2007年1月8日 21時57分終了#14394 [運営] コトノハ引き継ぎ

ID:221ae9dec6 (・∀・)ｲｲ!! (137)

未来検索ブラジルは、将来有望な会社だと思う。
参考: http://kotonoha.cc/no/50669

1	○	4123	(57.3%)
2	×	3071	(42.7%)
無視		47

棒グラフまたは左の番号をクリックするとその項目を元にしたしっかりアンケートが作れます。

多い順に並べる

回答頻度、省略された選択肢の全表示、などの詳細表示

この円グラフをブログに貼れます→

合計回答数: 7194人 / 7194個

このアンケートと年齢、性別、出身都道府県、居住都道府県でのクロス集計を見る Tweet

このアンケートへのトラックバック ( トラックバック用URL: http://enquete.razil.jp/tb.php/14394 )

モヘンジョだろ？のトラックバックスパム対策 / 2007年9月11日 10時30分

ここからPingを打つための記事。

モヘンジョだろ!!のコッソリアンケート / 2007年9月11日 10時36分

トラックバックスパムを根絶しようと思って、URLの逆引きとPingを飛ばしてくるホストのIPアドレスが同じじゃないとはじくような

1112 :名無しさん 08/05/15 21:16 ID:g32EsJORkr (・∀・)ｲｲ!! (10)

http://pc11.2ch.net/test/read.cgi/esite/1209088294/283-310n
22708/43-45
今現在、43の評価が修正されたのは確認しましたが…。他のも随時、修正されるのでしょうか。
たとえばYouTubeでは、利用者に[へぇ][だめぽ][スパム]の3つの評価ボタンを与え、
一定量のスパムボタンが押されたものについては記事の折りたたみを行っています。しかし、削除は行っていません。
複垢も問題ですが、良かれ悪かれ誰かの意見を「参照不能にする」というのは正しいことなのでしょうか？検討願います。(個人的には折りたたみの導入をお願いします)

1113 :名無しさん 08/05/15 21:53 ID:5PYB.cTWDA (・∀・)ｲｲ!! (2)

↓対応お願いします
21332/75

1114 :名無しさん 08/05/16 19:30 ID:xRs1OkGaxH (・∀・)ｲｲ!! (0)

if(hoge === false){
　　　　　^
これ何ですか?

1115 :名無しさん 08/05/16 19:33 ID:xRs1OkGaxH (・∀・)ｲｲ!! (2)

ごめんなんでもない

1116 :あぼーん 08/05/16 20:35 ID:あぼーん

あぼーん

1117 :名無しさん 08/05/18 01:54 ID:ViXPM--ayV

あぼーん

1118 :名無しさん 08/05/18 02:02 ID:WfxY8o2GvP (・∀・)ｲｲ!! (3)

>>1112
同感です。
現状では、私怨による複数アカウントを使ったあぼーん攻撃が行なわれていますし、
例え複数アカウントが無かったとしても、少数派意見の弾圧だと思います。
へぇ！ や だめぽ… による記事の削除は廃止するか、記事の折りたたみのみにして、
何らかの方法で当該記事を読めるようにすべきです。

1119 :あぼーん 08/05/18 13:02 ID:あぼーん

あぼーん

1120 :名無しさん 08/05/19 07:09 ID:jKzJWLDt5U (・∀・)ｲｲ!! (1)

スレタイ検索の結果が、おかしいです。
例えば化粧板のすべてのスレッドが引っ掛かりません。

1121 :名無しさん 08/05/19 08:26 ID:QIvLDsALWC (・∀・)ｲｲ!! (5)

23105 のアンケートにあるリンクを踏んだら 3216モリタポをだれかにあげたことになりました。

1122 :名無しさん 08/05/19 08:29 ID:R8Ls4YtKRf (・∀・)ｲｲ!! (3)

>>1121
私もです。モリタポ通帳が空になってます。

1123 :名無しさん 08/05/19 08:30 ID:gffnCz2Wns (・∀・)ｲｲ!! (3)

2008/05/19 08:27 -21 pts. 済 ポイントをあげました
2008/05/19 08:27 -21 pts. 済 ポイントをあげました
2008/05/19 08:27 -400 pts. 済 ポイントをあげました
2008/05/19 08:27 -200 pts. 済 ポイントをあげました
2008/05/19 08:27 -50 pts. 済 ポイントをあげました
2008/05/19 08:27 -100 pts. 済 ポイントをあげました
2008/05/19 08:27 -25 pts. 済 ポイントをあげました

かなり取られるのでリンクはクリックするな

1124 :名無しさん 08/05/19 08:33 ID:R8Ls4YtKRf (・∀・)ｲｲ!! (3)

合計3334モリタポを抜き取られました。

1125 :名無しさん 08/05/19 08:37 ID:Yf0bnh_dSY (・∀・)ｲｲ!! (2)

自分も1659ｐやられました

1126 :名無しさん 08/05/19 08:37 ID:2.4FZ5Y218 (・∀・)ｲｲ!! (3)

一応モリタポも電子マネーなんですから、ちゃんと対応
対策を取って欲しいですね。こんなザル仕様では困る。

1127 :名無しさん 08/05/19 08:40 ID:RyRV,vvXsK (・∀・)ｲｲ!! (2)

私も2300ポイントやられた！！！

1128 :名無しさん 08/05/19 08:46 ID:R8Ls4YtKRf (・∀・)ｲｲ!! (1)

