アニメ演出家、誤認逮捕か?大阪市のHPのセキュリティでは誰でも勝手に殺人予告が送られる可能性がある

「少なくともCSRFで誰でも勝手に殺人予告を書き込むことが出来る」
プログラミング サイト制作 犯罪 総記 インターネット CSRF
59
アニメ演出家逮捕

mala @bulkneets
事実関係も手口も関係なく逮捕していい条件を満たしてない、そもそもCSRF可能なフォームに書きこまれた内容を真に受けるな
mala @bulkneets
「少なくともCSRFで殺人予告を書き込むことが出来る」ということを言ってるのであって、断定的なことを言うのはやめろ、カスどもが
NOKUBI Takatsugu野首貴嗣 @knok
過去に警察がCSRFを看破して真犯人を逮捕した例 http://t.co/E8wlbrU2 QT @bulkneets: 意見を送りました http://t.co/PPaV2Hju
mala @bulkneets
@knok そんなこと知ってますよ。差分を見たほうがいい
NOKUBI Takatsugu野首貴嗣 @knok
@bulkneets ああいえ、malaさんがご存じであろうことはわかってます。というかmalaさんの記事で「CSRFでウィルスじゃないだろう」というような話をみたので。拡散の意味でのRTでした
mala @bulkneets
JALの問い合わせフォーム、CSRF対策のトークン無し、リファラ送らなくても送信できることを確認した。
mala @bulkneets
http://t.co/CfXFFaue "「私以外アクセスできないが、身に覚えがない」と否定している"
リンク www.jiji.com 時事ドットコム:ネットで殺傷予告、男性聴取=「日航機爆破」、同一発信元大阪府警 インターネット上に、大阪市内で今月上旬に無差別殺傷を予告する書き込みがあり、大阪府警が威力業務妨害容疑で捜査を始めたことが2日、捜査1課への取材で分かった。府内に住む40代の男性が所有する高速無線L
mala @bulkneets
多少極端なことを言いますけど真面目な話です
mala @bulkneets
犯行予告に使われたと思われるフォームは両方共CSRF脆弱性がある。いくつか可能性がある。無線LAN乗っ取りの可能性、CSRF悪用の可能性、さらにCSRFがあることを承知で証拠不十分で有罪できないだろうという認識のもとで否認している可能性もある
mala @bulkneets
他に確固たる証拠があってそれで逮捕しているのであれば、捜査に支障がない範囲で報道して動機の解明にあたっているとかすべきであるし、容疑否認してるってことは非人道的な取り調べで自白させないと有罪に出来ないってことだよ。
mala @bulkneets
「罠踏まされたんです」とか「無線LAN乗っ取られたんです」といって無罪にするつもりなら、その程度に頭が回るのであれば、もっと逮捕されにくい方法いくらでもあるから考えにくい。
ゆーごく @uu59
んー。警察がプロバイダや大阪市から得られるログがどの程度のものかはわからないけど、CSRFか通常経路かでアクセスパターンが違う(CSRFの場合は最終ページに単発でPOSTしてる)ので少なくともCSRFだったかどうかくらいは普通の捜査で判明できそう
mala @bulkneets
@uu59 同じホストからリファラ送ってるかどうか見れば判別できる
ゆーごく @uu59
@bulkneets ああリファラがありましたね。特にリファラ送らないような環境でなければそれで充分そうです
mala @bulkneets
大事なことですが自分の主張はCSRFを直せというよりも、CSRF可能なフォームに書きこまれた内容を真に受けるなということです
mala @bulkneets
冤罪かとか誤認逮捕かとか言ってる奴はアタマが悪いのか。そういうシンプルな脳みそしてるから、有罪だと思うやつは有罪にするのだろう。不確定なことは不確定なままでいい。
mala @bulkneets
インターネット上での犯行予告は、犯人を突き止められないばかりか、別の人間が書き込んだかのように濡れ衣を着せることも容易にできるのだし、現状そうなんだから仕方ない。シンプルな解決策はインターネット上での犯行予告を完全にスルーすることです。
mala @bulkneets
悪いことをしても必ず証拠が残る、発信元を突き止めることが出来る、なんてそんなデタラメな大嘘に依存したモラルなどさっさと滅びればいい。それは宗教でやれ。
文殊堂 @monjudoh
チョンボするとは思えないも何も、CSRF脆弱性のあるページで被疑者本人が送信したかそうでないかってそもそも確定できないでねーの。http://t.co/MwTJ0Haf
残りを読む(5)

コメント

nekosencho @Neko_Sencho 2012年8月27日
いまどき、普通に頭が働く人なら自宅の機器から犯罪予告とかしないでしょ。テレビドラマとかでさえネットカフェその他身元を隠す手段を言ってる(だから対策も進んでるけど) ……って理由でおいらも冤罪じゃないかと思ってる。もちろん本人がやった可能性もあるけどさ
Simon_Sin @Simon_Sin 2012年8月27日
これ、無実の証明が難しそうだね。…いや、「無実の証明」って言葉がすでにおかしい(有罪の証明がされなければ無実なわけだから)のは承知の上だけど、警察は捕まえちゃった以上裁判にかけないと面子に関わるから是が非でも有罪にしたがるような気が。
柳龍人 @ryutoyanagi 2012年8月27日
こりゃわからん。 とりあえず起訴されるかどうか。あっその前に拘留延長があるか。
@1F9kLsF 2012年8月27日
シロクロ付けられるほどの情報がないので何も言えません。本当にやったかもしれないし誤認逮捕かもしれないし。
kawonasi @kawonasi4989 2012年8月27日
@bulkneets シンプルな解決策はインターネット上での犯行予告を完全にスルーすることです。←これは警察がスルーする(操作も警備もしない)という事ですか? それともメディアが何も報道すべきではないという事ですか?
grainmasher @grainmasher 2012年8月27日
そうは言っても犯罪予告スルーして実際に事が起きたら何で厳重に警備しなかったんだって叩かれるのは目に見えてるからな。容疑者の実名報道の件も含めてこの手の事件報道を見るたびにマスメディアの無責任さを考えてしまう。
@1F9kLsF 2012年8月28日
犯罪予告スルーで何が起きても批判しない、他者も批判はやめようと大々的に呼びかける気概があるならまだしもそんな気まったくないんでしょ?無責任なことは言いなさんな。
ちくわ@だいぶヱロい @tikuwa_ore 2012年8月28日
途中まで凄く共感出来たのに、「シンプルな解決策はインターネット上での犯行予告を完全にスルーすることです。」で、うん?それは問題から全力で目を逸らしているだけで何の解決にもなっとらんです。つまり解決策足り得ない。
Tsuyoshi CHO @tsuyoshi_cho 2012年9月2日
tikuwa_ore 誰もが穴のないWebアプリつくってくれるなら、気楽なんですが、妥当なポイントどこらへんでしょうねぇ...
はやたま@ヤマト新たなる旅路へ・・・ @hayatama1975 2012年10月22日
結果的にこの件もばっちり利用されてましたなあ。malaさん ‏@bulkneet ありがとうございます。 http://www.itmedia.co.jp/news/articles/1210/22/news117.html
ログインして広告を非表示にする
ログインして広告を非表示にする