18:名無しさん＠１３周年:2012/10/21(日) 05:51:37.25 ID:AomXXobQ0[1/2]
クロスサイト・リクエストフォージェリ！！

って書くと何かの必殺技のように見えるw

42:名無しさん＠１３周年:2012/10/21(日) 06:02:49.46 ID:hPJEnRZY0[1/1]
クロスサイト！！！リ・クエスト・フォージェエエリイイイイイイイイイイイイイイイイイイイイ

8:名無しさん＠１３周年:2012/10/21(日) 05:43:25.87 ID:McsxNy/R0[1/1]
>>1

日本だけデフォルトでjavascript有効なウェブブザウザの配布禁止にでもすれば

74:名無しさん＠１３周年:2012/10/21(日) 06:31:45.68 ID:XRy+1yjf0[1/3]
これってIEのみの問題なのかな?
インターネットオプションの設定では防げない?

75:名無しさん＠１３周年:2012/10/21(日) 06:33:58.08 ID:mshKX/tt0[2/9]
>>74
javascriptを無効にすればどんなブラウザでも安全
まぁ、ほとんどのサイト見られなくなるが

113:名無しさん＠１３周年:2012/10/21(日) 06:52:25.89 ID:NIsFgT1c0[1/1]
>>74
エンドユーザー自身にできるCSRF対策は、小まめにログアウトし必要なときに
ログインするという手段ぐらいしかない。しかし、この方法ですらエンドユーザー
にとってはWebの利便性を十分に損なうものなので、実際に対策するユーザーは
少ないだろう

10:名無しさん＠１３周年:2012/10/21(日) 05:43:44.29 ID:4FBgVcJu0[1/1]
NoScript入れてる俺に隙はなかった

484:名無しさん＠１３周年:2012/10/21(日) 08:44:55.31 ID:LjdCAEcJ0[1/1]
>>10
短縮URL踏んで死亡

342:名無しさん＠１３周年:2012/10/21(日) 08:07:16.17 ID:fGJXFklD0[1/1]
うーん、CSRFだったら、JavaScript切っていても動作させる事は十分可能なんじゃないかな？
これ、対策はSite側でどうにかするしかないぞ。

にしても、CSRFはメチャクチャ古典的な攻撃手法だぞ。警察は何を注意していたんだ……

85:名無しさん＠１３周年:2012/10/21(日) 06:40:11.36 ID:g0q2SPzu0[1/1]
このジャバ何とかってのもトロイも全くわけワカメだ・・・年間１万くらい払うから確実に安全なセキュリティーシステム誰か作ってくれ

96:名無しさん＠１３周年:2012/10/21(日) 06:44:18.80 ID:Zpk4eE4x0[2/4]
>>85
マジレスすると自分でインターネットやwebサイトのしくみを勉強することだと思うよ
どんなセキュリティソフトでも人間が起こすエラーには対処できない

111:名無しさん＠１３周年:2012/10/21(日) 06:51:16.50 ID:CwSV3ys/O[1/5]
>>85
確実とかあるわけないだろ
どんなセキュリティでも穴はあるし

一番最悪なのは開発者が善人とは限らないことだ

4:名無しさん＠１３周年:2012/10/21(日) 05:37:54.32 ID:TM1tsdvy0[1/1]
でも、ひっかかったのは自己責任だよね
警察に責任を全部おっかぶせられる話じゃないよね

79:名無しさん＠１３周年:2012/10/21(日) 06:35:46.52 ID:nJuRk53Z0[1/1]
>>4
ハハッ！

97:名無しさん＠１３周年:2012/10/21(日) 06:44:37.30 ID:RdAJOVsm0[1/1]
>>4
捕まえる前に調べれば本当に書き込んだかなんて直ぐに分かる
それをしなかったｄかけ
100％警察の責任

