過去ログ表示


過去ログ 36 を表示

トピック内全 43 記事中の 21 〜 30 番目を表示
[ 最新記事及び返信フォームをトピックトップへ ]
このトピックの全ページ / [0] [1] [2] [3] [4]

Re[9]: Bug-jp 3059
(#5173) このトピック中21番目の投稿

まじめに返信すると長くなるのでここの点だけ。

> 私がこの話題を済みとするのは一般ユーザーが安心して
> このBBSを使えるようになったと納得したときだと思います。
※改行を編集しています。

parsleyさんが言う「一般ユーザーが安心してこのBBSを使えるようになったとき」とは
1.ここのサーバーにSPAM送信ツールが仕掛けられていないことが確認されたとき
2.ここのサーバーに既知のセキュリティホールがないことを確認できたとき

それとも、
3.通常考え得る手段ではメールアドレスが漏洩しなくなったとき

3.ならば、すでに対策済みですからすぐに「済」にできますね。
1.,2.もすぐに返事が来るでしょう。

もし、
4.メールアドレスほか個人情報が絶対に漏洩しなくなったとき

を条件とされるならこのトピックを永遠に「済」にすることはできないでしょう。

残念なことですが、インターネット上にサーバを公開する上で「クラック」という行為に対して完璧な対策はサーバをインターネットから切り離すことしかありません。
でもこれじゃBBSが成り立ちませんからできません。

さらに細かいことをいうと、もじら組に限らずアトソンやinfoseekのシステム管理者も疑えばきりがないですから、できうる限り自分の情報を外に出さないようにするしかないです。あとは相手をどこまで信頼するかだけ。



> これだけでBBSのあるサーバーが不正浸入された可能性を考えないほうがおかしいとおもいます。

少なくとも昨日は掲示板の書き込みデータベースファイルおよび過去ログファイルはURI直接指定でアクセス可能な状態にあって不正侵入しなくともメールアドレスは収集可能でした。
※現在はアクセスできないように修正されています。

また、parsleyさんはSPAMはメールアドレスを収集して抱え込んでいるものに対して送信しているとお考えのようですが、生きたメールアドレスにヒットさせる確率を上げるため、Webから収集したメールアドレスに対してのみ送信するということもありますので一概にそうときめつけることもできません。もちろん私の説が正しいという保証もありません。

クラックの可能性については、サーバ管理者に確認してもらうほかありませんね。部外者にはわかりません。
※私は、この可能性はかなり低いと考えています。
 理由は生ログアクセス可能だったから。わざわざクラックする必要もなかった。

いずれにせよ、クラックを完全に防ぐことはできませんから、心配ならサーバに設定が残りそうなものはできうる限りインターネット上に送信しないことです。
究極にはインターネットに接続しないことです。自宅マシンがすでにクラックされていて情報を流し続けているかもしれないのですから。



まともに返事するのも疲れました。

私が待っているのはここの掲示板にWadaさんのいうインターネットのお約束を明示してもらうことです。被害が実際にでてるのですから、だれの目にも見える改善情况の明示があってしかるべきでしょう。


1つ言い忘れましたが、あなたは私のパソコンがクラックされてるとお考えのようですが、ブロードバンドルータを設置してるので不正浸入は難しいです。

私のパソコンから情報を盗まれるとしたらmozillaでネットサーフィンをしてるときに盗まれたと言う可能性がありますが、今回の場合SPAMメールが止まったタイミングを考えると、掲示板との因果関係はかなり強いです。理由は#5161でもよんでください。

Re[9]: Bug-jp 3059
(#5181) このトピック中25番目の投稿

> どちらにしてもここのBBSがSPAMの原因だった可能性は高いと思います。
> (1)であればもじら組にとって深刻な事態なのではないですか?(2)の場合被害の度合いによっては立派に警察沙汰だと思います。その原因をつくったのがここのBBSだと否定できないのですから、ユーザーにはっきり分かる形で、今後のBBSのセキュリティ改善が開示されなければこの話題終るわけにはいかないと思います。Bug-jp 3059をみましたけどあれよりこちらのBBSの方が一般ユーザーの目につくと思います。私がこの話題を済みとするのは一般ユーザーが安心してこのBBSを使えるようになったと納得したときだと思います。
>

まぁ、残念ながら、基本的に非営利でやっている BBS において、
それほどのセキュリティを期待するのは不可能だというのが現状だと思います。
絶対にメールアドレスが漏れないフリーな BBS なんてものは、
まず存在しないと自分は考えています。
そこまで求めるのなら、まず通信を暗号化しなければなりません。
信頼できる暗号化を行うにはお金がかかります。
クラックを行われないようにするには、ちゃんとした監視体制が必要です。
そこまでやる余裕はさすがにないでしょう。
現実的にフリーでは無理だと思います。