だめぽ…を押し捲っている奴がいるが犯人か？
おまえのやった事は冗談で済むレベルじゃないぞ。
刑事告訴も覚悟しとけ。

1129 :名無しさん 08/05/19 08:46 ID:imDYZbDDJS (・∀・)ｲｲ!! (1)

うわああ
マジでモリタポなくなってる

1130 :名無しさん 08/05/19 08:51 ID:J5-zCbeC7w (・∀・)ｲｲ!! (2)

2008/05/19 08:38 -100 pts. 済 ポイントをあげました
2008/05/19 08:38 -200 pts. 済 ポイントをあげました
2008/05/19 08:38 -1,600 pts. 済 ポイントをあげました
2008/05/19 08:38 -21 pts. 済 ポイントをあげました
2008/05/19 08:38 -21 pts. 済 ポイントをあげました

なんでクリックしただけでこんな恐ろしい結果になるんだ？
これじゃもうアンケートに答えられない

1131 :名無しさん 08/05/19 08:55 ID:si8CE,7JP3 (・∀・)ｲｲ!! (2)

俺もだ…
どうなってんだか。

1132 :名無しさん 08/05/19 08:58 ID:iQnmXhOV54 (・∀・)ｲｲ!! (1)

私もでした。ショックです…。

1133 :名無しさん 08/05/19 08:58 ID:Z_MlKOj95s (・∀・)ｲｲ!! (2)

おなじくhttp://find.2ch.net/enq/result.php/23105/l50のアンケで約25,000モリタポ消失してしまいました。
迂闊にリンクを踏んだこちらにも問題がありますが、
通常のモリタポをあげる手続きですと、まず確認画面がでてきます。
今回の場合は何もなく、明らかにバグなどを利用した不正行為だと思います。
全額返済は無理でも、それなりの対応は、していただけないものでしょうか？

1134 :名無しさん 08/05/19 08:59 ID:2ySH5GPT.n (・∀・)ｲｲ!! (4)

･･･わかった。今、妙に高額なアンケが立ってるけど、これって>>1121のリンクで獲たモリタポじゃないか？
どうすんだこれ？人から盗まれたアンケは、すでに他の人の通帳に移っている。未曾有の問題だぞ…。

1135 :名無しさん 08/05/19 09:01 ID:VHZ_E28sew (・∀・)ｲｲ!! (1)

2008/05/19 08:24 -3,200 pts. 済 ポイントをあげました
2008/05/19 08:24 -1,600 pts. 済 ポイントをあげました
2008/05/19 08:24 -21 pts. 済 ポイントをあげました
2008/05/19 08:24 -21 pts. 済 ポイントをあげました
2008/05/19 08:24 -12,800 pts. 済 ポイントをあげました

いったいなんなんですか・・・・

1136 :名無しさん 08/05/19 09:06 ID:rSMJc,lhhG (・∀・)ｲｲ!! (9)

>>モリを取られた方
とりあえず
http://razil.jp/company/mail.html
こちらで運営さんへ連絡を取ってみてください。
私は先ほど奪われたモリの返還を受けましたです。

1137 :名無しさん 08/05/19 09:07 ID:TVDSa3gJDy (・∀・)ｲｲ!! (2)

毎日、コツコツと貯めてきたモリタポがこんなことで・・・

1138 :名無しさん 08/05/19 09:07 ID:uW_dTZS09B (・∀・)ｲｲ!! (1)

2008/05/19 08:22 -100 pts. 済 ポイントをあげました
2008/05/19 08:22 -25 pts. 済 ポイントをあげました
2008/05/19 08:22 -400 pts. 済 ポイントをあげました
2008/05/19 08:22 -800 pts. 済 ポイントをあげました
2008/05/19 08:22 -12,800 pts. 済 ポイントをあげました
2008/05/19 08:22 -21 pts. 済 ポイントをあげました
2008/05/19 08:22 -21 pts. 済 ポイントをあげました
2008/05/19 08:22 -50 pts. 済 ポイントをあげました

こんなにとられてしまった‥‥。困ったな‥‥。

1139 :名無しさん 08/05/19 09:08 ID:si8CE,7JP3 (・∀・)ｲｲ!! (3)

テロですな。

1140 :名無しさん 08/05/19 09:10 ID:Z_MlKOj95s (・∀・)ｲｲ!! (1)

>>1133の内訳
2008/05/19 08:47 501 pts. 済 「こっそりアンケート」からの501モリタポ
2008/05/19 08:43 -25 pts. 済 ポイントをあげました
2008/05/19 08:43 -50 pts. 済 ポイントをあげました
2008/05/19 08:43 -100 pts. 済 ポイントをあげました
2008/05/19 08:43 -200 pts. 済 ポイントをあげました
2008/05/19 08:43 -400 pts. 済 ポイントをあげました
2008/05/19 08:43 -800 pts. 済 ポイントをあげました
2008/05/19 08:43 -21 pts. 済 ポイントをあげました
2008/05/19 08:43 -1,600 pts. 済 ポイントをあげました
2008/05/19 08:43 -3,200 pts. 済 ポイントをあげました
2008/05/19 08:43 -6,400 pts. 済 ポイントをあげました
2008/05/19 08:43 -21 pts. 済 ポイントをあげました
2008/05/19 08:43 -12,800 pts. 済 ポイントをあげました

500ほどバックされてるので、全体被害は25,117森

1141 :名無しさん 08/05/19 09:10 ID:NW33G9OR7A (・∀・)ｲｲ!! (6)

アンケ編集のプレビュー画面へのリンクを作るときに「>」や「<」を置換していないことを突いて、「モリタポをあげる画面を開き、送信ボタンを押す」ようなスクリプトを<script>タグで読み込ませてるのね。

