> 先ほど管理者宛にメールアドレスが見えてしまう投稿の削除の依頼と
> BBSのセキュリティ改善を申し入れました。
 Bug-jp 3059がオープンされています。
http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=3059
コメントはそちらの方が良いでしょう。

…「済」にしたいですがparsleyさんは如何でしょうか。



今朝09:14にもじらBBS掲示板バグ担当の方にメールし
以下のような返事を11:04に頂きました。

===============================
> 先日mozilla組掲示板を利用した直後からスパムメールが届いています。
> 投稿時に返信通知が欲しくてメールアドレスをいれアドレスを非公開としましたが、
> 過去ログ検索をすると非公開としたはずのメールアドレスがみえてしまってます。
> 投稿番号#5079です。早急にこの投稿を削除してください。

まずは、メールアドレスのみを削除しました。

> パスワードをいれてないので編集も削除も出来ません。
> たとえいれていたとしても、スパムメールが届き始めた時点で
> Cookieを全部削除してしまったので出来なかったとおもいますが。。。
>
> 掲示板でもスパムメールについて書きましたが、
> 非公開となるはずのメールアドレスが見えるのはセキュリティ上大問題だと思います。
> 安心して投稿できるように早急に改善して頂きたいと思います。

ご指摘の通りだと思います。
すでに具体的な問題点があがっているので、安心してご利用いただけるよう
修正をしていきたいと思います。

===============================

ですから私のメールアドレスは今朝の11:04には見えなくなっていたはずです。


またこのことで不思議なことがありました。
恐ろしい程とどいていたスパムメールがピタリととまったのです。

私はWadaさんのように詳しくは無いですけど
これはここのメールアドレスを回収したと言うより
此処のシステムの中にクラッキングツールが入っていたんじゃないでしょうか?
じゃないと一旦回収されたアドレスではここのメールアドレスを削除しても
止まらないと思うんです。
私に送られてきていたスパムメールのメーラーは全てSuperMail-2という
クラッキングツールでした。(グーグルで調べてみて下さいロシア製?)
やはりインターネットに公開しているサーバーは
常にセキュリティを確保しておかないとやすやすと個人のプライバシーを
吐きだしてしまうと言うことだと思います。


Re[1]: embedタグとPlug-in Finder
(#5151) このトピック中16番目の投稿

> ここに投稿した直後から大量のスパムメールが届くようになりました。
> メールのヘッダをみるとここの投稿に使ったparsleyというID宛に届いてます。

テスト返信です。



それだけでクラックの可能性を考えるのは早計かなという気が...(汗)


> それだけでクラックの可能性を考えるのは早計かなという気が...(汗)

なぜでしょうか?
これだけでBBSのあるサーバーが不正浸入された可能性を考えないほうがおかしいとおもいます。

私は日ごろ掲示板に投稿することはあまりないです。
mngの再生で困った情况にあったのでこちらのBBSに
ID : parsley とし返信記事を受信するためメールアドレスをいれました。
(非公開で)
その後SPAMメールがID:parsley宛に大量に届くようになった。
メールアドレスの削除をここのBBSの管理者にお願いした直後からSPAMメールが止まった。

私の使ったparsleyというIDと私のメールアドレスを関連づけるものは
こちらに投稿した記事しか考えられません。
(1)ここの投稿記事から私のメールアドレスが洩れたか
(2)投稿記事のキャッシュがmozillaから盗まれた。

(2)の場合ここのBBSと関係なく第三者がやったことだからここの投稿記事から私のメールアドレスを削除しても第三者から引続きSPAMメールが届くはずです。

(1)の場合(#5146)prop-doさんの言うように以下の可能性も考えられますが、
1) CGIの仕様バグあるいは実装バグでメールアドレスが HTMLコンテンツ内に登場するケースがあり、それを参照された。
2) 書き込みデータの保存ファイルを直接参照された。
これら1)、2)はどちらも第三者が此処の掲示板から私のメールアドレスを盗んだと言う可能性です。第三者に私のメールアドレスがID:parsleyと伴に渡っていたのなら、今も引続きSPAMメールが届くはずです。

(1)も(2)もどちらも第三者に私のメールアドレスとID:parsleyが渡っているならSPAMメールは引続き私に届くはずですよね?
でも私に届いていたSPAMメールは先にものべた通りBBSからメールアドレス削除の依頼をした直後から届かなくなってます。

ここで新たに考えられるのは
(3)BBSのあるサーバーがクラックされてSuperMail-2を仕込まれた可能性です。

私はWadaさんやseedさんのようにインターネットに精通してるわけではありません。ただの一般ユーザーです。ですから逆にお尋ねしたいのですが、私が考えた(3)の可能性が無いという説明をしてください。

Re[8]: Bug-jp 3059
(#5154) このトピック中19番目の投稿

> >>確かにやばいっすね、この掲示板 [検索] すると非公開にしたEメールアドレスが表示されちゃいます。
>  これと今回のspamの関連性は薄いように感じるのですが。そこまでする収集ロボットがあるとはちょっと思えませんが…。

私に送られていたSPAMは送信先がparsleyとなっていました。
此処で使ったID:parsleyとメールアドレスを関連づけるのは
ここで投稿した#5079の記事だけです。
収集ロボットがやったことと限定する理由が無いです。
非公開のはずのメールアドレスが見えてしまえば
全ての人にSPAMを送信するチャンスを提供しています。


>>先ほど管理者宛にメールアドレスが見えてしまう投稿の削除の依頼と
>>BBSのセキュリティ改善を申し入れました。
>  Bug-jp 3059がオープンされています。
> http://bugzilla.mozilla.gr.jp/show_bug.cgi?id=3059
> コメントはそちらの方が良いでしょう。
>
> …「済」にしたいですがparsleyさんは如何でしょうか。

ここの管理者の方に私の投稿記事からメールアドレスを削除するように
お願いした直後からSPAMがとまりました。

このことから考えると
(1)BBSのサーバーがクラックされSuperMail-2(ロシア製のクラックツールのようです。)を仕込まれていた。
(2)だれかがここの投稿記事から私宛にSuperMail-2を使ってSPAMを送っていたが、これまた私の記事(#5141)を読んでそろそろ潮時と思いSPAM送信をやめた。

どちらにしてもここのBBSがSPAMの原因だった可能性は高いと思います。
(1)であればもじら組にとって深刻な事態なのではないですか?(2)の場合被害の度合いによっては立派に警察沙汰だと思います。その原因をつくったのがここのBBSだと否定できないのですから、ユーザーにはっきり分かる形で、今後のBBSのセキュリティ改善が開示されなければこの話題終るわけにはいかないと思います。Bug-jp 3059をみましたけどあれよりこちらのBBSの方が一般ユーザーの目につくと思います。私がこの話題を済みとするのは一般ユーザーが安心してこのBBSを使えるようになったと納得したときだと思います。



単純にそれだけでは私にとってはそう考えるに充分でない、
根拠だと思えるものが私にとって少ないだけです。

技術的な説明を期待されていたならごめんなさい。


[ 前のトピック内容10件 ] | [ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1] [2] [3] [4]

返信不可


- Child Tree -