パスワードを忘れた? アカウント作成
この議論は、yasuoka (21275)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。

「Orarioガラミで取得した単位は取り消す場合がある」」記事へのコメント

  • 安岡先生、はじめまして。

    最近はこの手のスクレイピングサービスが流行ってますね。

    冒頭で「Orarioによる不正アクセス」と書かれていますが、
    なにを根拠に不正アクセスと仰っているか興味があります。

    OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。

    また、別の方も質問をされていますが、このアクセスパターンが気になります。
    上記で「不正」とされている根拠にもよるとは思いますが、
    少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。

    私もこの手のWebスクレイピングの動向に興味がありますので、
    専門家の方のご意見を聞きたいです。

    以上、宜しくお願いいたします。

    • 根拠となるのは、もちろん京都大学のセキュリティポリシー [kyoto-u.ac.jp]です。そこそこ量があるので、しっかり読んでみて下さい。

      少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。

      サーバーログを読むのは、解析手法の一部に過ぎません。

      • 安岡先生、ご返信ありがとうございます。

        これはすごい量ですね・・・。
        Orarioが「不正である」「嘘をついている」とまで書かれてますので、
        せめて1つ違反しているポイントを教えて頂けませんか?

        また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?

        サーバーログを読むのは、解析手法の一部に過ぎません。

        とありますが、書かれている文章の流れでは、これを根拠に「嘘をついている」と書いているようにしか受け取ることができません。仮にこれ以外にあったとしても重要な根拠のひとつであると見えます。
        「嘘をついている」とまで書かれているわけですから、簡単でも構いませんのでその根拠をお示し頂ければと思います。

        • あのですね、annonynrmさん。私(安岡孝一)は今朝、BlackWingCatさんに対して

          どうしても知りたいなら、また、どこかでお会いした時にでも。

          と申し上げたところなんですよ。annonynrmさんとBlackWingCatさんが同一人物かどうかは、現時点の私には不明ですけど、少なくともこのコメント欄では同じ返事をするしかありません。どうしても知りたいなら、また、どこかでお会いした時にでも。

          • 安岡先生、ご返信ありがとうございます。

            BlackWingCatさんへのコメントは拝見しました。ただ、私は「まとめてくれ」とまでは申し上げておりません。

            あくまでも不特定多数の方が目にするインターネット上で、且つ社会的地位があり発言力のある方が本名で「不正である」「嘘である」とコメントされているわけですから、その根拠を不特定多数の方が閲覧できる場所で示す必要があると思うのです。

            それができないという事であれば、単にOrarioに対する営業妨害としてしか受け取ることができません。
            よって、元記事の発言を撤回するコメントを書いて頂くか、もしくは「またどこかで」ではなく、お忙しいとは思いますが具体的にお会いするスケジュールを決めてお話しを聞きたいと思います。

            以上、宜しくお願いいたします。
            • 元記事の発言を撤回するコメントを書いて頂くか

              なぜ、私(安岡孝一)が撤回しなければならないのか、この文脈ではサッパリ理解できません。どういう意味ですか?

              • Re: (スコア:-1, フレームのもと)

                安岡先生、ご返信ありがとうございます。

                少々わかり難かったかもしれませんが、
                https://srad.jp/~yasuoka/journal/611343 [srad.jp]

                のことを「元記事」と申し上げたつもりでした。
                この元記事においてセキュリティの専門家である安岡先生が、Orarioのことを「不正である」「嘘をついている」と書かれており、Orarioは根拠なき中傷により営業的損害を受ける可能性があります。

                よって、
                1.相応の根拠を不特定多数が閲覧できる場所に書く
                2.元記事を撤回する
                3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)

                どれも選択できないということでしたら、然るべき対処を行わせていただきます。
              • いや、それでもやっぱり理解できないのですが。

                単にOrarioに対する営業妨害としてしか受け取ることができません。

                仮に、本件がOrarioに対する営業妨害だと無理矢理に仮定したとしても、どうしてそれがannonynrmさんに

                3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)

                会うという話につながるのか、私(安岡孝一)には理解できないんですよ。どういう意味ですか?

