パスワードを忘れた? アカウント作成
この議論は、yasuoka (21275)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。

「Orarioガラミで取得した単位は取り消す場合がある」」記事へのコメント

  • 安岡先生、はじめまして。

    最近はこの手のスクレイピングサービスが流行ってますね。

    冒頭で「Orarioによる不正アクセス」と書かれていますが、
    なにを根拠に不正アクセスと仰っているか興味があります。

    OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。

    また、別の方も質問をされていますが、このアクセスパターンが気になります。
    上記で「不正」とされている根拠にもよるとは思いますが、
    少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。

    私もこの手のWebスクレイピングの動向に興味がありますので、
    専門家の方のご意見を聞きたいです。

    以上、宜しくお願いいたします。

    • 根拠となるのは、もちろん京都大学のセキュリティポリシー [kyoto-u.ac.jp]です。そこそこ量があるので、しっかり読んでみて下さい。

      少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。

      サーバーログを読むのは、解析手法の一部に過ぎません。

      • 安岡先生、ご返信ありがとうございます。

        これはすごい量ですね・・・。
        Orarioが「不正である」「嘘をついている」とまで書かれてますので、
        せめて1つ違反しているポイントを教えて頂けませんか?

        また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?

        サーバーログを読むのは、解析手法の一部に過ぎません。

        とありますが、書かれている文章の流れでは、これを根拠に「嘘をついている」と書いているようにしか受け取ることができません。仮にこれ以外にあったとしても重要な根拠のひとつであると見えます。
        「嘘をついている」とまで書かれているわけですから、簡単でも構いませんのでその根拠をお示し頂ければと思います。

        • あのですね、annonynrmさん。私(安岡孝一)は今朝、BlackWingCatさんに対して

          どうしても知りたいなら、また、どこかでお会いした時にでも。

          と申し上げたところなんですよ。annonynrmさんとBlackWingCatさんが同一人物かどうかは、現時点の私には不明ですけど、少なくともこのコメント欄では同じ返事をするしかありません。どうしても知りたいなら、また、どこかでお会いした時にでも。

          • 安岡先生、ご返信ありがとうございます。

            BlackWingCatさんへのコメントは拝見しました。ただ、私は「まとめてくれ」とまでは申し上げておりません。

            あくまでも不特定多数の方が目にするインターネット上で、且つ社会的地位があり発言力のある方が本名で「不正である」「嘘である」とコメントされているわけですから、その根拠を不特定多数の方が閲覧できる場所で示す必要があると思うのです。

            それができないという事であれば、単にOrarioに対する営業妨害としてしか受け取ることができません。
            よって、元記事の発言を撤回するコメントを書いて頂くか、もしくは「またどこかで」ではなく、お忙しいとは思いますが具体的にお会いするスケジュールを決めてお話しを聞きたいと思います。

            以上、宜しくお願いいたします。
            • 元記事の発言を撤回するコメントを書いて頂くか

              なぜ、私(安岡孝一)が撤回しなければならないのか、この文脈ではサッパリ理解できません。どういう意味ですか?

              • Re: (スコア:-1, フレームのもと)

                安岡先生、ご返信ありがとうございます。

                少々わかり難かったかもしれませんが、
                https://srad.jp/~yasuoka/journal/611343 [srad.jp]

                のことを「元記事」と申し上げたつもりでした。
                この元記事においてセキュリティの専門家である安岡先生が、Orarioのことを「不正である」「嘘をついている」と書かれており、Orarioは根拠なき中傷により営業的損害を受ける可能性があります。

                よって、
                1.相応の根拠を不特定多数が閲覧できる場所に書く
                2.元記事を撤回する
                3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)

                どれも選択できないということでしたら、然るべき対処を行わせていただきます。
              • いや、それでもやっぱり理解できないのですが。

                単にOrarioに対する営業妨害としてしか受け取ることができません。

                仮に、本件がOrarioに対する営業妨害だと無理矢理に仮定したとしても、どうしてそれがannonynrmさんに

                3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)

                会うという話につながるのか、私(安岡孝一)には理解できないんですよ。どういう意味ですか?

              • Re: (スコア:-1, フレームのもと)

                安岡先生、ご返信ありがとうございます。

                面白いご返信ですね・・・。
                https://srad.jp/~yasuoka/journal/611343 [srad.jp]

                どうしても知りたいなら、また、どこかでお会いした時にでも。

                と安岡先生ご自身が書かれています。
                ここまで話に一貫性のない方が教授をやってらっしゃるとは思えませんので意図的にはぐらかしていると理解せざるを得ないのですが・・・。

              • ああ、そこの論理性は、やっぱり私(安岡孝一)には、わからないままなのですね。では、先ほども書いた通り、どうしても知りたいなら、また、どこかでお会いした時にでも。

              • Re: (スコア:-1, フレームのもと)

                安岡先生、ご返信ありがとうございます。

                承知しました。それでは、大学へのクレームを含め然るべき対応を取らせて頂きます。
                ご多用中にも関わらず、お時間を取らせてしまい申し訳ありませんでした。
              • Re: (スコア:4, すばらしい洞察)

                流石に私設警察さんじゃないよね。どう控え目に考えても Orario の中の人でしょあなたは?

                自分も Orario の件を目にした第一印象では、真っ当な企業が提供するサービスとしては越えてはいけない一線を完全に越えてるわって思ったけど、

                また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?

                については、確かに Orario のサーバーじゃなくて、スマホにインストールしたアプリがスクレイピングしている限

                --
                uxi
              • uxiさん、ご返信ありがとうございます!別アカウントですがannonynrmです。

                スラドにはカルマというシステムがあるのですね。私のコメントがフレームの元や荒しと認定されてしまっていることで追加コメントがなかなかできない状況にあり、やむなく別アドレスでそれこそ捨て垢・・・を取得してしまいました。ご返信が遅くなり申し訳ありませんでした。
                そしてこのコメントもまたフレームや荒しの元とされる可能性が高そうなので、次そのような状況になったらご返信を諦めます。

                いくつかありますので順番にコメントを書かせて頂きます。


                ◎一つ目

                確かにOrarioの中の人
              • 長ぁ。
                とりあえず、質問の大半については、既出なので以下を参照
                https://srad.jp/~uxi [srad.jp]
                https://srad.jp/~uxi/comments [srad.jp]

                一言で言えば、セキュリティは程度問題でしかないって事。
                公式ページで自己開示もゼロに等しく、
                資本金2千万ちょいで、従業員8名(バイトを含む)のスタートアップ取るべき手段じゃない。
                オンラインバンキングについては、寡聞にして存じませんでしたの一言に尽きるが、
                #3197193 [srad.jp]によると、
                「セキュリティカードの乱数表を登録しろ」とかふざけたことぬかしてるらしくて、
                それ自体は、馬鹿か!?って思うし、知ってれば止めとけって言うけど、
                そこまで露骨に危険性が分かる状況だと、
                リスクを承知した上で利便性をしてるわけだから被害に遭っても自己責任と思うね。
                でも、被リンク先の銀行関係者なら、てめーふざけるな止めろって言うだろ?普通は。
                それは安岡先生と同じ。
                もしそうなってないなら、事前の根回しとかあったんだろう。ビジネスってそういう物。

                正直、切羽詰まった状況の現実逃避で書くには面倒過ぎるので、
                暇が出来たら真面目に返信してもいいけど、
                以上を読んでなお疑問点があるなら、
                上記の質問を改めて短くまとめてくれ。
                その方が助かる。

                --
                uxi
                親コメント

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

処理中...