→ mm0107386: 其實這讓我想起一則新聞 01/23 20:07
→ mm0107386: 之前有個破解臉書創辦人的張姓駭客 01/23 20:08
→ mm0107386: 利用客運訂票的漏洞,拿一元車票搭車,結果被法辦 01/23 20:09
推 vi000246: 請問這是要利用系統漏洞才成立嗎 01/23 20:11
→ vi000246: 因為程式本身是模擬人類操作 人類做不到的程式也做不到 01/23 20:11
要模擬人類操作? 見鬼了啦.... ^_^
哪個人類會在網址列打上
http://xxx.xxx.xxx.xxx/xx.php?id=AXXXXXXXX&id=XXXXX&date=XXXXXX
來訂車票的??
→ mm0107386: 稍微找了一下,台中105年審簡字575號 01/23 20:13
推 vi000246: 請問樓上這個要怎麼查 我在起訴書查詢選台中分院查不到 01/23 20:30
簡字判,在另外的分頁,不在裁判書這邊.
※ 編輯: maniaque (180.217.236.45), 01/23/2017 20:33:22
→ a9301040: 105年審簡字575號跟他的例子不一樣 01/23 21:29
推 vi000246: 人類送出表單也是以?id=xxx的方式傳送的 01/23 21:33
→ vi000246: 如果這樣違法的話 那應該所有的爬蟲程式都違法了 01/23 21:33
→ vi000246: 我主要是怕被拿去賣黃牛票 要負連帶責任 01/23 21:34
→ vi000246: 至於程式本身有無違法 破解驗證碼那段應該是有爭議的 01/23 21:34
您可以繼續跳針沒關係.
您是科技業,還明知故犯,是專業檢察官,一定有能力把你送去法院定罪.
網頁最終送出的是這樣子沒錯.
但是
"是人類透過伺服器所提供的網頁,一樣一樣點選滑鼠與鍵盤所組合而成的指令總合"
之後再由 台鐵網頁 pack 出來的.
而您,是用程式窺探反組破解,然後自己直接把指令組合後往 Server 送.
[網站官方有允許你用第三方程式組合指令傳送嗎]??
國語不要聽不懂.
我也知道販賣相思樹不犯法,政府還推廣種植,造林樹種,還有發錢可以拿..
可是,瑞凡,他馬的我把相思樹萃取 DMT 之後,我要坐牢耶.
我搞精緻農業產業升級,把我的化工知識導入農業,造福世人.
竟然還要吃幾年牢飯,這有道理嗎???
※ 編輯: maniaque (180.217.236.45), 01/23/2017 21:43:43
→ vi000246: 以機器的角度來看 程式和人類都是遞交一樣的訊息 01/23 21:35
假如阿法狗本身有需要搭台鐵的話
那應該不犯法
可是,瑞凡,阿法狗只是一套軟體,初音也是
沒有法人資格........
不是人就沒有犯法....
→ vi000246: 只是驗證碼本來就是為了增加機器人難度 01/23 21:37
所以,破解合法??
林老師哩,能不能跟資工系所要求把法學緒論還是刑法總則當必修啊??
個人現在認為遙控操縱提款機吐錢,資工人應該都認為不犯法吧.....
→ vi000246: 如果寫程式去辨識它 不太確定法律上會有什麼疑慮 01/23 21:38
辨識是一回事
拿來做什麼用,又是一回事.
你可以把泳裝林志玲的泳裝用程式刪掉,然後自己拿來尻,不犯法.
可是若我開口跟你要圖,你寄給我了,不好意思,
你犯法了........我反而沒事(謝謝大大無私分享)
→ a9301040: 聽不懂人話,驗證碼就是不要機器人,沒玩過Google的 01/23 21:40
→ a9301040: 你就是破解驗證機制就這麼簡單 01/23 21:40
→ a9301040: Google上面還故意問,我不是機器人,打勾就過關 01/23 21:42
→ a9301040: 表單如果以Get方式弄到URL/URI,那你的問題不大→自動化 01/23 21:46
→ a9301040: 驗證碼→安全機制,防script、機器人,你用機器人去掃描 01/23 21:48
→ a9301040: 跟破門而入一樣,簡單來說,我這網站只給人類用手指點 01/23 21:49
→ a9301040: 兩者不一樣,不要弄再一起講 01/23 21:49
※ 編輯: maniaque (180.217.236.45), 01/23/2017 21:58:48
給原PO 一個最基礎法律觀念.
