アニメ演出家、誤認逮捕か?大阪市のHPのセキュリティでは誰でも勝手に殺人予告が送られる可能性がある

「少なくともCSRFで誰でも勝手に殺人予告を書き込むことが出来る」
59

アニメ演出家逮捕


mala @bulkneets

事実関係も手口も関係なく逮捕していい条件を満たしてない、そもそもCSRF可能なフォームに書きこまれた内容を真に受けるな

2012-08-27 04:17:58
mala @bulkneets

「少なくともCSRFで殺人予告を書き込むことが出来る」ということを言ってるのであって、断定的なことを言うのはやめろ、カスどもが

2012-08-27 04:23:50
NOKUBI Takatsugu野首貴嗣 @knok

過去に警察がCSRFを看破して真犯人を逮捕した例 http://t.co/E8wlbrU2 QT @bulkneets: 意見を送りました http://t.co/PPaV2Hju

2012-08-27 11:01:32
mala @bulkneets

@knok そんなこと知ってますよ。差分を見たほうがいい

2012-08-27 11:22:22
NOKUBI Takatsugu野首貴嗣 @knok

@bulkneets ああいえ、malaさんがご存じであろうことはわかってます。というかmalaさんの記事で「CSRFでウィルスじゃないだろう」というような話をみたので。拡散の意味でのRTでした

2012-08-27 11:24:36
mala @bulkneets

JALの問い合わせフォーム、CSRF対策のトークン無し、リファラ送らなくても送信できることを確認した。

2012-08-27 11:13:44
mala @bulkneets

http://t.co/CfXFFaue "「私以外アクセスできないが、身に覚えがない」と否定している"

2012-08-27 11:23:15
リンク www.jiji.com 時事ドットコム:ネットで殺傷予告、男性聴取=「日航機爆破」、同一発信元大阪府警 インターネット上に、大阪市内で今月上旬に無差別殺傷を予告する書き込みがあり、大阪府警が威力業務妨害容疑で捜査を始めたことが2日、捜査1課への取材で分かった。府内に住む40代の男性が所有する高速無線L
mala @bulkneets

多少極端なことを言いますけど真面目な話です

2012-08-27 11:25:19
mala @bulkneets

犯行予告に使われたと思われるフォームは両方共CSRF脆弱性がある。いくつか可能性がある。無線LAN乗っ取りの可能性、CSRF悪用の可能性、さらにCSRFがあることを承知で証拠不十分で有罪できないだろうという認識のもとで否認している可能性もある

2012-08-27 11:29:07
mala @bulkneets

他に確固たる証拠があってそれで逮捕しているのであれば、捜査に支障がない範囲で報道して動機の解明にあたっているとかすべきであるし、容疑否認してるってことは非人道的な取り調べで自白させないと有罪に出来ないってことだよ。

2012-08-27 11:31:02
mala @bulkneets

「罠踏まされたんです」とか「無線LAN乗っ取られたんです」といって無罪にするつもりなら、その程度に頭が回るのであれば、もっと逮捕されにくい方法いくらでもあるから考えにくい。

2012-08-27 11:38:11
ゆーごく @uu59

んー。警察がプロバイダや大阪市から得られるログがどの程度のものかはわからないけど、CSRFか通常経路かでアクセスパターンが違う(CSRFの場合は最終ページに単発でPOSTしてる)ので少なくともCSRFだったかどうかくらいは普通の捜査で判明できそう

2012-08-27 11:39:39
mala @bulkneets

@uu59 同じホストからリファラ送ってるかどうか見れば判別できる

2012-08-27 11:40:44
ゆーごく @uu59

@bulkneets ああリファラがありましたね。特にリファラ送らないような環境でなければそれで充分そうです

2012-08-27 11:41:27
mala @bulkneets

大事なことですが自分の主張はCSRFを直せというよりも、CSRF可能なフォームに書きこまれた内容を真に受けるなということです

2012-08-27 12:06:10
mala @bulkneets

冤罪かとか誤認逮捕かとか言ってる奴はアタマが悪いのか。そういうシンプルな脳みそしてるから、有罪だと思うやつは有罪にするのだろう。不確定なことは不確定なままでいい。

2012-08-27 13:02:35
mala @bulkneets

インターネット上での犯行予告は、犯人を突き止められないばかりか、別の人間が書き込んだかのように濡れ衣を着せることも容易にできるのだし、現状そうなんだから仕方ない。シンプルな解決策はインターネット上での犯行予告を完全にスルーすることです。

2012-08-27 13:07:40
mala @bulkneets

悪いことをしても必ず証拠が残る、発信元を突き止めることが出来る、なんてそんなデタラメな大嘘に依存したモラルなどさっさと滅びればいい。それは宗教でやれ。

2012-08-27 13:08:20
文殊堂 @monjudoh

チョンボするとは思えないも何も、CSRF脆弱性のあるページで被疑者本人が送信したかそうでないかってそもそも確定できないでねーの。http://t.co/MwTJ0Haf

2012-08-27 14:48:32