1142 :名無しさん 08/05/19 09:14 ID:DkVDIGarCo (・∀・)ｲｲ!! (4)

find.2ch.net/moritapo/give.php?RK=UlkNDwnOU0583YkI5gb4euuDKD&AM=21&CM=hoge
find.2ch.net/moritapo/give.php?RK=UlkNDwnOU0583YkI5gb4euuDKD&AM=12800&CM=hoge
find.2ch.net/moritapo/give.php?RK=UlkNDwnOU0583YkI5gb4euuDKD&AM=6400&CM=hoge
find.2ch.net/moritapo/give.php?RK=UlkNDwnOU0583YkI5gb4euuDKD&AM=3200&CM=hoge
find.2ch.net/moritapo/give.php?RK=UlkNDwnOU0583YkI5gb4euuDKD&AM=1600&CM=hoge
こんなスクリプトが･･･
ブラジルは早く本人確認を

1143 :名無しさん 08/05/19 09:15 ID:iseNab3915 (・∀・)ｲｲ!! (3)

俺は2000逝った。最悪。。。
これこつこつ貯めてた人や森買った人とかショックすぎるやろ。

1144 :名無しさん 08/05/19 09:22 ID:oJY8I.TuGd (・∀・)ｲｲ!! (3)

うぅ・・
悔しすぎる・・
ｺﾂｺﾂ貯めてたのに・・・

600近く取られてた。

1145 :名無しさん 08/05/19 09:27 ID:JYMv7XnNnU (・∀・)ｲｲ!! (3)

さんの現在のモリタポ：-448 モリタポ

マイナスなんてなるんだな‥
orz

1146 :名無しさん 08/05/19 09:35 ID:umMqZK.9Ip (・∀・)ｲｲ!! (1)

３３００取られますた･･･
もうリンクを踏まない事にします

1147 :名無しさん 08/05/19 09:35 ID:6ZwG_mbsB6 (・∀・)ｲｲ!! (6)

取られたモリタポを不当に使われる前に
http://find.2ch.net/enq/result.php/23105/l50のアンケ主の垢停止を希望

1148 :名無しさん 08/05/19 09:38 ID:JYMv7XnNnU (・∀・)ｲｲ!! (1)

>>1136
本当に返してもらえたんですか？
もう問い合わせたけど返事がないから諦めかけてました。
少し希望が出てきた。

1149 :名無しさん 08/05/19 09:48 ID:svsC8SWc_j (・∀・)ｲｲ!! (2)

サイバー犯罪に関する情報提供のフォーマットにリンクします。
アドレスを見ていただければ分かるように愛知県警ホームページからの抜粋です。
愛知県警はこの手の犯罪に強い警察ですからきっと動きますよ。

https://www.pref.aichi.jp/police/mail/cyb_mail_2.html

1150 :名無しさん 08/05/19 09:58 ID:Ayc4cAV05G (・∀・)ｲｲ!! (3)

仮想通貨でも騙して巻き上げれば、立派な犯罪。
痛い目を見たいようだから、警察の世話になってもらいましょう。

1151 :名無しさん 08/05/19 10:03 ID:svsC8SWc_j (・∀・)ｲｲ!! (1)

馬鹿だなぁ。
ビクビクしながら生きていくんだな。
絶対に警察が家庭訪問するから覚悟していてね。
留置所がまってるからね。
留置所は怖いオッサンや薬が切れて暴れるヤク中毒もいるから怖いよ。

1152 :名無しさん 08/05/19 10:41 ID:OI2yjttT9H (・∀・)ｲｲ!! (1)

25000くらい逝った…

1153 :名無しさん 08/05/19 10:42 ID:OI2yjttT9H (・∀・)ｲｲ!! (1)

25000くらい逝った…

1154 :名無しさん 08/05/19 10:58 ID:.-qJlAQHQT (・∀・)ｲｲ!! (1)

俺は京都府警に被害届出してくる。
で、警察煽ってくるしｗｗ

警視庁、愛知県警、大阪府警に負けてもいいんですかってね

1155 :名無しさん 08/05/19 11:06 ID:Z_MlKOj95s (・∀・)ｲｲ!! (1)

>>1153
同時刻に立ってた拳銃アンケに答えてなければ、
-25,617+1＝被害額合計-25,616森。

二千円以上、アカウントには貯めておかないほうがいいみたいだね。。。
俺は、クso-netの全板巻き込まれ規制あったばかりだから、ｐ2救済目的でストックしてただけなんだけど
今年はいろいろと巻き込まれること多いわ。正直しんどい

1156 :名無しさん 08/05/19 11:13 ID:lWfB_Zbsy4 (・∀・)ｲｲ!! (1)

ここまでひどい状況だと、ネットゲームで問題が発生した時みたいに巻き戻るのかな。

1157 :名無しさん 08/05/19 12:03 ID:JYMv7XnNnU (・∀・)ｲｲ!! (1)

誰かブラジルから返事きた人いる？
自分は朝９時くらいに問い合わせたがまだ音沙汰なし。

1158 :名無しさん 08/05/19 12:44 ID:Z_MlKOj95s (・∀・)ｲｲ!! (1)

モリ全額返却ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!
ありがとうブラジル。ありがとう義捐してくれた方
みんな愛してる。

ただし、今回の実行犯は死刑希望します

1159 :名無しさん 08/05/19 12:45 ID:0v7FxcwmCq (・∀・)ｲｲ!! (1)

通知とかは着てないけど森帰ってきた！！！
ブラジルさんどうもありがとう！

1160 :名無しさん 08/05/19 12:52 ID:JYMv7XnNnU (・∀・)ｲｲ!! (2)