431:名無しさん＠１３周年:2012/10/21(日) 08:31:25.87 ID:mZdOdhCJ0[1/1]
>>4
↓でも観て常識で考えろ！

6:名無しさん＠１３周年:2012/10/21(日) 05:39:01.60 ID:tzNAkKgT0[1/1]
げっ、ｗｅｂ見た瞬間にタイホやん
このスレのリンクは不吉なのでふみません

70:名無しさん＠１３周年:2012/10/21(日) 06:28:14.28 ID:qDrS2KamO[1/1]
猫スレやダム板にリンク貼られたら
wktkしながら開いちゃうなw

15:名無しさん＠１３周年:2012/10/21(日) 05:47:37.15 ID:ftJhBiSd0[1/3]
どうでもいいがCSRFのいい略語はないんだろうか
クロスサイトリクエストフォージェリなんて言うだけでも辛いしCSRFなんて言っても分かんないだろうしリクエスト誤送信型中間者攻撃なんてますます分かんなくなるだろうしな

45:名無しさん＠１３周年:2012/10/21(日) 06:05:46.65 ID:nfCQ8B820[1/1]
>>15
最近の日本人は翻訳をサボっていけないよな。
中国語のサイトではどう表記してあるんだろうか、ちょっと気になる。

76:名無しさん＠１３周年:2012/10/21(日) 06:34:39.95 ID:wuTmq/l30[1/1]
>>15
クロスサイトスクリプティングがXSSで周知されていたもんで、クロスサイトリクエストフォージはXSRFと
表記しないとどうも据わりが悪い(実際それでもちゃんと通じるけど)。

しかし日本語で言い改める必要はないんじゃないかな。その過程で要らぬ誤解が発生しそうだ。

57:名無しさん＠１３周年:2012/10/21(日) 06:18:32.27 ID:v7tQiYCVP[1/2]
２秒間で書き込まれるってどういうことだ？
普通あらかじめ文章作成したあと書き込みなり送信ボタンで
書き込まれるんじゃないのか？
２秒間っていうのは何の時間なんだ？

58:名無しさん＠１３周年:2012/10/21(日) 06:20:18.17 ID:BpzGm9bw0[2/2]
>>57
あるページを開いた瞬間に用意してあるデータを自動的に書き込むスクリプトというのが仕込んであるサイトを
たまたま開いてしまったのがこの学生ということ

684:名無しさん＠１３周年:2012/10/21(日) 09:32:12.23 ID:wW4E1YHS0[1/1]
>>57
ここでいう時間っていうのは書き込み用のページを開いてから送信リクエストを送るまでの時間のこと。
普通はキーボードとかで文章を入力してから書き込みボタンを押すのに数十秒はかかる。
この2秒というのはおそらくその書き込み用ページを読み込むのにかかった時間たけ。

12:名無しさん＠１３周年:2012/10/21(日) 05:45:43.53 ID:eYV9BBT/0[1/1]
取り調べにおける誘導や自白の強要を行った事実は消えないけどね(´･ω･`)

13:名無しさん＠１３周年:2012/10/21(日) 05:46:32.20 ID:bwGUKT/l0[1/1]
ネットにはとんでもない地雷があると再認識した
つーか、こんなもんが犯罪になることがおかしいのかｗ

16:名無しさん＠１３周年:2012/10/21(日) 05:50:49.39 ID:h4PvPZpc0[1/1]
稚拙な捜査に不当逮捕、そして不当勾留。
そのうえ、誘導強要脅迫というフルセット。

警察、検察、裁判所それぞれの担当者の実名晒すくらいの大問題。

17:名無しさん＠１３周年:2012/10/21(日) 05:51:02.72 ID:zDIxTjDbO[1/1]
今後、遠隔操作した奴は死刑という法律つくれよ。
これで真犯人の犯罪心理を遠隔操作しろ。