              • Re: (スコア:-1, フレームのもと)

                安岡先生、ご返信ありがとうございます。

                面白いご返信ですね・・・。
                https://srad.jp/~yasuoka/journal/611343 [srad.jp]

                どうしても知りたいなら、また、どこかでお会いした時にでも。

                と安岡先生ご自身が書かれています。
                ここまで話に一貫性のない方が教授をやってらっしゃるとは思えませんので意図的にはぐらかしていると理解せざるを得ないのですが・・・。

              • ああ、そこの論理性は、やっぱり私(安岡孝一)には、わからないままなのですね。では、先ほども書いた通り、どうしても知りたいなら、また、どこかでお会いした時にでも。

              • Re: (スコア:-1, フレームのもと)

                安岡先生、ご返信ありがとうございます。

                承知しました。それでは、大学へのクレームを含め然るべき対応を取らせて頂きます。
                ご多用中にも関わらず、お時間を取らせてしまい申し訳ありませんでした。
              • Re: (スコア:4, すばらしい洞察)

                流石に私設警察さんじゃないよね。どう控え目に考えても Orario の中の人でしょあなたは?

                自分も Orario の件を目にした第一印象では、真っ当な企業が提供するサービスとしては越えてはいけない一線を完全に越えてるわって思ったけど、

                また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?

                については、確かに Orario のサーバーじゃなくて、スマホにインストールしたアプリがスクレイピングしている限

                --
                uxi
              • uxiさん、ご返信ありがとうございます!別アカウントですがannonynrmです。

                スラドにはカルマというシステムがあるのですね。私のコメントがフレームの元や荒しと認定されてしまっていることで追加コメントがなかなかできない状況にあり、やむなく別アドレスでそれこそ捨て垢・・・を取得してしまいました。ご返信が遅くなり申し訳ありませんでした。
                そしてこのコメントもまたフレームや荒しの元とされる可能性が高そうなので、次そのような状況になったらご返信を諦めます。

                いくつかありますので順番にコメントを書かせて頂きます。


                ◎一つ目

                確かにOrarioの中の人
              • ◎二つ目
                お伺いしたいのですが、結局の所
                 (1)代理スクレイピングが悪いのでしょうか?
                それとも
                 (2)ID/パスワードを第三者が預かる前提のサービスが悪いのでしょうか?
                それとも
                 (3)上記1&2なのが悪いのでしょうか?
                論点がわかりません。

                繰り返しになるが程度問題に過ぎないが、
                仕組みの透明性、説明責任、社会的信用について
                程度を満たす水準に達してない。
                あと根回しもないと言う点で、ビジネスとしてやるには失格。

                (1) は開発者が目で見て解析しないと不可能。
                少なくとも1人以上のユーザーについては、
                取得し得るすべての個人情報を開発者が目にすることになる。
                その1人のユーザーをどう確保しているかが不明。
                サービス側の変更時における安定性にに関しての筋の悪さは
                kurema 氏が#3196949 [srad.jp]で言及している。

                (2) は最悪としか言いようがない。
                ブラウザのパスワード

                --
                uxi
              • uxiさん、コメントありがとうございます!

                >公式ページで自己開示もゼロに等しく、資本金2千万ちょいで、
                >従業員8名(バイトを含む)のスタートアップ取るべき手段じゃない。
                これは逆です。
                スタートアップだからこそこういう手を取るしかなく、
                スタートアップだからこそスクレイピングが抱えているリスクが取れる
                です。
                 ・大手(情報取得したい相手)から相手にされないことが多い
                 ・少ない資金で、真っ当なやり方ではなし得ない付加価値を提供できる可能性がある
                 ・情報取得先のサイトからアクセス禁止を食らったり、サイト変更があったときに
                  対応するまで一時的にサービス停止を余儀なくされるリスクや、
                  仮に情報取得したい相手から許諾を得ていても責任分解点の定めが難しいこと
                  などが大手の会社では社内承認を得にくい
                などが理由です。

                >もしそうなってないなら、事前の根回しとかあったんだろう。ビジネスってそういう物。
                こちらも同じですが、スタートアップの多くはそんなに綺麗にビジネスを立ち上げられません。先に数を作ってから大手を動かす、というやり方の方が圧倒的に多いです。
                MoneyForwardも始めは無許可で多くの金融機関に対応するところから始めています。
                事前の根回しが可能なのは大手、もしくは余程の大きなコネクションを持っている人だけです。

                もう1件長々とご返信頂いたコメントや、他の方へのコメントを拝見した限りですと、要は
                ”信用のない弱小企業だから叩かれる”
                ということですよね。これは大変悲しいことではあるものの全面的に同意です。