[上鎖,是增加被偷的難度,不代表小偷想辦法把鎖打開後,鎖所保護的財產,都歸小偷所有]
同樣的,在科技業,也都知道
只要是程式,一定就有漏洞,只是何時被發現,或早,或晚.
不代表知道漏洞鑽了漏洞,所得到的利益,就是合法.....
你就算未來寫出來,分文不拿,分享給大家使用,自己從來沒用過它來訂過一張票
但,司法一定最少會用幫助犯起訴你,因為檢察官會講.
[上面寫的那些,是常識,眾所知的事實,你自己知道所為是是或非,有足夠辨識能力]
※ 編輯: maniaque (180.217.234.40), 01/23/2017 22:11:58
推 vi000246: 原來如此 感謝回答 01/23 22:08
推 a9301040: 你是問法律,但事實上光寫程式,高招一點是抓不到啦XD 01/23 23:56
推 vi000246: 我查過鐵路法 有一條是用程式訂票罰5萬以上 01/24 00:27
→ vi000246: 除此之外的網站好像沒特別規定 但就像M大講的 有驗證碼 01/24 00:27
→ vi000246: 的網站 就代表不想讓人爬了 基於道德還是不要做吧 01/24 00:28
→ a9301040: 不能程式訂火車票,我在你的原文就跟你說了…還有那不是 01/24 00:42
→ a9301040: 道德問題,驗證碼極可能視為一種密碼、安全機制,你用程 01/24 00:42
→ a9301040: 式去掃就是破壞了 01/24 00:42
→ ewings: 在法律上,驗證碼不是一種證明訂票者是人類的手段,所以用 01/24 08:07
→ ewings: 機械辨識並沒有違法的問題。在設計辨識碼時,一開始就已知 01/24 08:07
→ ewings: 會有機械辨識的可能,用意只是增加機械辨識的時間,避免快 01/24 08:07
→ ewings: 速連續訂票。所以自動辨識這個問題還不大,但是如果能快速 01/24 08:07
→ ewings: 連續訂票,這個問題還比較大,對伺服器造成負擔,若造成伺 01/24 08:07
→ ewings: 服器飽和,比起用機械辨識的問題,還更符合妨礙電腦使用罪 01/24 08:07
→ ewings: 的要素 01/24 08:07
前面已經講了.....整個犯罪要件成立,有各種不同的形態要組成.
1.你要用自己未經官方允許間接的程式去訂票.
2.拿到訂票碼後,去取票.
網頁加辨識碼,就是拖台錢,讓你用3rd程式解碼時增加困難度.
官方不允許你用非官方的程式來訂票,這點很難懂??
你用3rd 程式快速解開辨識碼, "解開" 這個行為,不犯法.
而是你要用自己的程式完成訂票,取票,
或者是因為你的不正干擾行為,造成機器當機,損害他人訂票權益.
這塊才是.
官方設計程式,台灣搭車者一台電腦頂多傳過來 1秒1 個command ,
你一台電腦送10萬個commmand ,你要怎樣對檢察官說,我是網頁點票??
今天要是程式真模擬人類訂票,
那應該是控制滑鼠跟鍵盤,到特定的螢幕座標位置送入要輸入的代碼.
但,有這麼笨的程式嗎??
原PO怎想,那是原PO的自由,干涉不到.
我腦袋裡天天想著跟 040 滾被單,誰能抓我?? (她有新歡了~~~哭哭)
※ 編輯: maniaque (180.217.234.40), 01/24/2017 08:25:10
噓 ewings: 台鐵並沒有限定只能用他們的網頁介面訂票,目前有許多所謂 01/24 08:46
→ ewings: 訂票助手app或程式,也是直接解析台鐵網頁的代碼,直接送 01/24 08:46
→ ewings: 資料,而不使用台鐵網頁的ASP 01/24 08:46
→ carthur: 剛看了一下,台鐵的訂票是JSP 01/24 08:53
以前是 php ,現在標給誰做改版,改用微軟的,還是 java 的,有可能.
(很久沒訂了...)
另外,誰跟大家講,那些 app 跟 台鐵鍵接資料庫,沒有先得到台鐵同意?? ^_^
我個人可以確認,
大概沒有一家 app 敢未經許可,直接跟台鐵高鐵鍵接資料庫.
搞不好程式上架前,都有請台鐵資安人員來看,
確認不會造成台鐵資料庫影響,才可以上架.
