สรุป
- ตามกฎหมายเสรีภาพด้านข้อมูลข่าวสาร (FOIA) ของรัฐอิลลินอยส์ ข้อมูลส่วนใหญ่ที่หน่วยงานรัฐครอบครองต้องเปิดเผยต่อสาธารณะ แต่เมืองชิคาโกปฏิเสธคำขอ FOIA โดยให้เหตุผลว่า schema ของฐานข้อมูลอาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย ข้อมูลเชิงข่าวเชิงข้อมูล Matt Chapman จึงยื่นฟ้อง และด้วยคำให้การของผู้เชี่ยวชาญก็พิสูจน์ได้ว่า schema ไม่ใช่ภัยคุกคามด้านความปลอดภัย ทำให้ชนะทั้งในศาลชั้นต้นและศาลอุทธรณ์ แต่สุดท้ายแพ้คดีในศาลสูงสุดของรัฐอิลลินอยส์
- ศาลสูงสุดตีความว่า schema ของฐานข้อมูลเข้าข่ายเป็น "file layout" จึงไม่อยู่ในขอบเขตที่ต้องเปิดเผย ส่งผลให้หน่วยงานรัฐมีช่องทางปฏิเสธการเปิดเผยข้อมูลโดยอ้างโครงสร้างฐานข้อมูลได้ อย่างไรก็ตาม มีการเสนอร่างกฎหมาย (SB0226) เพื่อแก้ปัญหานี้ โดยมีเนื้อหาให้หน่วยงานรัฐอธิบายโครงสร้างฐานข้อมูลเพื่อให้ผู้ขอข้อมูลสามารถระบุคำขอ query เฉพาะเจาะจงได้
- ร่างกฎหมายนี้เป็นมาตรการสำคัญในการเสริมสร้างความโปร่งใสด้านข้อมูล และมีความจำเป็นที่จะต้องติดต่อสมาชิกสภาท้องถิ่นเพื่อผลักดันให้ร่างกฎหมายผ่าน
ภูมิหลัง
- กฎหมาย FOIA ของรัฐอิลลินอยส์มีความเข้มแข็ง และในกรณีส่วนใหญ่ ข้อมูลที่หน่วยงานรัฐเก็บรวบรวมถือเป็นทรัพย์สินสาธารณะ
- การยื่นคำขอข้อมูลสามารถทำได้ง่าย ๆ ผ่านอีเมล และตามกฎหมายต้องได้รับการตอบกลับภายใน 5 วัน
- ข้อจำกัดสำคัญของ FOIA คือไม่สามารถบังคับให้สร้างบันทึกหรือข้อมูลใหม่ขึ้นมาได้
- schema ของฐานข้อมูลเป็นสิ่งที่ใช้อธิบายโครงสร้างของฐานข้อมูล และยิ่งทวีความสำคัญมากขึ้นเมื่อข้อมูลของหน่วยงานรัฐถูกจัดเก็บในฐานข้อมูลมากขึ้นเรื่อย ๆ
Matt Chapman vs. เมืองชิคาโก
- Matt Chapman เป็นผู้เชี่ยวชาญด้าน data journalism ที่ทำงานผ่านคำขอ FOIA ขนาดใหญ่
- ระบบ CANVAS ของชิคาโกเป็นฐานข้อมูลขนาดใหญ่ที่ใช้จัดการข้อมูลใบสั่งจอดรถแบบรวมศูนย์ Matt ขอ schema ของฐานข้อมูลนี้แต่ถูกปฏิเสธ
- เมืองชิคาโกปฏิเสธโดยอ้างว่าการเปิดเผยข้อมูลอาจคุกคามความปลอดภัยของระบบ และ Matt จึงยื่นฟ้อง
วันที่ฉันขึ้นให้การบนแท่นพยาน
- มีข้อถกเถียงกันว่าการเปิดเผย schema ของฐานข้อมูลจะเป็นภัยต่อความปลอดภัยหรือไม่
- SQL injection เป็นวิธีโจมตีฐานข้อมูลที่สำคัญวิธีหนึ่ง จึงมีการอภิปรายกันว่า schema ของฐานข้อมูลสามารถถูกใช้ในการโจมตีได้หรือไม่
- ฉันให้การโดยเน้นว่า การโจมตีแบบ SQL injection ไม่ได้อาศัย schema ของฐานข้อมูลในการดำเนินการ
ร่องรอยนองเลือดของกฎหมาย
- ชนะในศาลชั้นต้น แต่เมืองชิคาโกยื่นอุทธรณ์ทันที
- ศาลอุทธรณ์เน้นว่าการเปิดเผยข้อมูลจะต้องมีความเป็นไปได้สูงมากที่จะคุกคามความปลอดภัย
- ในที่สุด ศาลสูงสุดของรัฐอิลลินอยส์ตัดสินว่า schema ของฐานข้อมูลสามารถถือเป็น file layout ได้
สถานการณ์ปัจจุบัน
- หน่วยงานรัฐในรัฐอิลลินอยส์มีอำนาจปฏิเสธการเปิดเผย schema ของฐานข้อมูลได้
- ฐานข้อมูลไม่ควรกลายเป็นเครื่องมือสำหรับการปกปิดข้อมูล และร่างกฎหมายใหม่ SB0226 อาจช่วยแก้ปัญหานี้ได้
- ร่างกฎหมายนี้ระบุว่าต้องอธิบายโครงสร้างฐานข้อมูลอย่างเพียงพอ เพื่อให้ผู้ยื่นคำขอสามารถขอ query ที่เฉพาะเจาะจงได้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
สวัสดี ฉันเป็นโจทก์ในคดีนี้ กำลังเตรียมโพสต์คู่กันเพื่อตอบโพสต์ของ tptacek อยู่ ระหว่างนี้ถ้ามีคำถามก็ถามได้เสมอ
ตัวอย่างที่ว่า "ค้นหาข้อมูลใบสั่งจอดรถทั้งหมดของ Bob O และค้นหาข้อมูลที่เหลือทั้งหมดในฐานข้อมูลด้วย" เป็นตัวอย่างของ SQL Injection ในที่นี้ "everyone's" กลายเป็นปัญหาเพราะมีเครื่องหมายอัญประกาศเดี่ยวที่แยกเดี่ยวอยู่
ผมเชื่อว่าเมืองควรแชร์สคีมา แต่ไม่เห็นด้วยกับประเด็นในบทความที่บอกว่าการรู้ SQL schema ไม่ได้ช่วยผู้โจมตี
Kurt โพสต์บทความนี้เพื่อแซวผม กลุ่มผู้อ่านของผมส่วนใหญ่เป็นคนที่ไม่ใช่สายเทคนิคแต่เกี่ยวข้องกับการเมืองท้องถิ่นในชิคาโก
ไม่แปลกเหรอที่ศาลสูงสุดกับศาลอุทธรณ์มีความเห็นต่างกันเรื่องปัญหาทางไวยากรณ์?
มีแค่ผมหรือเปล่าที่รู้สึกงุนงงหรือกังวลเล็กน้อยเกี่ยวกับข้อยกเว้นเรื่องซอร์สโค้ด?
น่าอ่านมาก
จากคำตัดสินของศาลสูงสุดอิลลินอยส์ ดูเหมือนว่าเราจะมีโอกาสได้พูดว่า "ทุกอย่างคือไฟล์"
ผมเคยยื่นคำขอ FOIA เอกสารมากกว่า 1 ล้านหน้าเพื่อโครงการ cleartap.com รัฐส่วนใหญ่มักเก็บค่ารวบรวมเอกสารเพียงเล็กน้อย
ถ้าประชาชนไม่สามารถรู้ได้ว่ารัฐบาลมีข้อมูลอะไรอยู่ ก็ย่อมไม่มีเสรีภาพด้านข้อมูล