                代理スクレイピングが悪いわけでも、アカウント情報を保存することが悪いわけではない、
                (悪いけども信用力が高いところがやっているならいいんじゃない?ということだとは思いますが)
                それであればuxiさんが仰っていることには納得です。
                始めからその論点で議論をすれば良いのに、結局は良く考えが纏まっていないまま絡んできただけだったのですかね。

                元々私は何度も書いている通り、
                yasuoka氏が「Orarioは不正アクセスをしている、嘘をついている」と書かれていることについて、そこまで断言するなら根拠くらい出してよということを言いたかっただけですので、ひとつ前のコメントも含めてほぼ全てがuxiさんへのコメントです。yasuoka氏への弁明ではありません。

                あと、あなたもyasuoka氏もそうなんですが、
                根拠がないものを何故決めつけで発言されるのでしょうか?
                yasuoka氏に連絡を取っていないことを何故知っているのでしょうか?
                まぁ実際には相手にされなかったのでyasuoka氏にはメールを送っていませんけども(笑)
                まずは広報課に安岡先生のスラド日記に対する取材の申し入れということでご連絡をしたのでその反応を見て考えます。

                なんと・・・楠先生をお名前だけでもご存じないとは少し驚きですね。
                https://www.facebook.com/masanork [facebook.com]

                ひとまず、uxi氏がビジネスを知らない、頭でっかちで頭が固い(先入観強すぎる)理想論者な老害だということまではわかりました。
                ただ、全て話をはぐらかして話が全く噛み合わないyasuoka氏よりもずっと話が噛み合ってはいるのでコミュニケーション力は高そうですね:-)
                もうこれで最後にします。単に専門知識をひけらかしたいだけなのか、この手の事にある程度詳しい人なら誰でも知っているようなことばかりを書き連ねて、重箱の隅をつつくだけで全く前向きな議論が展開されません。
                前向きな議論をしたいのではなくて”俺知ってるぜ!お前知らないだろう!”をこの狭い世界の中で展開して満足感を得たいだけのような気がしてきました。

                以上です。長々とありがとうございました。
                あとは京大側と話を進めることにします。

                親コメント
              • いや、本当、安岡先生への捨て台詞が全てを物語っていたのに、
                律儀に返してやった俺が馬鹿だったよ。知ってるなら聞くな。

                アンチまで付けて質問したくせに、
                人が律儀に答えてやったらやったで、
                しっかりディスり返してくるとか本当に屑だな恫喝君は。

                そもそもお前は一体何を語ったんだ?せめて1つくらいはプラスモデ残せ。
                くれくれ君かよ。本当に害悪だな。
                そのただ乗り体質。君のひととなりを本当によく表している。

                あと、口汚く罵った俺はともかく、安岡先生までディスってんじゃねぇ。
                取材を申し入れとか、どの口で言ってる?
                どの面下げて、安岡先生に取材すんの?とことん笑わせてくれるね君は。
                正常な神経じゃないよね?ず太過ぎてドン引くわ。
                君の正体には興味があるけど、自分が安岡先生なら絶対に会いたくない。
                サイコパス怖い。

                スタートアップだからこそスクレイピングが抱えているリスクが取れる

                とか、エビデンスの1つも示せねぇのに馬鹿じゃね?
                てか、何なの、その言葉の端々から滲み出る Orario 臭は?臭過ぎるんですけど?
                へー、あなたは Orario 関係者じゃないんだねー(白目)
                Orario は本当にこいつと無関係なら、こいつを名誉毀損で訴えるべきだろ。

                しかしまぁ、筋なんか通してる暇なんてありません(意訳)とか、よく言えたよ。褒めてやる。
                最低限の(ビジネス)マナーすら理解できないんだね。まぁ屑だし仕方ないか。
                ”信用のない弱小企業だから叩かれる”とかどこのお花畑だよ。被害妄想乙。
                人のノート売り買いしたりとか、人のシステム好き勝手突いたりとか、そういうのはフリーライダーの鏡だよ。
                あーでも、悪いと思ってないんだよね。言ってる意味が伝わらないか。ごめんごめん。

                代理スクレイピングが悪いわけでも、アカウント情報を保存することが悪いわけではない、
                (悪いけども信用力が高いところがやっているならいいんじゃない?ということだとは思いますが)

                誰もそんな事は言ってない。自分の都合のいいように拡大解釈すんな。
                自分はそんなことは言ってないから、お前にそんな曲解をされるのは極めて不本意だ。
                それだけははっきりさせておく。
                しかし、お前にこれ以上入れ知恵する気はないのであえて説明はしない。

                楠先生・・・あぁ、、、マイナンバーでご高名なあのお方でしたか。
                失礼致しました。
                Twitter は常々拝見させてもらっておりますm(_ _)m。←これ楠先生に対してだからな!!!恫喝!お前にじゃないぞ!!!

