不定期戯言

あんまりうるさいので，警告メールへの警告を返してみる。

仕事が終わらなくて30分くらい遅刻。もうすっかり席が埋まってしまっているので１つあけていただいた。うわ，隣りの席はdoggieさんだし，前の席にはK大学のH先生がいる。内容はほんと充実してました。もっと考えなきゃいけない，と強く思わないでいられない。

懇親会は…えーと，そんなに飲んでましたか私は(謎)。

スタッフのみなさん，お疲れ様でした。

私が4日に書いたことはある程度極論なのだが，法的解釈はともかくCGIを作ったりする側はこう思っていなくてはならないのではないか。

おお，http://www.geocities.jp/officeandaccs/index.htmlにいいまとめがあるようだ。

(ここからは7日のセミナーが終わってからの追記)connect24hのMLで自サイトから個人情報が漏れたときに刑事罰を負うことになるのであれば(100%セキュアなCGIを作れる保証がない以上)Webビジネスから撤退せざるをえないという旨の発言があった。恐いのは彼のように誠実であろうと努力する者が去ったあと，その覚悟もなく余分な個人情報を集めたがるヤカラが残ってしまうことだと思う。あるいは現状では後者が目につくということ。

あれが不正アクセスにあたるという主張の根拠が知りたい。私は彼が個人情報を公開してしまったことだけが問題だったと考えているのだが。

普通に直接アクセスした場合には読めない権限のファイルをCGIの脆弱性をついて読めるようにした，ということなのだろうか(そう解説している人がいる)。それはたしかにアクセス制御を反古にしてアクセスする行為なのかもしれないが，プログラムは思ったように動くのではなくて書いたように動くのだから脆弱性はある意味では「機能」でもありえる(ゲームのバグをついた裏技みたいなもんで)。つまり単に実現されているアクセス方法(製作者が予期しなかっただけ)を利用しただけとも考えられる。これが不正アクセスであるというなら「予期」する範囲が小さい方が得だということにもなってしまわないだろうか。もちろんそういう攻撃を正当化するつもりはないのだが，ACCSみたいにひたすら被害者面するのもみっともない。

ところで，この国税庁のケースでは誰が威力業務妨害で逮捕されるのだろう :-)

某所のCGIにXSS脆弱性が発見されて(Thanks>kenji氏)しょぼーん。でも，こういうことに気をつけてくれる友人がいるというのは助かる。

MyDoom関係でFromにメーり返すのはやっぱり困る。

このワーム自体が来るのは別にいいのだが，「あんたのアドレスでこれが届いた。対応しろ」とメーってくる人とか，「ウィルスが含まれてるからFromであるあんたに返すわ」とメーってくるMTAがあってうっとうしい。前者は親切心で言っているのだろうからまだいいのだけど，後者は困るぞ。というか今どきこんな設定にしておくというのは不用意に過ぎるのではないか。ウィルスさえ添付しておけば第三者中継ができそうな気がする(メリットはなさそうだが)。bounce mail flood とは適切な表現だなぁと感心してみたりする。

slashdot.jpで「ソースコード」を「設計図」，「オペレーションシステム」を「基本ソフト」と言うのは気持悪い。JISで定義でもされたという正当性でもあるのか？という発言があったので，「基本ソフトウェア」はJIS X 0001の01.04.02で定義されているとツッコミをいれてみる。01.04.08に「オペレーションシステム」も定義されているがこちらはハードウェアによる実装も含むので，ソフトウェアにこだわれば「基本ソフトウェア」を使うのも決しておかしくはないと言えよう。さらに言えば「ソースコード」にあたるのはJIS X 0007の07.03.13で定義されている「原始プログラム」だと思う(対応英語は source program)のだが，これなら「設計図」の方がマシではないか(設計図がソースにあたるのか仕様書にあたるのかといった議論はともかくとして)。少なくとも「ソースコード(原始プログラム)」という記述よりも「ソースコード(設計図にあたる)」の方がわかりやすいだろう。

メールアドレス販売業者からのspamについて送信元でなく連絡先アドレスを管理するISPに連絡したところ，送信元のISPに連絡せよを繰り返すばかり。送信元に連絡することに意味がないわけではないのだけど，実行犯の足がつくのは連絡先アドレスなのだからそちらに連絡していると言っているのに。

もっとも，わかったところで何ともできないわけではあるのだけど。

@niftyのココログというやつを使ってみる。