bounce mail flood
あんまりうるさいので,警告メールへの警告を返してみる。
電源がまったく入らないので調査。電源ユニットを取りだしてみたらヒューズが切れていたので近所のホームセンターで購入,交換してACにつないだ途端切れる。光って切れる。青い光が素敵。仕方ないので安物の電源ユニットを買って交換。
仕事が終わらなくて30分くらい遅刻。もうすっかり席が埋まってしまっているので1つあけていただいた。うわ,隣りの席はdoggieさんだし,前の席にはK大学のH先生がいる。内容はほんと充実してました。もっと考えなきゃいけない,と強く思わないでいられない。
懇親会は…えーと,そんなに飲んでましたか私は(謎)。
スタッフのみなさん,お疲れ様でした。
私が 4日に書いたこと はある程度極論なのだが,法的解釈はともかくCGIを作ったりする側はこう思っていなくてはならないのではないか。
おお, http://www.geocities.jp/officeandaccs/index.html にいいまとめがあるようだ。
(ここからは 7日のセミナー が終わってからの追記)connect24hのMLで
自サイトから個人情報が漏れたときに刑事罰を負うことになるのであれば(100%セキュアなCGIを作れる保証がない以上)Webビジネスから撤退せざるをえない という旨の発言があった。恐いのは彼のように誠実であろうと努力する者が去ったあと,その覚悟もなく余分な個人情報を集めたがるヤカラが残ってしまうことだと思う。あるいは現状では後者が目につくということ。
社会科(小四)のテストにて。「日本全体から見た愛知県は,日本のどの位置にあるといえるか」という問題への答え:
ちょっと南 (もちろん誤答)
有吉佐和子の小説にこんな感じのがあったような気がする。計算問題で「だいたいいくつ」という風に答えるの。
あれが不正アクセスにあたるという主張の根拠が知りたい。私は彼が個人情報を公開してしまったこと だけ が問題だったと考えているのだが。
普通に直接アクセスした場合には読めない権限のファイルをCGIの脆弱性をついて読めるようにした,ということなのだろうか(そう解説している人がいる)。それはたしかにアクセス制御を反古にしてアクセスする行為なのかもしれないが,プログラムは思ったように動くのではなくて書いたように動くのだから脆弱性はある意味では「機能」でもありえる(ゲームのバグをついた裏技みたいなもんで)。つまり単に実現されているアクセス方法(製作者が予期しなかっただけ)を利用しただけとも考えられる。これが不正アクセスであるというなら「予期」する範囲が小さい方が得だということにもなってしまわないだろうか。もちろんそういう攻撃を正当化するつもりはないのだが,ACCSみたいにひたすら被害者面するのもみっともない。
ところで,この 国税庁のケース
予定をはるかに過ぎてようやく提出したレポートが全部戻ってきた。コンピュータに関する科目でプログラムを書くという課題だったのだが,どうもこの先生は人の書いたソースをろくに読めないみたいだな。1個所赤が入ってるけど,全然見当違いだ。配列
に収められた値について順位をつけよ,という課題で,次のようなコード(要所だけ抜粋)を書いた(
r[]に順位が入る);
1: for(i = 0; i < n; i++)2: {(ここでa[i]に値を,r[i]に1を代入)3: for(j = 0; j < i; j++)4: {5: if(a[i] > a[j])r[j]++;6: else if(a[i] < a[j]) r[i]++;7: }8: }
なんと,これの6行目を消してくれたわけですよ。ひょっとしたら3行目を
for(j = 0; j < n; j++)と勘違いしたのかとも思ったけど,
a[i]への値の代入を2行目と3行目の間でやっているのだからいくらなんでもそれはありえない。添削する前に自分が勉強した方がいいですよ,S先生。あるいはヤッツケ仕事だというならもっと早く返却してもらいたい。私はあなたほど暇ではないのだ。