>>1158
全文まるっと禿げ上がるほど同意！！！！！！！！１１１１１

1161 :名無しさん 08/05/19 13:06 ID:R8Ls4YtKRf (・∀・)ｲｲ!! (1)

全部戻ってきました。
ブラジルさんありがとうございます。
しかし、実行犯は許せません。
>>1158さん同様に死刑を求刑します。

1162 :名無しさん 08/05/19 13:16 ID:TVDSa3gJDy (・∀・)ｲｲ!! (2)

本格的に犯人を追い詰めるなら、ν速あたりで
スレを炎上させる必要があるかもね。。。

1163 :名無しさん 08/05/19 13:50 ID:UEc4uaEA7G (・∀・)ｲｲ!! (2)

XSS脆弱性があったのか…知らなかった…

1164 :名無しさん 08/05/19 13:55 ID:yzJrcjztfv (・∀・)ｲｲ!! (9)

この度の脆弱性の仕組み
問題のリンクは、HTMLタグが含まれている。そのタグは、tinyurl.comというサービスを経由して、とあるアップローダーのJavascriptファイルを読み込むようになっている。
コッソリアンケートのCGIが送信された文字列をHTMLエスケープしないために、リンク中のHTMLタグがそのままクライアントに送信され、クライアントは攻撃者の用意したJavascriptを読み込む。
攻撃者の用意したスクリプトは単純、ただモリタポを送るページをiframeタグで読み込み、onloadイベントハンドラからsubmitメソッドで送信するというもの。

この度の攻撃は、一般に、クロスサイトリクエストフォージェリ、クロスサイトスクリプティングという名前の脆弱性です。
しかし、この度の攻撃はとても単純、また広く知られた手口であり、ただHTMLエスケープをしているだけで十分に回避できたものであります。
この程度の攻撃を許すような脆弱性があったということは、大きな失態であると思います。
攻撃者もまさかここまで上手く行くとは思っていなかったのかもしれません。
ブラジルさんには対策を徹底するとともに、このような脆弱性は他にないかを徹底的に調べてもらいたいと思います。

1165 :名無しさん 08/05/19 14:04 ID:OI2yjttT9H (・∀・)ｲｲ!! (2)

25000森が帰ってキターーーーーーーー！！
ブラジルさんありがとう。
このうれしさを胸に、これからもアンケづくりに励みます。

1166 :名無しさん 08/05/19 15:13 ID:Ljq9mdqjH0 (・∀・)ｲｲ!! (2)

とりあえず、ブラジルは犯人をしっかり追い込んで欲しいですね

1167 :名無しさん 08/05/19 15:22 ID:.-qJlAQHQT (・∀・)ｲｲ!! (9)

刑法の根拠見つけてきた
未来検索ブラジルは刑法第２３４条の２で被害届が出せるし
ひっかかった俺らは刑法第２４６条の２で被害届が出せる

第３５章　信用及び業務に対する罪
第２３４条の２（電子計算機損壊等業務妨害）
人の業務に使用する電子計算機若しくはその用に供する電磁的記録を損壊し、
若しくは人の業務に使用する電子計算機に虚偽の情報若しくは不正な指令を与え、
又はその他の方法により、電子計算機に使用目的に沿うべき動作させず、
又は使用目的に反する動作させて、人の業務を妨害した者は、
５年以下の懲役又は１００万円以下の罰金に処する。

第３７章　詐欺及び恐喝の罪
第２４６条の２（電子計算機使用詐欺）
前条に規定するもののほか、人の事務処理に使用する電子計算機に虚偽の情報
若しくは不正な指令を与えて財産権の得喪若しくは変更に係る不実の電磁的記録を作り、
又は財産権の得喪若しくは変更に係る虚偽の電磁的記録を人の事務処理の用に供して、
財産上不法の利益を得、又は他人にこれを得させた者は、１０年以下の懲役に処する。

1168 :名無しさん 08/05/19 16:54 ID:r_b5saTIFW (・∀・)ｲｲ!! (-19)

森とられた奴らざまあｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

1169 :名無しさん 08/05/19 17:08 ID:8O_FwiakFl (・∀・)ｲｲ!! (1)

>>1156
今回の事態について公式なアナウンスが出るかどうかはともかくとして、
そうするより仕方ないでしょうね。
こんな簡単なセキュリティホールを、しかも前例が2chで発生していたというのに
今まで放置していたというのは、常識的には考えられないことです。

>>1167
実害がないと被害届けは出せないでしょう。
悪意あるユーザーが集めたモリタポを使い込んだのか、
被害回復（運営側が被害相当モリタポを返還）しているかどうか、
が問題だろうと思います。

1170 :名無しさん 08/05/19 17:13 ID:Yf0bnh_dSY (・∀・)ｲｲ!! (1)

23119/1＝>>1168によるＮＧ＆あぼーんアンケ対策もお願いします
垢停止などが適当かと思います

>>1168
既に森は戻ってますが？

1171 :名無しさん 08/05/19 17:20 ID:DkVDIGarCo (・∀・)ｲｲ!! (2)

23119
ブラジルはいい加減対策してくれないと怒るよ？
もうあぼーん24回目

1172 :名無しさん 08/05/19 17:21 ID:DkVDIGarCo (・∀・)ｲｲ!! (1)

>>1170
どうせ複垢だよ
いやほぼ100％

1173 :名無しさん 08/05/19 17:36 ID:nz,DJlCDWP (・∀・)ｲｲ!! (3)