23:名無しさん＠１３周年:2012/10/21(日) 05:53:03.44 ID:pxKByiEB0[1/7]
>>17
冤罪で死ぬ奴続出。

21:名無しさん＠１３周年:2012/10/21(日) 05:52:32.38 ID:/7yhSFKC0[1/1]
これってパソコン画面ずっと監視しててもわからないの？

500:名無しさん＠１３周年:2012/10/21(日) 08:47:32.48 ID:WJMQQdXn0[1/1]
>>21
画面に見えるというのは
操作画面（ワードとか、エクセル、フォトショップ、など）とか、経過や結果表示画面で
例えばエクセルで計算をやっているところなんて見えないでしょ？
何か打ち込んだら結果が表示される

ソフトというのは内部に数多くのプログラムを抱えていて、必要に応じてそれらが計算を行う
で、画面に見えると言うことは、画面に表示させるというプログラムが動いているからであって
「あ」と打ち込んだら、文章データに「あ」が追加され、さらに
その結果を画面に表示させろというプログラムが働いた結果そう見えている
つまりプログラム実行の大半は画面には見えない

51:名無しさん＠１３周年:2012/10/21(日) 06:08:52.06 ID:mshKX/tt0[1/9]
お問い合わせフォームみたいなのあるじゃん
そこのhiddenにワンタイムトークン用のパラメータ入ってないのは
CSRFの脆弱性があると思って良い
ちなみにおいらの住んでるとこの市役所で脆弱性見つけたんで
対策させといたお

24:名無しさん＠１３周年:2012/10/21(日) 05:53:49.75 ID:yzFlZcdR0[1/1]
ワンクリック退学

29:名無しさん＠１３周年:2012/10/21(日) 05:55:08.22 ID:74cLZHV6O[1/1]
もはや警察は赤子同然だなｗ間抜けとしか言い様がない

役にたたんどころかネットしてたらいきなり誤認逮捕されるとかｗｗｗ
ほんと間抜けな話ｗ

36:名無しさん＠１３周年:2012/10/21(日) 06:00:01.57 ID:3bXrYO53I[1/2]
頭に置いてなかったではなく
「そんなことが出来るとは知らなかった
これが我々のスキルです ゴメンナサイ」
じゃないのか？

65:名無しさん＠１３周年:2012/10/21(日) 06:25:20.28 ID:7npDI+Hk0[2/2]
　神奈川県警だからね、

　神奈川県警だもの、

52:名無しさん＠１３周年:2012/10/21(日) 06:09:10.21 ID:BpzGm9bw0[1/2]
こっちはリンク踏んだだけで即どこかのサイトに犯罪予告を書き込むJavaScriptで
VisualStudioの方はプログラムとしてPC内で活動して一定間隔で2ちゃんを監視して特定の暗号が書き込まれたことを検知してどこかに犯罪予告を書き込むタイプ
ということみたいだな
同一犯なのかなこれ？

158:名無しさん＠１３周年:2012/10/21(日) 07:14:43.40 ID:vFx+66nT0[2/2]
真犯人はCSRFと遠隔操作自作ソフトウェアの２種類使って
書き込みさせたんだろ？
時系列的にCSRFやってからプログラム作成したのか逆なのかによって
単独じゃない可能性も残されてるってわけだな

170:名無しさん＠１３周年:2012/10/21(日) 07:17:58.98 ID:VMYJeBlQ0[3/22]
>>158
他にも色々考えられる手法を利用してるだろ
どれが一番釣れるかって実験してんだと思う

38:名無しさん＠１３周年:2012/10/21(日) 06:00:20.41 ID:AomXXobQ0[2/2]
そういえば Visual Studio がどうこうって話は？別件？

44:名無しさん＠１３周年:2012/10/21(日) 06:04:59.35 ID:ftJhBiSd0[2/3]
>>38
１．ウィスル（）はVisualStudio2010特有のコードがあったのでVB10が元だろうという話に
２．LACの理事会長の発言が時事通信のアホ記者のせいで「（VB10は）数万円から数十万円以上する専門的なソフトで素人が購入することは考えにくい」と捏造される
３．全ネット界から爆笑嘲笑される
４．ネットは広大だわ