不然,台鐵可以直接報警(反正警察就在它家,鐵路警察平常很閒,欠業績)
你 APP 公司可以好好跟檢察官說明,他的行為合法與否.
推 vi000246: 因為我對妨害電腦使用罪的理解是要利用漏洞 或對伺服器 01/24 09:12
→ vi000246: 產生危害 但是鐵路法已經明文規定不得用程式操作 就沒疑 01/24 09:12
→ vi000246: 慮了 01/24 09:12
→ vi000246: 我知道問題點在哪了 感謝各位的專業法律見解 01/24 09:12
→ ewings: 鐵道法沒禁止使用程式,鐵道法寫的是不正指令。如果你的程 01/24 10:04
→ ewings: 式送出的指令和台鐵網頁送回的相同,並無不法。 01/24 10:04
別亂了....鐵路法不會寫這麼死,
因為這樣子同時也限縮了合法得到授權的公司發展應用程式
不正也很抽象,程式是很中立的,
簡單講,未經許可,跳過台鐵提供的流程,就可以視為不正.
撈時刻表的也是,除了台鐵本身開放出來的 open data ,要怎樣拿到更新
大概也是 app 公司跟台鐵那邊喬的.
有人願意拿台鐵資料來做加值,多放幾張時刻表出去,台鐵也樂得高興
可以少印好幾千本紙本時刻表
(我這幾年都要不到了...)
推 a9301040: 繞過驗證碼不是不正指令我也是罪了 01/24 10:41
→ a9301040: *醉 01/24 10:42
推 vi000246: 我沒繞過 而是用程式去拆解圖片 分析圖片的數字 再將分 01/24 10:48
→ vi000246: 析完的結果傳送出去 以機器角度看 跟人類輸入的指令是一 01/24 10:48
→ vi000246: 樣的 01/24 10:48
推 vi000246: 不正指令的定義還滿模糊的 如果是指利用漏洞入侵的行為 01/24 10:53
→ vi000246: 已經有妨害電腦使用罪可以辦了 沒必要多寫在鐵路法吧? 01/24 10:53
用程式解析圖片資訊,只看這一塊,沒有辦法究責
但 之後 的呢?
一定是用 非官方許可的訂票流程 訂票,對吧?? (a大講的就這個,"繞過")
好啊,請說明 誰 [授權] 你這樣 訂票 的??
原PO難道不知道,
單單從網址列手工打 SQL Injection command ,去ㄎ一ㄤ資料庫data
就已經 觸法 了嗎???
這就是 不正 啊....
難道以為 不正 ,是指 恐龍妹 嗎??
建議原PO ,好好先去學點資訊法律.
不要哪天在社會版還是民x新聞看到有人上銬被帶走,
然後還大喊 我不知道我犯法.
※ 編輯: maniaque (180.217.234.40), 01/24/2017 11:19:38
→ vi000246: 說鐵路法65條是行政罰 要現行犯才行 所以現在的金牛都是 01/24 11:04
→ vi000246: 用偽造文書定罪的 可是此文章還是沒講到惡意程式的定義 01/24 11:04
偽造文書 => 冒用身分證號
今天一行為可能觸犯各項法令,這是 想像競合
你用鐵路法65二項? 那要對方用駭客程式,
要用這條,要抓到"駭客程式"啊......
沒有程式當作證物,你當法官會判這條定罪歐?? ^_^
檢察官看你警察沒有抄出駭客程式,
當然只能變更起訴法條,改用偽造文書來起訴
那從 冒用身分證號 這條,最快啊.....
法官看要件符合,被告又無法反證,就判了
鐵路法65一項,行政罰是 [賣黃牛票],不是罰 駭客程式.
→ ewings: 台鐵訂票需要同時傳送驗證碼的結果回去才會接受,要怎麼繞 01/24 11:13
→ ewings: 過?今天只是用電腦代替人工,還是一樣要判讀回傳驗證碼 01/24 11:13
→ ewings: 鐵路法65條是寫不正指令,沒提到程式,如果要狹義解釋是ha 01/24 11:15
→ ewings: ck,要廣義解釋就是回傳的指令要和台鐵JSP回傳的一樣 01/24 11:15
※ 編輯: maniaque (180.217.234.40), 01/24/2017 11:30:49
推 vi000246: 對 我的問題點在於法律上的惡意程式、不正指令 是否等同 01/24 11:27
→ vi000246: 於資訊業對hack的定義 因為爬蟲程式在資訊業不算是hack 01/24 11:27
→ vi000246: 但是如版友所講的 會有佔用頻寬是否是妨害電腦使用的問 01/24 11:28
→ vi000246: 題 01/24 11:28
→ ewings: 手動在網址列輸入就算違法?難怪大家那麼喜歡戰文組。 01/24 11:29
→ ewings: 如果使用非台鐵網頁訂票就違法,那今天升級win10用Edge上 01/24 11:29
[手動輸入 SQL Injection command ] ok ?