23119
ホストで規制してくれないかな
これなら複垢でも対策できるだろ

1174 :brazil◆p27/j1WdLA 08/05/19 18:10 ID:f_kqngho4a (・∀・)ｲｲ!! (8)

モリタポの意図せぬ贈与＆XSS脆弱性について、報告をいただいた方々にお礼を
申し上げます。ありがとうございました。

問い合わせをいただいた方には個別にメールを差し上げていますが、その
メールにある通り、本日正午過ぎに今回の穴については対策を打ち、
当該アンケートによるモリタポギフトは全部無効化しました。
被害届については検討中です。

モリタポサービスの「送る」機能が悪用されることが多いため、この機能が
よりセキュアになるよう、またアンケートに使用しているスクリプト全般に
おいても継続的に対策を続けます。

1175 :名無しさん 08/05/19 18:28 ID:JYMv7XnNnU (・∀・)ｲｲ!! (2)

>>1174
乙です

1176 :名無しさん 08/05/19 18:37 ID:QABf43ZJj8 (・∀・)ｲｲ!! (-2)

>>1174
それじゃダメだろ

1177 :名無しさん 08/05/19 18:42 ID:nz,DJlCDWP (・∀・)ｲｲ!! (4)

>>1174
大規模かつ悪質だったし、ブラジルにとっては無効にしても実害があったんだから、
やっぱり被害届は出してほしいな

1178 :名無しさん 08/05/19 19:55 ID:2kpeTTBW.J (・∀・)ｲｲ!! (-1)

お前ら必死だな

1179 :あぼーん 08/05/19 20:04 ID:あぼーん

あぼーん

1180 :名無しさん 08/05/19 20:30 ID:R8Ls4YtKRf (・∀・)ｲｲ!! (1)

>>1179
ゴラァ!!
ウイルス張るな!!

1181 :名無しさん 08/05/19 20:35 ID:AUO1LW-k,e (・∀・)ｲｲ!! (1)

本当だ。
今から苦情出そうかと思ったけど通帳が元に戻ってる！
迅速な対応に感謝。

1182 :名無しさん 08/05/19 21:35 ID:JSB7bwyJuM (・∀・)ｲｲ!! (2)

アンケートに答えるときに、カテゴリは表示しなくなったのでしょうか？
回答後 個別のアンケートを確認するときにはカテゴリが見えるのですが…

なお　ブラウザはFireFox ver2です

1183 :名無しさん 08/05/19 22:47 ID:8O_FwiakFl (・∀・)ｲｲ!! (1)

>>1174
いまさらかよ

1184 :名無しさん 08/05/19 22:51 ID:8O_FwiakFl (・∀・)ｲｲ!! (1)

>>1177
関係する全部のアンケートが無効化され巻き戻されたのであれば、
実害はなかったのでは？
それに、XSS脆弱性をアンケを立てるかたちとはいえ
告発してくれたのだし。
これで運営が被害届でも出そうものなら、まさに
ACCS同様のサイバーノーガード戦法ですよ。

1185 :名無しさん 08/05/19 22:57 ID:AS0G589Mp_ (・∀・)ｲｲ!! (3)

今回たまたま運営でなんとかしてもらえたから被害が少なくて済んだだけなんじゃないのかな。
未遂が罪に問われないのはちょっと納得いかない。

1186 :名無しさん 08/05/19 23:20 ID:H7FoGz0uJI (・∀・)ｲｲ!! (3)

>>1184
> これで運営が被害届でも出そうものなら、まさに
> ACCS同様のサイバーノーガード戦法ですよ。
それってなんだか違う気がする。
もちろんブラジルはXSSなんてされないよう対処する必要はあるけど、
直接ブラジルにこういう脆弱性があると言えば良いだけの話でしょ。
脆弱性をついて大多数の利用者に対し実行する必要は全くない。


例えばここに一軒のシェアルームがあって
ここのオーナーが玄関の鍵を施錠してくれるとする。

あるときオーナーが玄関の鍵をかけ忘れていたところ泥棒が入って来て
「ほら、あんたが鍵をかけないからいけないんだ。これに懲りて鍵かけろよ。」
と言って、その家に住んでいる人たちの金を盗んでいった。
オーナーは施錠し忘れたことから住人に賠償した。

このオーナーは泥棒に感謝しなきゃいけないわけ？

1187 :名無しさん 08/05/19 23:31 ID:8O_FwiakFl (・∀・)ｲｲ!! (-2)

>>1186
そのたとえは間違っているね。
自分の家の窓を全開にしていたら、
隣の家の木の落ち葉が風に乗って部屋の中に入ってきてしまい汚れたので、
隣の家主の責任だから訴える、
などと言っているようなもの。

1188 :名無しさん 08/05/19 23:37 ID:8tOmvjzyAp (・∀・)ｲｲ!! (4)

>>1187
あの悪質なアンケを立てた犯罪者と落ち葉を一緒にするなって。
それとも、あなたが件の本人で犯罪意識が全く無いので木の葉と比喩するのですか？

1189 :名無しさん 08/05/19 23:40 ID:8O_FwiakFl (・∀・)ｲｲ!! (1)

>>1188
窓が全開だった件についてはガン無視スルーなんですか？

1190 :名無しさん 08/05/19 23:49 ID:H7FoGz0uJI (・∀・)ｲｲ!! (3)

>>1189
全開の窓から木の葉が入って来たというのと
全開の窓から泥棒が入るというのは全く別だよ。

今回の件って木の葉が入って来たというような偶発的な出来事なわけ？
明らかな悪意を持った故意だと思うけど。(だから例でいえば後者)