ただ、”アドレスの非公開”は確かに誤解させるところがあると思います。
”非公開”によってアドレスが漏れにくくはなるが、
絶対に安全ではないということを明示しても良いと自分は思いますね。

自分は全ての BBS において、そういうことに関しては
端から信用していませんので、メールアドレスは記入していません。



こちらにまとめて返信します。

#5178より
> 私が待っているのはここの掲示板にWadaさんのいうインターネットのお約束を明示してもらうことです。

私は不要と考えます。包丁の説明書きに「最悪の場合、生命が失われる危険性がある」とは書いてありません(最近はPL法がらみで書いてあるかもしれませんが)。
もし書くのであれば、このサイトに関しての免責事項でしょう。「このサイト上でのすべての活動の責任はあなたに帰属します」と。

ただ、Mozillaがインターネット利用の第一歩であることもあり得るわけで、そのための手がかりとして有用なリンクがデフォルトブックマークに含まれるのならばそれは賛成です。


> 1つ言い忘れましたが、あなたは私のパソコンがクラックされてるとお考えのようですが、ブロードバンドルータを設置してるので不正浸入は難しいです。

クラックされていると断定はしていませんし、その可能性ももじら組のサーバより低いでしょう。ただそれを完全に否定できますか?ということです。


> 今回の場合SPAMメールが止まったタイミングを考えると、
> 掲示板との因果関係はかなり強いです。理由は#5161でもよんでください。

BBSが原因なのはわたしもそう思います。それは#5174にも書いたとおりです。



>>私が待っているのはここの掲示板にWadaさんのいうインターネットのお約束を明示してもらうことです。
>
> 私は不要と考えます。包丁の説明書きに「最悪の場合、生命が失われる危険性がある」とは書いてありません(最近はPL法がらみで書いてあるかもしれませんが)。
> もし書くのであれば、このサイトに関しての免責事項でしょう。「このサイト上でのすべての活動の責任はあなたに帰属します」と。

このあたりは微妙ではないでしょうか?
この書き込みの題にもなっているように、「非公開」という言葉がついているのに
実際には不特定多数の人間にわかってしまうというのはやはり問題であり、
注意書きは必要であると考えます。

それは農協あんだーぐらうんどさんのたとえをふまえて考えると
皮むき器や、スライサー(せんぎりにするやつ)など、これまで包丁を使っていた
場合に比べ「安全」です、という売り文句で宣伝していますが、実際には
あれも刃物であり、手を切ることもありますからそのようなことについて
注意書きがありますよね。
子供が遊ぶおもちゃにも似たようなことが書いてありますよね。

他のもの、あるいは通常の状態と比べて「安心」とか「非公開」というような
言葉を用いる際には、注意書きは必要ではないかと思います。

「このサイト上でのすべての活動の責任はあなたに帰属します」という免責事項も
至極もっともな考えですが、そのようなことに配慮する人が、「非公開」という
言葉を判断材料にするとすれば、少なくとも「非公開」とはどの程度のものであるか
説明する義務、説明責任はあるのではないでしょうか?
それなしの免責事項というのはただの責任逃れではないかと思えてしまいます。

>少なくとも昨日は掲示板の書き込みデータベースファイルおよび過去ログファイルは
>URI直接指定でアクセス可能な状態にあって不正侵入しなくともメールアドレスは収集
>可能でした。
>※現在はアクセスできないように修正されています。
と農協あんだーぐらうんどさんのおっしゃったとおり、現在は免責事項で十分かも
しれませんが、以前は容易にアドレスを見ることができたわけで、
「安全」をうたいながら、使う人の多くが危険な目にあう包丁みたいなものだったわけで

parsleyさんが被害あった時点では、説明責任があり、注意書きの必要があったろうと
思います。

みなさんはいかがでしょうか?
どうしてもえらそうな物言いになってしまうのですが、悪意はありません。


> こちらにまとめて返信します。
>
> #5178より
>>私が待っているのはここの掲示板にWadaさんのいうインターネットのお約束を明示してもらうことです。
>
> 私は不要と考えます。包丁の説明書きに「最悪の場合、生命が失われる危険性がある」とは書いてありません(最近はPL法がらみで書いてあるかもしれませんが)。
> もし書くのであれば、このサイトに関しての免責事項でしょう。「このサイト上でのすべての活動の責任はあなたに帰属します」と。


ここでのBBSに限って言えば、ログの流出の可能性を充分に知っていながら、それを放置すればそれは管理責任を問われるのは当たり前の話なのではないですか?起こりうる事態(この場合ログ流出です)を知っていながら放置し、免責事項だけを明記してたとなると管理者としての資質が問われるでしょう。今回の場合、ここの管理者は皆が安心してBBSを修正していくことをメール(#5150)で約束しています。もちろん充分期待をしてますが、100%の安全性を提供できないのが現実なら、せめてこのBBSのトップにBBSの利用にあたって想定できる危険を明示するべきだといってるのです。BBS本来の機能改善はもちろんのこと危険性の開示は必須だとおもいます。農協アンダーグラウンドさんの庖丁話に対校して例えてみると、整髪料としてつかってるスプレー缶には『プロパンガス使用火気厳禁』と書いてあるでしょう。例え分かりきった話であっても責任者なら危険の開示をしておく義務があると思います。

