web-dev-qa-db-ja.com

開いている招待状でWebサイトをハッキングする際に留意すべき法的/倫理的問題は何ですか?

私は 人々にそれをハックするように誘うページを持っているサイト について言及している別の質問を読んでいました、そしてそれは私を不思議にさせました。

このかなり仮説的な質問のために、サイトにハッキングを求めるページがあり、そのページがどの種類のハッキングを許可するか、または許可しないかを指定していないと仮定しましょう。

そのようなページを配置することは、このサイトが実際にハッキングされることを期待しているという法的/倫理的に十分な証拠を提供しますか?これらの種類の課題を公開または実行する前に設定する必要がある法的/契約/倫理的要件はありますか?

それは本当にすべての賭けがオフになっていて、どんな種類の攻撃も許容できるということですか?

この質問は今週のITセキュリティの質問でした。
詳細については、2012年4月6日ブログエントリをお読みください。または自分で送信今週の質問。

17
Yoav Aner

私は弁護士ではない義務から始めます、そして弁護士は適切な法的助言を与えることができる唯一の人です:)

とはいえ、ここで考慮すべき要素がいくつかあると言います。まず、セキュリティテストを明示的に許可しているサイトがあります( Dan Kaminskysブログ)の最近のリスト )。私が見たところから、これらのサイトはエンゲージメントのルールを提供します(たとえば、DDoS攻撃はありません)。グーグルのような大企業のためにあなたがそれらのガイドラインに従っているならば、彼らがあなたに対して法的措置をとったならば、私は驚かれることでしょう。もちろん、理論的にはそうであっても、理論的にはハッキングに対する地方の法律を破っている可能性があります。

そのリストまたは他の非常に有名な会社以外では、「このサイトをハッキングしても大丈夫」と言っているページには多少不信感があります。たとえば、ユーザー生成コンテンツが許可されているサイトで、ページを作成した人がその決定を行う権限を持っていることをどのようにして知ることができますか?

いずれにせよ、「禁止されていない」攻撃が許可されているサイトを目にして驚かれるでしょう。最終的には単なるサービス拒否であっても、ほとんどすべてのサイトにある程度の脆弱性があります。

9
Rory McCune

これは非常に興味深い分野であり、いずれにしても判決を下すために訴訟を起こした人はまだいないと思います。

さまざまな管轄区域では、Webサイトに承認の注記があるにもかかわらず、犯罪行為で起訴される可能性があります。

例として、侵入テスト会社があなたのために何らかの仕事をするとき、契約条件には責任条項の制限、行動の期待、連絡とエスカレーションのプロトコルと連絡先などが含まれる場合がありますが、私たちは依然として次のようなリスクの要素を扱います:何かを壊した場合、クライアントは訴訟を起こす可能性があります。したがって、ウェブサイトを攻撃するときは、署名された契約がないため、ウェブサイトに含まれる契約を守る必要がない場合があることに注意してください。

したがって、少なくともガイドラインに従ってください。ただし、ログすべて何か悪いことが起こった場合に備えて、それがあなたではなかったか、故意ではなかったことを証明する必要があります。

10
Rory Alsop