                最後に、安岡先生へ。
                こんな屑を、けしかけるつもりは毛頭なったのですが、
                こんな結果になってしまい大変申し訳ないことをしてしまいました。
                心からお詫び申し上げます。

                --
                uxi
                親コメント
              • 要は
                ”信用のない弱小企業だから叩かれる”
                ということですよね。

                これだと一般論みたいですが

                「信用がないと扱えない商材を扱ってる」
                「しかもそれを自覚してない」
                のが問題かと

                適切な例ではないけど
                学祭で模擬店(手続きは実行本部任せ)がウケたから飲食店やります、食品衛生法も保健所も知らんけど客がウマイってるからいいだろ、みたいな

                このは法律で決まってるからというのもあるけど、「第三者(保健所)が安全性をチェックしたという信用」を得るための手続きとも言える。

                ここで弱小企業とかは(要素の一つではあるが)関係ない

                uxiさんのコメント
                https://srad.jp/comment/3197297 [srad.jp]

                大学当局、特に情報系の統括部署にお伺いを立てて、相互に調整しながらやるのが筋ってもんだろう。
                ビジネスは、筋通さないとね。そりゃトラブる。
                まぁ、それをやっても印象を悪くしている最大の原因である仕組みが悪さは帳消しにはならないけど、
                大学側に手出しがないなら、生温かいアドバイスくらいはもらえたはず。
                学認とかね。

                にあるようなしかるべき手順で「(自分がいる/いた)大学当局に信用されたという信用」から広げてくとか、
                セキュリティ的に安全であること(会社サーバへは受信のみで送信していないこと)を自己説明でなく第三者機関に証明してもらうとか
                信用を得る手はあるのに。

                (ちなみに俺はこれにこうコメントした)
                https://srad.jp/comment/3197992 [srad.jp]

                なんだかんだ言って優しいな
                妙に具体的で、このアドバイス通り仕切り直せばまだリカバリが効くのではなかろうか
                まだできたての会社みたいだし、今ならまだ、学生がヤンチャしてましたが真面目になりました、で許してもらえるかも

                親コメント
              • by uxi (5376) on 2017年04月24日 0時18分 (#3199047)

                どうしても以下の1点だけは引っかかってしまった。

                MoneyForwardも始めは無許可で多くの金融機関に対応するところから始めています。

                Mnoney Forward 名指ししてるんだけど、
                これって事実だろうか?

                まぁ仮に事実だったとしても、
                Orario のように、学部卒業し立ての世間知らずなメンバーが
                顔すら出さずにスタートアップやってるのとは雲泥の差と言うか、
                2012年5月設立 [wikipedia.org]、
                2012年12月15日オープンβリリース [moneyforward.com]、
                2013年7月16日β→正式版 [moneyforward.com]、
                って状況で、少なくとも2012年12月18日時点の状況 [archive.org]を見る限り、
                金融畑でキャリアのあるメンバーが経歴と顔を晒してやっていて、
                これで事前の根回しすらないってのは常識的に考えて普通は有り得ないんだけど?

                しかも、検索した範囲では対応金融機関からは概ね好意的に受け止められている雰囲気であり、
                対応金融機関等と特にこれと言っていざこざを起こした形跡も見つからない感じである。
                更に、2014年12月19日の第三者割当増資発表 [moneyforward.com]では、
                金融機関をはじめとして名だたる企業が名を連ねるに至っている。

                まぁ、この分野、銀行側でも意識が低くて酷いところがあるとは聞いてはいるが、
                それでも、銀行側が嫌がることは少なくとも避けてんじゃね?って感じ。
                例えば、元々公式に銀行側から提供されてる API 使うとかね。
                そもそもそういうのは想定された使い方であって「無許可で対応」って言わない。

                これ、事実無根なら Money Forward がこいつに対して
                それこそ然るべき措置をせざるを得ない事案のようにも思えるのだが、
                ソース示せるんだろうか?こいつ。

                --
                uxi
                親コメント

ソースを見ろ -- ある4桁UID

処理中...