手動 不是 手營,不要看到 手 就很爽....
※ 編輯: maniaque (180.217.234.40), 01/24/2017 11:32:51
噓 ewings: 人家的程式照著台鐵JSP回傳的標準格式送回台鐵伺服器,算 01/24 11:35
→ ewings: 啥不正指令,算啥SQL injection? 01/24 11:35
推 vi000246: SQL injection是利用程式漏洞去非法取得資料庫資料 這很 01/24 11:38
→ vi000246: 明顯是駭客行為 而爬蟲是用GET或POST去傳送資料 沒跳過 01/24 11:38
→ vi000246: 訂票的任何流程 兩者不太一樣 01/24 11:38
→ ewings: 照那種非台鐵網頁JSP就算不正指令的鬼邏輯,就連瀏覽器的 01/24 11:38
→ ewings: 自動完成功能都違法了,它幫忙跳過輸入身分證字號的動作 01/24 11:38
那,原PO可以試啊,順道警察來敲門時,把程式雙手奉上
或許可以換個從輕量刑,
當然,從輕量刑要件,可是要 "認罪".
自己都不認為自己犯罪,從輕量刑 是不可能的
而ie or edge or firefox 的自動完成,
本質上還是 follow 訂票流程,[加快輸入]的[瀏覽器輔助功能],不會被視為不正
因為用的訂票程式(網頁就是程式的一種),還是官方提供的,ok ?
so, 要鑽 牛角尖,就鑽吧....問題發散,沒必要.
要是再自以為行為切割就不犯法,
那真的離看守所的日子不遠.
※ 編輯: maniaque (180.217.234.40), 01/24/2017 11:45:11
推 vi000246: 想問M大這篇文章的前提是建立在 手動傳送GET參數?id=xxx 01/24 11:45
→ vi000246: 等同於SQL injection身上嗎 01/24 11:45
林背不是你的免錢法律顧門口
SQL injection command 長怎樣,你不會比我不懂.
反正,稍微有概念的,不會看不懂.
看完還是沒概念的,也大概沒救了
佛渡有緣人,不要浪費大家時間.
※ 編輯: maniaque (180.217.234.40), 01/24/2017 11:48:38
推 vi000246: 從委員質詢的那篇文章 我知道法律對這塊比較模糊 避免惹 01/24 11:51
→ vi000246: 禍上身我也不想挑戰法律定義 只是想釐清一些疑惑而已 感 01/24 11:51
→ vi000246: 謝M大耐心的說明 01/24 11:51
噓 ewings: 來來來,google商店裏的啥台鐵訂票通,台鐵e訂通這些軟體 01/24 11:54
→ ewings: ,全部都跳過台鐵的JSP,直接送指令給伺服器,你快去檢舉 01/24 11:54
→ ewings: ,不用在那邊恐嚇別人檢察官可能會上門 01/24 11:54
要跳針,就繼續跳吧.
您這個噓,只是證明您
[根本沒好好看完這一篇]
因為,您這段 寫的東西
在下 早就回應過了 ,
往上看, ok ?
下限,不要這樣露,我對看男人露,沒興趣.
※ 編輯: maniaque (180.217.234.40), 01/24/2017 12:07:54
噓 ewings: 看啥?我只看到有人把訂票程式紮成稻草人,和資料庫攻擊硬 01/24 12:28
→ ewings: 要釘在一起,然後拿著這個稻草人講訂票程式不合法 01/24 12:28
噓 ewings: 如果訂票程式不合法,就快去檢舉google商店上的那些啊,檢 01/24 12:36
→ ewings: 察官有沒有起訴不就馬上知道了?幹嘛還要解釋爬蟲程式是合 01/24 12:36
→ ewings: 法的給文組聽呢? 01/24 12:36
→ a9301040: App軟體是透過特定api完成,根本不能拿來比較,但SQL in 01/24 12:37
→ a9301040: jection也跟vi問的問題無關…他的問題就只有以程式繞過 01/24 12:37
→ a9301040: 隨機驗證碼是否為「不正」、「干擾」就這麼簡單… 01/24 12:37
推 a9301040: 樓上少在那邊文組,那些透過特定api根本跟網頁無關,沒 01/24 12:40
→ a9301040: 寫過前後端程式真的不要出來說,文組 01/24 12:40
我已經懶得 K 人了....