> ただ、Mozillaがインターネット利用の第一歩であることもあり得るわけで、そのための手がかりとして有用なリンクがデフォルトブックマークに含まれるのならばそれは賛成です。

それではここの管理責任を果たしたことにはならないでしょうね。上に書いた通り、ここで想定される危険性についてはここで開示されるべきです。

> クラックされていると断定はしていませんし、その可能性ももじら組のサーバより低いでしょう。ただそれを完全に否定できますか?ということです。

> BBSが原因なのはわたしもそう思います。それは#5174にも書いたとおりです。
>
それが分かっているなら私のパソコンがクラックされた可能性を指摘する材料がないですよね。ですから否定するまでもない話です。私がここのBBSがクラックされてるかも知れないといったのは、ここのBBSから私のメールアドレスが削除さて以降SPAMが届かなくなったことと、メーラーがクラックツールだったことから指摘してるまでです。別にクラックされてなければそれでいい話です。管理者にしたって根拠がない話には耳をかさなでしょうし、例えクラックされた可能性が低いにしても、すこしでも思いあたったならサーバーのログなりシェルのログなり確認して見ると思いますよ。


Re[13]: 商用ソフトと勘違いされていませんか?
(#5190) このトピック中29番目の投稿

中満と申します.

> ここでのBBSに限って言えば、ログの流出の可能性を充分に知っていながら、それを放置すればそれは管理責任を問われるのは当たり前の話なのではないですか?

全部の書き込みを読んだ訳ではないのですが,単に把握できてなかったのではなく,
十分にご存じで放置だったのですか?

> 起こりうる事態(この場合ログ流出です)を知っていながら放置し、免責事項だけを明記してたとなると管理者としての資質が問われるでしょう。今回の場合、ここの管理者は皆が安心してBBSを修正していくことをメール(#5150)で約束しています。もちろん充分期待をしてますが、100%の安全性を提供できないのが現実なら、せめてこのBBSのトップにBBSの利用にあたって想定できる危険を明示するべきだといってるのです。BBS本来の機能改善はもちろんのこと危険性の開示は必須だとおもいます。農協アンダーグラウンドさんの庖丁話に対校して例えてみると、整髪料としてつかってるスプレー缶には『プロパンガス使用火気厳禁』と書いてあるでしょう。例え分かりきった話であっても責任者なら危険の開示をしておく義務があると思います。

仰っている「安全性」の意味がよく分かりません.
政治団体などのサイトでメールアドレスが漏洩した場合には確かに投稿者に不利益が発生する場合もあります.

「安全性」=「スパムメールが来ないこと」を意図されているのでしたら,メールアドレスを書き込まないことがあなたの危機管理です.
少なくとも私は,あるサイトでメールアドレスを書き込めば,宣伝メールやスパムメールが来るかもしれないということを予測しています.

商用の場でも無いのに,全ての危機管理を管理者に押しつけるのはいかがなものかと.それほど不利益を被ったのですか?



matsuさん親切なフォロー有り難うございました。

今回私へのSPAMは幸なことに止まりましたけど、あんなエゲツナイ嫌がらせメールを送って来る人の手許に、もしまだ私のメールアドレスがあるとしたら正直かなり気が滅入ります。SPAMなんか日常的に届きますけど、今回のSPAMはしたたるような悪意を感じました。#5167に張りつけてあるメールなんですけど、同じサブジェクト・内容で1日に100通近く届くんですよ。皆さん笑ってJunkにフィルタリングで済ませられますか?

私は体験したから言いますけど、悪意を感じるだけに決して笑って済ませられるものではないです。ここのBBSにメールアドレスをいれたのはうかつだったと思いますが、まあ、ここなら入れても大丈夫だろうと信用したというのもありますし、とりあえず非公開なんだし大丈夫だろうと判断してしまったんです。

そんなにここのページトップに利用上の考えうる危険性について開示するのは難しいことですかね。。。これをしておくのとしないんでは、違いがあると思うんですよ。開示しておけばここを利用する人にとって自分の個人情報を書き込む際の判断材料になるはずです。少なくともインターネットのお約束などと言うより親切というものです。

とりあえず夜にでもここの管理者にメールで提案しときます。



[ 前のトピック内容10件 ] | [ 次のトピック内容10件 ]
このトピックの全ページ / [0] [1] [2] [3] [4]

返信不可


- Child Tree -