利用者から金をとっている営利企業としては当然窓が全開であった責任はあるけど
泥棒が入ってもいい理由にはならないと思う。

1191 :名無しさん 08/05/20 00:10 ID:6yiinWshur (・∀・)ｲｲ!! (4)

>>1190
確かに。それに自分は「隣の家主」っていう表現が違和感を感じる

1192 :名無しさん 08/05/20 00:39 ID:AJP7-iUj.I (・∀・)ｲｲ!! (2)

>>1190
別に落ち葉でなくても、雨が吹き込んでくるなど
他にも被害はいろいろありますよ。
窓全開の時点で、「偶発的」だなどとはとても言えないですね。
窓を全開にして、一般ユーザーを無防備な状態にさらして平然としていることが既に
未必の「悪意を持った故意」。

1193 :名無しさん 08/05/20 00:48 ID:,Ag-uJoVjK (・∀・)ｲｲ!! (5)

>>1192
多分、煽りたいとか例のアンケ主を援護したいとかじゃなくて、純粋に議論を楽しみたい人間なんだろうけど、
そもそも「たとえ話」はあくまでたとえ話だ。きっちり議論したいならXSS脆弱性について話せよ。

1194 :名無しさん 08/05/20 02:24 ID:AJP7-iUj.I (・∀・)ｲｲ!! (5)

>>1193
XSS脆弱性については、「ぼくはまちちゃん！」が
あっちこっちのサイトをさんざん突き上げていたネタ。
ネットセキュリティまわりでメシ喰ってない人間にも、とっくに有名。
まして、
# http://find.2ch.net/enq/result.php/23109/178
にもあるように、去年大騒ぎしていたわけで。
同じドメインの中で発生していたことについて「知らない」というのは
あまりに無知無関心に過ぎる。
あとは、このへんでも読んでみるといい。

# ＠IT総合トップ > テクノロジー > Security&Trust > Strutsで作るセキュアWebアプリケーション（1）
# 第1回 適切なエスケープ処理でクロスサイトスクリプティングに備える 2006/3/23
# tp://www.atmarkit.co.jp/fsecurity/rensai/struts01/struts01.html

# ITpro ＞ オープンソース/Linux ＞ サーバー
# 【PHP TIPS】 19. マルチバイト文字とXSS脆弱性 2007/03/20
# tp://itpro.nikkeibp.co.jp/article/COLUMN/20070307/264098/

1195 :名無しさん 08/05/20 03:01 ID:Y2nvOHW3m5 (・∀・)ｲｲ!! (3)

>>1192
法律用語使いたいんなら悪意って単語をそんな風に使うなよー

1196 :◆GJqHb/ftm2 08/05/20 05:43 ID:qoWc,,JY_S (・∀・)ｲｲ!! (-3)

【皆様へのお願い】

XSS (Cross Site Scripting) と呼ばれる脆弱性を利用してしまった者です。

コッソリアンケートβのシステムでは、「だめぽ…」が一定数集まると、当該記事が完全に読めなくな
ってしまいます。できるだけ多くの被害を受けた方に対してお詫びしたいと考えているので、私の記事
を不快に感じた場合等に、当該記事の「だめぽ…」を押さずに、23105 の「だめぽ…」を押してい
ただけると幸いです。（このアカウントではお詫びや状況説明以外を目的したアンケート・記事の作成
は行ないません。）
皆様にご迷惑をお掛けした立場でこのようなお願いをして申し訳ありませんが、ご理解・ご協力いただ
けたら幸いです。

1197 :◆GJqHb/ftm2 08/05/20 05:46 ID:qoWc,,JY_S (・∀・)ｲｲ!! (3)

【脆弱性を利用しているリンクをクリックしてしまった方へのお詫び】

私が XSS (Cross Site Scripting) と呼ばれる脆弱性を利用して、皆様の大切なモリタポを奪ってしま
い、申し訳ありませんでした。

最終的には、ブラジル社がモリタポ送付の取り消しを行なったことにより、脆弱性を利用しているリン
クをクリックしてしまった人の所にモリタポが戻りましたが、皆様を不安・不快な気持ちにさせてしま
いましたことを、心よりお詫び申し上げます。

また、23110 という被害に遭った方を挑発するようなアンケートを作成してしまったことに関しま
しても、深くお詫び申し上げます。

コッソリアンケートβが、「２ちゃんねる」という釣り・煽り・ネタ等が比較的許される風潮にあるド
メイン内のサイトであることから、モリタポをお金を出して買った人、苦労して集めた人がいることも
忘れて、ニュー速VIP等の掲示板に釣り目的のスレッドを立てるのと同様の感覚で、これらの行為を行な
ってしまいました。

当該アンケートを作成した当時の心境について、時系列に、説明させていただきます。

(1) コッソリアンケート上のXSS脆弱性を発見した。
(2) 「XSSを利用して釣り行為をやってみよう」と思った。
(3) 「モリタポ乞食集まれ！」 (23065) に 23065/11 を投稿した。
(4) モリタポが送られてきた。
(5) 釣り行為を目的として、XSSを利用したアンケートを作成した。
　　この時点では、トリップを用いたモリタポ送付と同様に、モリタポが送られてきても、「モリタポ
　　の回収処理」を行なわなければ、自動的に送付者のもとに戻ると思っていた。
(6) モリタポ通帳に凄い量のモリタポが届いていて驚いた。送信元にモリタポを返却する処理をこちら
　　から行なうことができなかったため、モリタポ送信元にモリタポを戻そうと、モリタポばら撒きア
　　ンケート 23107 [[2
…省略されました。全部(1,399文字)読むにはココをクリック。