我想,我講的文字詞彙,輸入的文字,應該是 國語 吧....
我好像記得,我有寫過,
那些上架的 APP,
在開發階段跟鍵接台鐵資料庫前,軟體公司有得到台鐵同意吧.
還是我老了??? 失智了?? 眼睛花了??
科科...
※ 編輯: maniaque (180.217.234.40), 01/24/2017 12:46:44
推 vi000246: 台鐵沒有訂票api app也不會連接台鐵資料庫 至於 01/24 12:49
→ vi000246: 有沒有取得台鐵同意我就不知道了 01/24 12:49
噓 ewings: 又在自己紮稻草人了,誰和你講訂票API需要直接連接資料庫 01/24 12:54
→ ewings: ? 就算是會造成伺服器當機的非法訂票程式,也是在client 01/24 12:54
→ ewings: 端模擬網頁瀏覽器的動作,接收-處理-回送,就這樣而已 01/24 12:54
→ vi000246: 即使不算駭客行為 也會因為送出過多request而觸法 01/24 12:57
→ ewings: 直接連結資料庫,就已經繞過前台了,這本來就是不正指令, 01/24 12:57
→ ewings: 但是訂票程式根本沒繞過前台,不然不會需要去做辨識驗證碼 01/24 12:57
→ ewings: 的動作。你自己紮稻草人紮得很開心喔 01/24 12:57
→ vi000246: 就跟M大和A大說的一樣 01/24 12:58
→ a9301040: APP接的是合法API,跟前端網頁無關QQ這個叫軟體板主出 01/24 13:03
→ a9301040: 來解釋好了,我最近忽然發現他有時候也在板上 01/24 13:04
→ a9301040: 另外,vi找到的連結重點就是我說的「干擾」「不正」 01/24 13:05
→ ewings: 其實台鐵沒提供API給外面用,現在那些程式都是去刷台鐵網 01/24 13:07
→ ewings: 頁版的時刻表與訂票 01/24 13:07
→ a9301040: 是一模一樣,跟SQL的漏洞無關,也跟APP無涉 01/24 13:07
推 vi000246: APP原理跟這新聞的一樣 那時沒圖片驗證碼 程式寫起來很 01/24 13:12
→ vi000246: 容易 差別是APP一次只會訂一張 新聞的程式則是重覆刷到 01/24 13:12
→ vi000246: 網站流量過載 01/24 13:12
→ a9301040: 沒有門的時候都有事,現在弄個門,你覺得會沒事?然後 01/24 13:23
→ a9301040: 把這種程式放在網路上一定會癱瘓台鐵,中學生就有的常 01/24 13:23
→ a9301040: 識。老話一句,你是要問合法性,但不代表架上沒有人違法 01/24 13:23
→ a9301040: ,看誰先被抓或不被抓 01/24 13:23
→ ewings: 刷到爆流量,那也不會看鐵路法,就連一般的鐵路時刻表app 01/24 13:24
→ ewings: ,都有機會觸犯,但是這不是訂票程式非法的理由。 01/24 13:24
→ a9301040: 隨便樓上說,樓上如果有法學實證意願可實作一次寄給我 01/24 13:26
→ a9301040: 相關證據,這個我可以處理 01/24 13:27
→ ewings: 你就去檢舉google商店上的訂票程式啊,他們都有收費版呢, 01/24 13:28
→ ewings: 用戶更多,對伺服器的負荷更重 01/24 13:28
→ ewings: 還有那些時刻表的你也能順便檢舉,現在唯一的官方即時時刻 01/24 13:31
→ ewings: 表API,也就是PTX,用的人太少,這樣會達不到KPI,快去檢 01/24 13:31
→ ewings: 舉那些app,逼他們去用PTX 01/24 13:31
→ ewings: 訂票軟體一樣是透過前台去訂票,走的是官方開的門,沒有啥 01/24 13:33
→ ewings: 走後門的問題 01/24 13:33
→ carthur: 補充一下,台鐵e訂通,是台鐵推出的app軟體… 01/24 14:52