例の裁判の話に関連して。

URLの手打ちで行けるファイルを見ることは不正アクセスに当たらないのではと考えている方は多いだろう。では、URLの手打ちとは、正しくは何なのだろう。

• URIの部分の手打ち

これをURLの手打ちと言わない人はいないだろう。
http://example.com/file01.html
というURIがあったとして、
http://example.com/file02.html
を手打ちしても問題ないと言うわけだ。

• GETパラメータ

WEBアドレスの一部に見えるが、GETパラメータだと少しグレイになるだろう。
http://example.com/cgi?file=01
があったとして
http://example.com/cgi?file=02
と手打ちして問題ないと言えるだろうか？

http://example.com/cgi?password=2485285624694
があったとして
http://example.com/cgi?password=5977537583242
とするのは、パスワードのクラックにならないのだろうか？

考えるに、類推性の有無が重要となるのだろう。しかし、類推性の有無なんていうあいまいな物に頼るのはいかがかと思うので、私としては、ここが「問題ない」ということがきちんと定義されるべきだと考える。ただし、GETでパスワードを渡すと、クラックされても不正アクセスに問えなくなる可能性があるが、それはGETなんてものでパスワードを渡すやつが悪いのだ。

• POSTパラメータ

これは、そもそもURLの手打ちにも当てはまらないともいえる。
少し詳しい人であれば、類推して送信するデータを変えられるわけであるが、問題ないといえるのかどうか。

これが問題ないとされると、パスワード入力欄の作りようがなくなる。

と考えると、今回の裁判で有罪判決が出たのもやむを得ないとも言える。

では、POSTパラメータに類推可能な値を入れることで容易にクラックすることができるようなソフトが作られないようにするのはどうすれば良いか？これは、民事の方で、そういう脆弱性による損害の賠償例を積み重ねて行くしかあるまいが、そもそも今回の判決の影響で脆弱性が表に出なくなるだろう。それについては、どうすれば良いのか、いまはわからない。