1:名無しさん


ミズーリ州知事「ウェブページのソース表示はハッキング」。脆弱性指摘した人物を起訴の意向
逆ギレ案件

ミズーリ州のマイク・パーソン知事が、州が管理するウェブサイトで教職員の個人情報が暗号化もされずに閲覧可能な状態になっているのを発見・報告したジャーナリスト、ジョシュ・ルノー氏を起訴する意向を示しています。

昨秋、St. Louis Post-Dispatch紙の記者として活動しているルノー氏は州教育委員会(Department of Elementary and Secondary Education:DESE)のサイトを閲覧中に、ウェブページのソースコード上に10万人以上の学校教師、学校管理者、カウンセラーの社会保障番号が平文で記述されているのを発見、公表はせず、国にこの問題を報告しました。

その後、問題がすべて解決されたのを待って、ルノー氏はこれを記事化しました。おかげで、州当局には直接な被害は発生することもありませんでした。

しかしこの、本来なら州から感謝状の1枚も贈られてよいはずの行動に対して、パーソン知事は何を思ったのかルノー氏を「ウェブサイトをハッキングした」として犯罪者扱いし、起訴する意向を示しています。さらに州教育委員会のマギー・ヴァンデヴェン氏も、教育関係者への配布文書のなかで「ある人物がウェブページにおけるソースコードの暗号化を解除し、少なくとも3人の教育関係者の記録を持ち出し、その社会保障番号を閲覧した」と述べました。

一般的にウェブページのソースコードは平文で記述され、誰でもブラウザーのメニューからソースコードを表示閲覧できます。しかし、知事と教育委員会の理屈では、自分が所有していないウェブサイトで、その(誰でも見ることができる)HTMLソースを見ると、その人は悪意あるハッカーとみなされてしまうことになります。

全文はこちら
https://japanese.engadget.com/governor-wants-a-journalist-prosecuted-for-looking-at-website-source-code-235003188.html

 

2:名無しさん


知事って起訴権限持ってんの?
すごいんだねあっちの国

 

78:名無しさん

>>2
そもそもアメリカは日本と違って連邦制なんだし、一部権限は合衆国政府より地方政府のほうが強いぞ

95:名無しさん

>>2
州知事は(彼の考えでは)この件における被害者である州を代表してルノー氏を告訴すると言ってる

8:名無しさん


ソースコード表示?ブラウザのハッキング機能を使って機密情報を覗くなんて!

みたいな?

 

9:名無しさん


日本のマスコミなら修正前に嬉々として公表して被害を広げるだろうな

 

14:名無しさん


メールヘッダー覗いても怒られそう感

 

46:名無しさん

>>14

> メールヘッダー覗いても怒られそう感

なんとなくパケット見てもアウトかもね・・・

23:名無しさん


地裁ですら棄却案件だわこんなん

 

29:名無しさん


共和党の知事が州政府を辱めるためのハッキングだみたいなアホなこと言ってたやつか
F12押せば誰でも閲覧できる状態だった不始末を誤魔化すために大事にした感じだな

 

30:名無しさん


Webブラウザでソース表示機能を提供しているグーグル・マイクロソフト・アップルも、幇助罪で訴えるべきだよね

 

37:名無しさん

>>30
Mozilla「許された」

43:名無しさん

>>37
普通に右クリックでページのソースを表示って出るわな(笑)

39:名無しさん


結構ちゃんとした企業のサイトでも
ソースが汚かったり素人臭いのがけっこうあるのが不思議

 

41:名無しさん


そもそもウェブページのソースコードって暗号化というか非公開にできるの?
コピペ対策とかいろいろあるけどソースコードってどうやるんだろう

 

76:名無しさん

>>41
CGIやASAPで、スタイルタグ生成して表示させればいい。

52:名無しさん


火事です、と110番したら、放火犯にされるような話だな

 

42:名無しさん


え~~と?
そういう情報は、ソースコードに平文で記載するんじゃなく、データベースで管理しろってことかな?

 

50:名無しさん

>>42
「ある人物がウェブページにおけるソースコードの暗号化を解除し、少なくとも3人の教育関係者の記録を持ち出し、その社会保障番号を閲覧した」と述べました。

この前提の暗号化が技術的に実現できるのかなと思って

53:名無しさん


ホワイトを起訴するのかよw
前提知識が無い奴は頭おかしい事するよな

 

58:名無しさん


>>1
無理にワールドワイドウェブを使う必要はない。

ソース表示できない独自のブラウザを実装してそのブラウザでしか使えない暗号化プロトコルを開発して、そのブラウザでしか見れないサイトを作ればいいだけだろ。
何ならOSから自作しても構わないはずだ。

それともミズーリ州にはソース表示できないブラウザを実装する自由やプロトコルを開発する自由、OSを自作する自由はないのか?

 

69:名無しさん


そんなにソースを見られたくないならサーバからレスポンスしてんじゃねーよ。
受け取ったソースをレンダリングしようがテキストで見ようがクライアントの勝手だ
クライアント上の運用裁量なんだが、サーバサイドからとやかく言われる筋合いはない
嫌ならプロトコルから何から独自規格でも作って勝手にやれ。

 

87:名無しさん


まあ要するに行政が面子を潰された腹いせ・逆ギレだな
自分たちが間抜けだったのが悪いのに、その事実を認めたくなくて、自分たちは悪くないと思い込み、または意図して、あるいは正常バイアスが働いて、こういう間違った逆恨みをついには行動に移す。
岡崎市立図書館事件と同じ

この情けないお漏らしの事実が公にならければ臭いものに蓋とばかりにやり過ごすつもりだったが、
公になったから都合が悪くなり、逆ギレし出した

 

91:名無しさん


サーバはそのソースコードを正規のhttp(s)リクエストに応じて送出したのだから、クライアントが受け取ったそれは正当なものだ。
また、そのソースコードはバカ正直にレンダリングしないといけず、プレーンテキストで見たらダメだなんていう取り決めは無い。そういうプロトコルじゃないので。

もしどうしてもクライアント側にそこまで強制したいなら、httpサーバであることを諦め、そのような珍妙な要件を満たすプロトコルにしないといけなかった。
それをしなかった時点でそれはサーバ設計側の落ち度だろう。クライアントに責任転嫁してんじゃねーよ

 

92:名無しさん


ページ閲覧した時点で社会保障番号も読み込まれているので訪問者全員訴えないとな