46:名無しさん＠１３周年:2012/10/21(日) 06:05:59.86 ID:n2kIzbZS0[1/1]
警察側も、安易過ぎる誤認逮捕には罰則付ければ良いよ
5年以下の懲役くらいでね
そうすれば、みんな慎重に操作するようになる
安易過ぎるかどうかの判断は、聞けば分かる事を怠って聞かなかったということにすれば
逮捕までにしっかり聞きまわってミスも大幅に減るかと
誤認逮捕すると1人の人生が終わるんだから、それくらいはした方がいいよね

976:名無しさん＠１３周年:2012/10/21(日) 10:31:51.74 ID:2BHEWQ550[1/1]
>>46
そうすると捕まるよりましって仕事しなくなるからな

48:名無しさん＠１３周年:2012/10/21(日) 06:07:13.83 ID:4bKcFnWF0[1/1]
　物知らずは取り敢えず罪ではないとしよう

　それより、詳細な供述調書はいつ誰がどうやって書いたんだ？

　まずはそれを言えよ神奈川ケンケーさん

　で、作文したやつは公文書偽造＆懲戒免職な

　当然だ

114:名無しさん＠１３周年:2012/10/21(日) 06:52:30.04 ID:hfaeMpJm0[1/48]
>>48
根本はそれだよな
無知はともかく自白強要はｱｶﾝ

50:名無しさん＠１３周年:2012/10/21(日) 06:08:01.22 ID:h62hEdRP0[1/1]
まぁ自白させることのプロだからな。プロ過ぎて無罪な奴に自白させちゃうことも有るわなｗ

54:名無しさん＠１３周年:2012/10/21(日) 06:15:09.32 ID:rcv/AstDO[1/1]
失敗してもいいんだよ。これから頑張ってくれ。

警察嫌いだけど犯罪者はもっと嫌いだからな

207:名無しさん＠１３周年:2012/10/21(日) 07:30:23.06 ID:O2KqvoHB0[1/1]
>>54
自分が作文されて有罪判決で刑務所に入るのもやむをえないとかおめでてーなオマエ

352:名無しさん＠１３周年:2012/10/21(日) 08:10:34.08 ID:Qds8neA80[1/1]
>>54
名誉回復(大学辞めたかクビなら復学させる、会社なら復職させるか職見つかるまで就職斡旋)やら
賠償金やら面倒みてくれるなら10000000歩譲ってそう言えるだろうけどな。

78:名無しさん＠１３周年:2012/10/21(日) 06:35:19.65 ID:Zpk4eE4x0[1/4]
これそこまで専門的な話じゃないよな…？
警察やマスコミはパソコン触ったこともない人しかいないのかな

95:名無しさん＠１３周年:2012/10/21(日) 06:43:38.87 ID:lyDtfr8g0[2/3]
>>78
今の警察のコンピュータ知識では高難度に分類されますｗ
ｽｰﾊﾟｰﾊｶｰ相手では真犯人逮捕なんて夢のまた夢

66:名無しさん＠１３周年:2012/10/21(日) 06:26:32.23 ID:4MmNeAsy0[1/1]
正直　捜査機関側には
刑法各論と刑事訴訟法と犯罪捜査規範あたりは詳しくても
最新のサイバー技術に対応できるような素養
持ってる人は警察庁のキャリア含めてもほとんどいない

従来型の人対人では捕捉できない犯罪類型については
サイバー捜査担当官を専門に育てないと無理
最近ようやく立ち上がったみたいだけどまだまだだね

71:名無しさん＠１３周年:2012/10/21(日) 06:30:19.58 ID:ftJhBiSd0[3/3]
>>66
ところがそのサイバー略にしても旧来の警察体制つまり
・上司は部下をコマにしか見ておらず
・下役は点数取りとおためごかししか興味が無い
という状態でしてね

