アカウント名:
パスワード:
OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。
また、別の方も質問をされていますが、このアクセスパターンが気になります。 上記で「不正」とされている根拠にもよるとは思いますが、 少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。 私もこの手のWebスクレイピングの動向に興味がありますので、 専門家の方のご意見を聞きたいです。 以上、宜しくお願いいたします。
根拠となるのは、もちろん京都大学のセキュリティポリシー [kyoto-u.ac.jp]です。そこそこ量があるので、しっかり読んでみて下さい。
少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。
サーバーログを読むのは、解析手法の一部に過ぎません。
とありますが、書かれている文章の流れでは、これを根拠に「嘘をついている」と書いているようにしか受け取ることができません。仮にこれ以外にあったとしても重要な根拠のひとつであると見えます。 「嘘をついている」とまで書かれているわけですから、簡単でも構いませんのでその根拠をお示し頂ければと思います。
あのですね、annonynrmさん。私(安岡孝一)は今朝、BlackWingCatさんに対して
どうしても知りたいなら、また、どこかでお会いした時にでも。
と申し上げたところなんですよ。annonynrmさんとBlackWingCatさんが同一人物かどうかは、現時点の私には不明ですけど、少なくともこのコメント欄では同じ返事をするしかありません。どうしても知りたいなら、また、どこかでお会いした時にでも。
元記事の発言を撤回するコメントを書いて頂くか
なぜ、私(安岡孝一)が撤回しなければならないのか、この文脈ではサッパリ理解できません。どういう意味ですか?
いや、それでもやっぱり理解できないのですが。
単にOrarioに対する営業妨害としてしか受け取ることができません。
仮に、本件がOrarioに対する営業妨害だと無理矢理に仮定したとしても、どうしてそれがannonynrmさんに
3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)
会うという話につながるのか、私(安岡孝一)には理解できないんですよ。どういう意味ですか?
と安岡先生ご自身が書かれています。 ここまで話に一貫性のない方が教授をやってらっしