流石に私設警察さんじゃないよね。どう控え目に考えても Orario の中の人でしょあなたは？

自分も Orario の件を目にした第一印象では、真っ当な企業が提供するサービスとしては越えてはいけない一線を完全に越えてるわって思ったけど、

また、ChromeやSafari（及びその他マイナーなWebブラウザ）なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか？

については、確かに Orario のサーバーじゃなくて、スマホにインストールしたアプリがスクレイピングしている限りにおいては、Chrome や Safari と同レベルじゃないの？って意見には一理あるかなって気はしたよ。
いい所突いてる。論破したいなら、この方向性しかない。

でもな、
そりゃ、ユーザー自身が行うスクレイピングは、正当な権利であるはずだし、あるべきと思うよ。
しかし、それがローカルのアプリとは言え、ブラックボックス化された(プロプラ)アプリだったり、ユーザーの手元を離れてどっかの企業のサーバー内で代行されてるとなると、それはちょっとセキュリティ的に筋が悪過ぎで論外なやり方であって、厳しく糾弾されて然るべきって事になるわけよ。
まぁ、だからと言って Orario が OSS 化して身の潔白を明かすとも思えないけど、透明性のない製品・サービスで第三者がアカウントを代理使用するような設計は、セキュリティ的に最悪なわけ。そういう設計を行う時点で、それを設計した会社のセキュリティ意識が致命的に腐り切っていることをこれ以上ないくらいに明確に示しているわけさ。
そんな企業に、IDとパスワード預けて、代理スクレイピングを許すような事態は、真っ当な感覚を持った管理者なら到底受け入れ兼ねるよね。
普通の感覚してたら近づいちゃいけない。みんなが渡ってるからって赤信号は渡っちゃ駄目なの。念のため言っておくと黄色も止まれだからな。道路交通法では切符切られるぞ。

仮に今出ている批判が的外れだったとしても、この件は極めて真摯かつ丁寧な説明が求められる事案じゃん。
それなのに、その説明すっ飛ばして、真っ先に当事者からの批判を叩きに走る辺りが、既にセキュリティ的なセンスが微塵も感じられない残念な人としか言いようがないわけ。
関係者乙って言う事すらはばかられるレベルで。

加えて、お時間を取らせてしまい申し訳ありませんとか、謝る気どころか余計に時間取らせる気満々じゃん。
このためだけに捨て垢取ってるしさ。
人間性疑うわ。

セキュリティ意識が腐ってるフレンズは頭^h人間性も腐ってるんだね。すごーい。たのしー。
念のため言っておくけど、これ、個人批判じゃないからな。
だって、お前、個人特定出来ねーじゃん。

この人が決定的に駄目なのは、
安岡先生ともなれば勤め先も分かっていて、
直接連絡付けようと思えばいくらでもつけられるのに、
捨て垢で安岡先生から連絡もつけられない状態で文句言っておきながら、
大学へのクレームしますとか、しゃぁしゃぁと言ってのける所。

安岡先生は直接なら話すよと言われているのにね。
本当、悪質。
中の人なら、まぁ、どの面下げて話聞くんかって話だけどさ。

一方で、私設警察なら
一見 Orario の肩持っているようで、
Orario の中の人臭をぷんぷん臭わせて、Orario の評判を地に落しにかかってる辺り本当悪質。
悪意が正義の仮面を付けてる感じ。

でもまあ「営業妨害」っていう本音がチラっと見えたので、今日の私の日記 [srad.jp]で掘り下げてみました。2017年5月30日施行の「個人情報の保護に関する法律」「独立行政法人等の保有する個人情報の保護に関する法律」を知らないと、かなりわかりにくい内容なのですが、よければどうぞ。

一点だけよろしいでしょうか。

これはどうなんでしょう？
たとえば、アメリカの一部のオンラインバンキングでは、
銀行間のアカウントをリンクする機能があります。
これにより残高の参照や振込ができます。
たとえば、Bank of Americaのオンラインバンキングシステムで、
リンクしたい銀行、たとえばCitibank NAのアカウントのログイン情報を入力します。

たぶん、「信用度」がこの場合重要なんであって、
技術の筋の善し悪しは消費者的には関係ないのではないでしょうか。
(もちろん、一時トークンをOAuth的な方法で取得してリンクするのが良いのはわかります)
悪いことはしない、というのを技術的にはできなくても、
社会的に担保したり、資本的に担保できれば良い、という一例です。

とはいえ、今回のOrarioにそれができるとは思いませんが。

おっしゃる通りです。
オンラインバンキングの事例は存じませんでしたが、
言い方は悪いですが、身の程をわきまえろって事になるかと思います。

Microsoft や Intel、RootCA 等まで含めて考えれば、
セキュリティは結局のところ程度問題に終始ぜざるを得ません。
需要可能リスクレベルをどこに取るかとういう話になるかと思います。

社会的信用が確立出来てない以上、
エビデンスを示す以外ありませんし、
社会的信用が確立出来ていたとしても
エビデンスは示すべきです。

カルマのせいでコメントできなければ日記にすればいいと思います

私も技術的側面気になってますし

長ぁ。
とりあえず、質問の大半については、既出なので以下を参照
https://srad.jp/~uxi [srad.jp]
https://srad.jp/~uxi/comments [srad.jp]

一言で言えば、セキュリティは程度問題でしかないって事。
公式ページで自己開示もゼロに等しく、
資本金2千万ちょいで、従業員8名(バイトを含む)のスタートアップ取るべき手段じゃない。
オンラインバンキングについては、寡聞にして存じませんでしたの一言に尽きるが、
#3197193 [srad.jp]によると、
「セキュリティカードの乱数表を登録しろ」とかふざけたことぬかしてるらしくて、
それ自体は、馬鹿か!?って思うし、知ってれば止めとけって言うけど、
そこまで露骨に危険性が分かる状況だと、
リスクを承知した上で利便性をしてるわけだから被害に遭っても自己責任と思うね。
でも、被リンク先の銀行関係者なら、てめーふざけるな止めろって言うだろ？普通は。
それは安岡先生と同じ。
もしそうなってないなら、事前の根回しとかあったんだろう。ビジネスってそういう物。

正直、切羽詰まった状況の現実逃避で書くには面倒過ぎるので、
暇が出来たら真面目に返信してもいいけど、
以上を読んでなお疑問点があるなら、
上記の質問を改めて短くまとめてくれ。
その方が助かる。

nnnhhhさん、ご返信ありがとうございます。

なるほど・・・スラドのことをあまり知らず申し訳ありません。
教えて下さりありがとうございます。

繰り返しになるが程度問題に過ぎないが、
仕組みの透明性、説明責任、社会的信用について
程度を満たす水準に達してない。
あと根回しもないと言う点で、ビジネスとしてやるには失格。

(1) は開発者が目で見て解析しないと不可能。
少なくとも1人以上のユーザーについては、
取得し得るすべての個人情報を開発者が目にすることになる。
その1人のユーザーをどう確保しているかが不明。
サービス側の変更時における安定性にに関しての筋の悪さは
kurema 氏が#3196949 [srad.jp]で言及している。

(2) は最悪としか言いようがない。
ブラウザのパスワードキャッシュもあるけど、
あれも、信用するなという人はいるけど、
最近メーラーにもパスワードを記憶させるなって大学の先生がいて驚いたわ。
Google 先生の見解は過去にsrad でも話題にされた。
Google、Chromeでパスワードを平文で確認できることに対し「アカウントにアクセスされた時点で負け」と主張 [security.srad.jp]
FFFTP の乗っ取りの件とか、その後各種ソフトにマスターパスワードが導入された件とか、
覚えている人は覚えているだろうけど、
まぁ、それが必要になった時って、確かに既に手遅れな状態だと思うね。

◎三つ目については
やっぱり程度問題。

メーラーは少なくともメーカーのサーバーと情報を連携する前提じゃない。
この点が決定的に違う。
変な通信あればパケットキャプチャして検証も容易。
個々のメーラーの選択については、自己責任としか。

でも、セキュリティホール塞がないようなソフトだと、
名指しでこのメーラーは使用禁止って言われるはず。

Gmail は、メールサーバーなので、
そこにあるメールはサーバ管理者からは見えるって前提だし、
そもそも、平文なので通信経路で読まれるのは周知の事実。
電子メールとはそういうサービス。
それは皆分かって使っている前提。
あとは運営の社会的信用の問題。
問題があれば、S/MIMEなりPGPなり暗号化メール使いましょう。

MoneyLook／MoneyForward については既に述べた。

GoogleSmartLock／Lastpass／ロボフォーム は寡聞にして～以下略
パスワードマネージャーについては、
昨今の状況から言えば、利用すべきだが、
個々のソフトでどれを選ぶべきかは慎重を要する。
個人的には大手セキュリティベンダーか、
OSS (可能な限り自前ビルド)を推奨するけど、
Ken Thompson のバックドアの逸話もあるので 100% の安全はない。
パスワードマネージャーを信用し切れない場合、
最初か最後の数文字は手入力にするとか
パスワードの前半の後半2つのパスワードマネージャーに分割して保存って方法もある。
2要素認証はするべき。
パスワードレス認証については、ケースバイケースだけど、ロックなしよりはマシ。
程度問題としか～以下略

非難されてるよね？知らないの？
自分はしてないけど。

スマホも使うよ。気持ち悪いけど。
それは残留リスク。
でも Google, Microsoft, Intel, Root CA に evil されるともう全世界的にお手上げ。
彼らはそういうポジション。
それは皆十分に分かってるはず。
あとは程度問題だと～以下略
資本金～中略～のスタートアップを同列に扱えと言われるなら、思い上がるな！と一喝するしかない。
社会的な責任の重さが違い過ぎる。

でもとりあえず、黄色は一旦停止してよく考えるべき。
自戒の念も込めて。

残念ながら、既に時代が変わったとしか言いようがない。
ただし、黎明期は、許される土壌があったのではない。
まだ緩かったのだ。悪いことする奴も、本気で悪いことはしてなかった。
そんな危険性考えなくても、大した事されなかったし、されても大したことなかった。
全てが牧歌的だったのだ。失われた楽園。
バックドアを操る Ken Thompson は間違いなく窮地に降臨した神だったはずだ。
あれを今やったら社会的に抹殺されるだろうけど。

楠先生は楠先生に申し訳ないんだけど、Who is he? なのでポインタよろしく。

試してないでしょ？
それはあなたの一方的で勝手な思い込み。
あなたは、それを試す事すらせずに、
一方的に大学にクレームを入れると恫喝したんじゃなかったっけ？

先生はちゃんと連絡先も公開されてるので、
調べればいくらでも連絡して話を聞く方法はあったはずだけど、
つまりあなたはそれをしたくなかったんだよね？
あなたはその結果を公表したいと言ってたのにね。
連絡したら、やっぱり教えてもらえなかったって公表出来たはずじゃね？

まぁ、これは自分がどうこう言うことじゃないし、
弁明するなら自分じゃなくて安岡先生にしてねって思うけど、
言ってることとやってることがちぐはぐ過ぎて
本当に意味が分からないよ。

あらら、全部答えちゃったよ orz

いや、本当、安岡先生への捨て台詞が全てを物語っていたのに、
律儀に返してやった俺が馬鹿だったよ。知ってるなら聞くな。

アンチまで付けて質問したくせに、
人が律儀に答えてやったらやったで、
しっかりディスり返してくるとか本当に屑だな恫喝君は。

そもそもお前は一体何を語ったんだ？せめて1つくらいはプラスモデ残せ。
くれくれ君かよ。本当に害悪だな。
そのただ乗り体質。君のひととなりを本当によく表している。

あと、口汚く罵った俺はともかく、安岡先生までディスってんじゃねぇ。
取材を申し入れとか、どの口で言ってる？
どの面下げて、安岡先生に取材すんの？とことん笑わせてくれるね君は。
正常な神経じゃないよね？ず太過ぎてドン引くわ。
君の正体には興味があるけど、自分が安岡先生なら絶対に会いたくない。
サイコパス怖い。

とか、エビデンスの1つも示せねぇのに馬鹿じゃね？
てか、何なの、その言葉の端々から滲み出る Orario 臭は？臭過ぎるんですけど？
へー、あなたは Orario 関係者じゃないんだねー(白目)
Orario は本当にこいつと無関係なら、こいつを名誉毀損で訴えるべきだろ。

しかしまぁ、筋なんか通してる暇なんてありません(意訳)とか、よく言えたよ。褒めてやる。
最低限の(ビジネス)マナーすら理解できないんだね。まぁ屑だし仕方ないか。
”信用のない弱小企業だから叩かれる”とかどこのお花畑だよ。被害妄想乙。
人のノート売り買いしたりとか、人のシステム好き勝手突いたりとか、そういうのはフリーライダーの鏡だよ。
あーでも、悪いと思ってないんだよね。言ってる意味が伝わらないか。ごめんごめん。

誰もそんな事は言ってない。自分の都合のいいように拡大解釈すんな。
自分はそんなことは言ってないから、お前にそんな曲解をされるのは極めて不本意だ。
それだけははっきりさせておく。
しかし、お前にこれ以上入れ知恵する気はないのであえて説明はしない。

楠先生・・・あぁ、、、マイナンバーでご高名なあのお方でしたか。
失礼致しました。
Twitter は常々拝見させてもらっておりますm(_ _)m。←これ楠先生に対してだからな!!!恫喝!お前にじゃないぞ!!!

最後に、安岡先生へ。
こんな屑を、けしかけるつもりは毛頭なったのですが、
こんな結果になってしまい大変申し訳ないことをしてしまいました。
心からお詫び申し上げます。

要は
”信用のない弱小企業だから叩かれる”
ということですよね。

これだと一般論みたいですが

「信用がないと扱えない商材を扱ってる」
「しかもそれを自覚してない」
のが問題かと

適切な例ではないけど
学祭で模擬店（手続きは実行本部任せ）がウケたから飲食店やります、食品衛生法も保健所も知らんけど客がウマイってるからいいだろ、みたいな

このは法律で決まってるからというのもあるけど、「第三者（保健所）が安全性をチェックしたという信用」を得るための手続きとも言える。

ここで弱小企業とかは（要素の一つではあるが）関係ない

uxiさんのコメント
https://srad.jp/comment/3197297 [srad.jp]

大学当局、特に情報系の統括部署にお伺いを立てて、相互に調整しながらやるのが筋ってもんだろう。
ビジネスは、筋通さないとね。そりゃトラブる。
まぁ、それをやっても印象を悪くしている最大の原因である仕組みが悪さは帳消しにはならないけど、
大学側に手出しがないなら、生温かいアドバイスくらいはもらえたはず。
学認とかね。

にあるようなしかるべき手順で「（自分がいる/いた）大学当局に信用されたという信用」から広げてくとか、
セキュリティ的に安全であること（会社サーバへは受信のみで送信していないこと）を自己説明でなく第三者機関に証明してもらうとか
信用を得る手はあるのに。

（ちなみに俺はこれにこうコメントした）
https://srad.jp/comment/3197992 [srad.jp]

なんだかんだ言って優しいな
妙に具体的で、このアドバイス通り仕切り直せばまだリカバリが効くのではなかろうか
まだできたての会社みたいだし、今ならまだ、学生がヤンチャしてましたが真面目になりました、で許してもらえるかも

どうしても以下の1点だけは引っかかってしまった。

Mnoney Forward 名指ししてるんだけど、
これって事実だろうか？

まぁ仮に事実だったとしても、
Orario のように、学部卒業し立ての世間知らずなメンバーが
顔すら出さずにスタートアップやってるのとは雲泥の差と言うか、
2012年5月設立 [wikipedia.org]、
2012年12月15日オープンβリリース [moneyforward.com]、
2013年7月16日β→正式版 [moneyforward.com]、
って状況で、少なくとも2012年12月18日時点の状況 [archive.org]を見る限り、
金融畑でキャリアのあるメンバーが経歴と顔を晒してやっていて、
これで事前の根回しすらないってのは常識的に考えて普通は有り得ないんだけど？

しかも、検索した範囲では対応金融機関からは概ね好意的に受け止められている雰囲気であり、
対応金融機関等と特にこれと言っていざこざを起こした形跡も見つからない感じである。
更に、2014年12月19日の第三者割当増資発表 [moneyforward.com]では、
金融機関をはじめとして名だたる企業が名を連ねるに至っている。

まぁ、この分野、銀行側でも意識が低くて酷いところがあるとは聞いてはいるが、
それでも、銀行側が嫌がることは少なくとも避けてんじゃね？って感じ。
例えば、元々公式に銀行側から提供されてる API 使うとかね。
そもそもそういうのは想定された使い方であって「無許可で対応」って言わない。

これ、事実無根なら Money Forward がこいつに対して
それこそ然るべき措置をせざるを得ない事案のようにも思えるのだが、
ソース示せるんだろうか？こいつ。