68:名無しさん＠１３周年:2012/10/21(日) 06:26:50.44 ID:tVAimir50[1/2]
犯人を捕まえるのが難しいことと
無関係の人間を犯人にすることはまったく別のことなんだが
なんか犯人のせいで冤罪を招いたみたいな言い訳が気持ち悪い

違うって言ってる人間を無理やり犯人にしたんだろーが

102:名無しさん＠１３周年:2012/10/21(日) 06:47:45.03 ID:tVAimir50[2/2]
どんなソフトだったのかとか
どんな手口だったのかとかそういう問題じゃねーから
この問題は本当に単純で
IP＝本人とは限らない
そんな最低限の基礎知識もないやつらが権力もってるってこと

携帯から脅迫電話かかってきたら絶対持ち主が犯人って決め付けてるようなもん
幼稚園児かよと

126:名無しさん＠１３周年:2012/10/21(日) 07:00:17.17 ID:zCCoa9KJ0[1/11]
ずいぶん早くからCSRFというほのめかしが2chでも投稿されていた。その書き込みのいくつかは真犯人じゃないだろうか。警察は調べるべきだ。

133:名無しさん＠１３周年:2012/10/21(日) 07:04:41.68 ID:CwSV3ys/O[3/5]
>>126
CSRFは昔2ちゃんでも大量に被害被ったから疑い持つのは当然じゃね？

134:名無しさん＠１３周年:2012/10/21(日) 07:04:49.09 ID:5/z2bKNxO[1/1]
技術ないなら委託すれば？お前等には無理だよ

137:名無しさん＠１３周年:2012/10/21(日) 07:06:38.18 ID:IPzFKUC30[1/2]
警察が馬鹿なのはおいといて、こういうのが頻発すると大変なことになるぞ。

142:名無しさん＠１３周年:2012/10/21(日) 07:09:49.85 ID:zuP+lxCE0[2/2]
>>137
むしろ頻発して冤罪逮捕自白強要なんてことが一切行われないようにならなければ
一千万単位でいるPCの内側に興味が薄く知識のない一般人は簡単に引っかかるしな

138:名無しさん＠１３周年:2012/10/21(日) 07:06:58.42 ID:JhsB0hyT0[1/1]
防がなければならなかったのは犯罪じゃなくて誤認逮捕と冤罪。
本当に怖いのはウイルスじゃなくて、無能な警察。
対策しなければならないのは、パソコンじゃなくて警察の自白強要。

192:名無しさん＠１３周年:2012/10/21(日) 07:26:41.34 ID:srEXi4+q0[1/1]
この件に関して警察を擁護するのは難しいと思うし、そんな必要はないと思うが・・・
一番悪いのはウィルスを作成して、訳の分からない犯行声明のメールを作成した犯人だろ
何が楽しくてそんな事をしているのか分からないが、どうせつまらない人生を歩んでいるんだろ・・・
と、こんな感じでマスコミやネット住民がどんどん煽ればそのうち尻尾を出すかもｗ

209:名無しさん＠１３周年:2012/10/21(日) 07:30:30.37 ID:3BZpZs0/0[4/15]
>>192
犯行予告を送信したことと、警察が誤認逮捕自白強要したのは別件。
どっちが悪いって比較は出来ない。
警察は真犯人が一番悪いって主張したいんだろうけどｗ

215:名無しさん＠１３周年:2012/10/21(日) 07:32:31.88 ID:hfaeMpJm0[3/48]
>>192
ウイルス作成者が悪いのは当たり前だろ
なんでそんな当然のことを言ってるんだ