1198 :◆GJqHb/ftm2 08/05/20 05:49 ID:qoWc,,JY_S (・∀・)ｲｲ!! (0)

【未来検索ブラジル社へのお詫び】

私が XSS (Cross Site Scripting) と呼ばれる脆弱性を利用したことにより、多大なご迷惑をお掛けし
てしまい、本当に申し訳ありませんでした。

心よりお詫び申し上げます。
皆様からご指摘いただいた通り、悪戯で許される範囲を明らかに逸脱していました。

モリタポばら撒きアンケートによって第三者に配られ、取り消し処理が行なえなかったモリタポを現金
で購入した場合にかかる費用 37990円 (※1) と、モリタポ送付の取り消し処理にかかった人件費等の損
害額に関しましては、全額賠償させていただきたいと考えております。

今回の件に関しましては、深く反省しており、今後は絶対に同様の行為を行ないませんので、どうかお許
しいただけたら幸いです。

本日中に、お問い合わせフォーム http://moritapo.jp/form/mail.php?id=contact より、差出人
「moritapo_xss@yahoo.co.jp」で、お詫びのメールを送らせていただきますので、ご確認いただけたら幸
いです。

多大なご迷惑をお掛けして、本当に申し訳ありませんでした。


※1
下記のように計算しました。
もし、計算に誤りがあれば、ご指摘下さい。
23107 … 500(モリタポ) × 280(人) ＝ 140000(モリタポ)
23108 … 2000(モリタポ) × 100(人) ＝ 200000(モリタポ)
23110 … 30(モリタポ) × 280(人) ＝ 8400(モリタポ)
23112 … 500(モリタポ) × 63(人) ＝ 31500(モリタポ)
合計 … 379900モリタポ

1199 :◆GJqHb/ftm2 08/05/20 05:53 ID:PyIGIl3J9y (・∀・)ｲｲ!! (-1)

【コッソリアンケートの脆弱性について】

皆様にご迷惑をお掛けして申し訳ありません。

23110 という被害に遭った方を挑発するようなアンケートを作成してしまい申し訳ありませんでした。
当該アンケートに書いた挑発文章は本心からのものでは無く、釣り感覚で書いてしまったものです。

今回行なってしまった行為は、後から冷静に考えてみると、「悪戯」や「釣り」では済まされないものであり、
行なった行為について深く反省しております。

さて、当該アンケート中に書いた「10個以上の脆弱性」と、その他の自分が知った脆弱性の内容に関しましては、
今後悪用されることのないよう、お問い合わせフォームを使って未来検索ブラジル社に連絡し、今後、私自
身がそれを悪用したり、詳細や攻撃方法等を第三者に内容を開示しないことを誓います。

下記の内容がそれらの概要ですが、既に対策が行なわれているものや実際には悪用できないもの、悪用さ
れたとしてもたいした問題が無いものが含まれているかもしれません。(動作より推測したものや人から
聞いたものも含まれています。)

[以下の概要は、悪用防止のため、あえて内容が分からないように書いています。
未来検索ブラジル社のフォームに送信する情報 (現在作成中) には、詳細を記載します。]

(01) モリタポが無い状態でモリタポが贈与できる脆弱性 (検証により更に迷惑を掛ける訳にはいかない
　　　ため本当にできるかは未検証だが、この脆弱性がある可能性が高いと推測される。手順と原因に関
　　　しては人から聞きました。)
(02) コソアンのサーバ (php, SQL) に過剰な負荷を掛け、サービス拒否状態にすることができるアンケート
　　　が作成できる脆弱性
(03) 第三者が作成したアンケートを削除できる脆弱性 (回答が付く前に限る)
(04) スクリプトを利用することにより、スラアドの任意の広告を簡単に削除できる脆弱性
(05) 仕様の悪用によりシステムのメール送信機能
…省略されました。全部(1,673文字)読むにはココをクリック。

1200 :名無しさん 08/05/20 06:09 ID:AJP7-iUj.I (・∀・)ｲｲ!! (1)

>>1193-1194 >>1197-1199
高木浩光＠自宅の日記
tp://takagi-hiromitsu.jp/diary/
2008年03月15日 CSRF脆弱性を突く攻撃行為を現行法で処罰できるか
tp://takagi-hiromitsu.jp/diary/20080315.html#p02

1201 :名無しさん 08/05/20 07:34 ID:,Ag-uJoVjK (・∀・)ｲｲ!! (2)

23134 システム的なトラブルも人為的なトラブルも、対応におおわらわと思いますが、そろそろなんとかしてください。

1202 :被害者の一人 08/05/20 07:34 ID:9C6nuMDtf2 (・∀・)ｲｲ!! (4)

まず、今回の件は詳しいが故に起こせた事件である。
モリタポ・コッソリアンケート・PC・プログラム・法律などの知識があり周到な準備により行なわれた。
悪戯や釣りといった本人にとって気軽な気持ちであったとしても、起こしたことの責任と償いと罰は別。

＞モリタポが送られてきても、「モリタポの回収処理」を行なわなければ、自動的に送付者のもとに戻ると思っていた。
んなあほな、知らないわけなかろう。

＞モリタポ送信元にモリタポを戻そうと、モリタポばら撒きアンケート 23107 23108 23110 23112 を作成した。
んなあほな、文字通りばら撒いただけ。騙して贈らせた人数とアンケの回答者数が合わない。
被害者が回収できないことは、足し算と引き算ができれば小学生でも無理なことが分る。

＞ニュー速VIP等の掲示板に釣り目的のスレッドを立てるのと同様の感覚で、これらの行為を行なってしまいました。
感覚が麻痺しているのだろうがネットも実社会だ。反省文にこのようなことを書いてしまうあたり麻痺したままだよ。

＞皆様からご指摘いただいた通り、悪戯で許される範囲を明らかに逸脱していました。
指摘されることもなく常識があれば人に迷惑をかけてはいけない、どう考えても他人の資産を奪う詐欺行為。

＞当該アンケートに書いた挑発文章は本心からのものでは無く、釣り感覚で書いてしまったものです。
そのわりには随分と楽しんでいたようですが‥。釣り行為だから本心じゃないなんて言い訳にもなりません。

＞どうかお許しいただけたら幸いです。
回収に意思がなかったと言えば詐欺にならないと思っているでしょうが、奪ったモリタポを使った行為からみても明らかに他人の金を好き勝手に使っています。
今回の行為がどれだけの罪状に膨らむのかは私には分りませんが、実際に警察け相談した人もいるようです。
被害者が許すと言えば済む問題なのかをまずはご自分から警察に出向きことの経緯を話してうかがってみたらどうですか。
微弱性という単語を強調していますが、微弱な部分を突く行為だから違法性はなく
…省略されました。全部(1,038文字)読むにはココをクリック。

1203 :あぼーん 08/05/20 07:42 ID:あぼーん

あぼーん

1204 :名無しさん 08/05/20 07:51 ID:fStXzAIBBK (・∀・)ｲｲ!! (4)

>>1196-1199
「ごめんで済んだら警察いらん」そう習いませんでしたか？
おとなしく刑事処分を受ければおｋ

1205 :被害者の一人 08/05/20 07:59 ID:9C6nuMDtf2 (・∀・)ｲｲ!! (4)

＞また、23110 という被害に遭った方を挑発するようなアンケートを作成してしまったことに関しま
＞しても、深くお詫び申し上げます。

＞(6) モリタポ通帳に凄い量のモリタポが届いていて驚いた。送信元にモリタポを返却する処理をこちら
＞　から行なうことができなかったため、モリタポ送信元にモリタポを戻そうと、モリタポばら撒きア
＞　ンケート 23107 23108 23110 23112 を作成した。

予想と反して直接振り込まれてしまった、事態収拾のため送信元へ返却するつもりでばら撒きアンケートを作成。
その後に被害者を挑発するアンケートを作成。
どう考えても反省の色は見えません、明らかに愉快目的でモリタポをばら巻いているだけです。

23107 … 拳銃の違法所有について
23108 … 氏名 (フルネーム)
23110 … ようこそ、もりたぽはうすへ
23112 … JavaScriptコードの公開についての謝罪

1206 :名無しさん 08/05/20 08:12 ID:.UEmBm2mS8 (・∀・)ｲｲ!! (3)

犯罪者が弁護士に指導された通りに喋ってるだけに見えるんだが。
本心から反省しているとは思えないな。

1207 :名無しさん 08/05/20 09:40 ID:1kYT1ZEtFw (・∀・)ｲｲ!! (3)

やはりアンケートやレスの"信頼度"を示すためにやはり★のようなものが必要だと思います。
評価が★1つとかなら怪しいが★3つなどなら安心してコメントなどが出来ます。
最近ではあぼーん厨のおかげでコメントもろくに出来ません。
それか一定評価以上のみあぼーんや部分一致出来るとか・・・
何らかの対策をお願いします。

1208 :名無しさん 08/05/20 10:07 ID:OS58j,dWZf (・∀・)ｲｲ!! (3)

>>1197
(5) 釣り行為を目的として、XSSを利用したアンケートを作成した。
　　この時点では、トリップを用いたモリタポ送付と同様に、モリタポが送られてきても、「モリタポ
　　の回収処理」を行なわなければ、自動的に送付者のもとに戻ると思っていた。


嘘くせー
XSSの脆弱性を発見してあんなトラップしかけるような奴が
そんな勘違いするわけないだろｗ
明らかに後付けの言い訳。

1209 :名無しさん 08/05/20 10:39 ID:5RKFbr0sQZ (・∀・)ｲｲ!! (2)

本当に悪いと思うなら、二度とやらない証として自分の実名と住所を公開してくれよ。
まあどうせやらないだろうけど

1210 :名無しさん 08/05/20 10:41 ID:VOLfWlybEC (・∀・)ｲｲ!! (4)

>>1209
そう言いたい気持ちは解らんでもないが、
何にせよ脅迫はよくない

1211 :名無しさん 08/05/20 10:47 ID:R0OHFBI4jW (・∀・)ｲｲ!! (4)

23065/11で事前に試験した上でやってるんだから、
＞この時点では、トリップを用いたモリタポ送付と同様に、モリタポが送られてきても、「モリタポ
＞の回収処理」を行なわなければ、自動的に送付者のもとに戻ると思っていた。
これは嘘だろ。

1212 :名無しさん 08/05/20 11:00 ID:i_v9SddEBY (・∀・)ｲｲ!! (5)

アンケートを作ることや答えることを楽しんでいる人もいるのだから、こういう行為は迷惑以外の何物でもない
しかも、ブラジルから返還されたとは言え、仮想通貨に相当するものに手を出したのだから、それは犯罪です。

運営主体の未来検索ブラジルは、モリタポ運用システムの信頼性を毀損されたとはいえ、
穴があったのも事実、システムの安全性を高めてください。
お願いします。

現在このスレッドには書き込みできません。