それとは別の話として、自白強要は最悪だよ
そういう話。

174:名無しさん＠１３周年:2012/10/21(日) 07:18:44.54 ID:RQtcxLsp0[1/1]
犯人は今頃何処で笑っているのかな

144:名無しさん＠１３周年:2012/10/21(日) 07:10:17.61 ID:3BZpZs0/0[1/15]
CSRF使った偽装は大阪府警は見抜いているんだから想定外ってのは言い訳にならないだろ。

189:名無しさん＠１３周年:2012/10/21(日) 07:24:19.36 ID:Re4kbvVM0[1/2]
サイバー犯罪を捜査する担当者がクロスサイト攻撃も知りませんでしたって…βακα..._φ(ﾟ∀ﾟ )

229:名無しさん＠１３周年:2012/10/21(日) 07:34:29.43 ID:KfYEqPw+0[1/2]
俺はサイバー犯罪について警察に何度か捜査協力したことがあるが、
担当する警察官の知識の無さは問題だと思ったわ。
ITについて基礎的な知識が身に付いていない奴が捜査を担当しているから恐ろしい。

246:名無しさん＠１３周年:2012/10/21(日) 07:39:28.91 ID:VMYJeBlQ0[7/22]
>>229
少なくとも都道府県ごとにIT専門の部署が警察に必要だと思うな
外国とも情報共有してやってかないと捜査とか空論過ぎるよね

管理不明な海外サーバーとか経由してんのが常なんだし
うちのルーターのポートスキャンなんかも不明サーバーからが多い

230:名無しさん＠１３周年:2012/10/21(日) 07:34:50.58 ID:6dsoJirD0[1/1]
思い込んだら猪突猛進、捕まえたやつを何が何でも犯人に
裏づけは自白しましたからそんなものは問題ない、動機がありましたから・・・動機は警察が作り出すものなんだな
警察の思考がそもそも問題を大きくしたんだぜ自覚しろよパチンコップ

サイバーテロに警察は無防備ということが露呈しました
ガセネタで簡単に引っかかるは自白強要するは、パ千屋と利益共有するは、根っこから腐敗してんだな

244:名無しさん＠１３周年:2012/10/21(日) 07:38:39.74 ID:KfYEqPw+0[2/2]
今回の件だけでなく岡崎市立図書館の問題でも警察の知識不足が原因だったわけで、
無能な警官を排除しないと国民が不幸を被ることになるぞ。

251:名無しさん＠１３周年:2012/10/21(日) 07:41:47.35 ID:3BZpZs0/0[7/15]
>>244
岡崎の図書館は警察も図書館もソフトウエアを納入した三菱電機インフォメーションシステムズいずれも知識が皆無だった。
三馬鹿だったから余計に始末が悪い。警察と三菱はいまだに謝罪してないし。

266:名無しさん＠１３周年:2012/10/21(日) 07:45:38.88 ID:hfaeMpJm0[8/48]
>>244
あれ、逮捕取り消されてないんだよな。
酷すぎる話

248:名無しさん＠１３周年:2012/10/21(日) 07:39:56.13 ID:jIrKV4TY0[4/5]
こんな簡易なやりかたも見抜けないってやばいだろ警察って

314:名無しさん＠１３周年:2012/10/21(日) 07:59:21.19 ID:AHbrbnw80[1/3]
神奈川県警はもう少し勉強をした方がいい
こういうことを少しでも防ぐためにがんばれお巡りさん
警察組織はもっとITセキュリティ組織と緊密に連携したほうがいい

321:名無しさん＠１３周年:2012/10/21(日) 08:01:05.10 ID:xwy02CbL0[1/1]
日本ドラマの捜査官は死斑や死蝋化すら知らないってのは実はリアルな描写だったのかな。
洋ドラだと捜査官がパソコンや科学知識に精通してるのは当然のように描かれてるけど。

334:名無しさん＠１３周年:2012/10/21(日) 08:04:01.56 ID:uUa2KluF0[1/3]
怖いよなあ
取調官が「数字をひとつ増やしたい」「早く帰りたい」ってだけで人生メチャクチャにされるんだもの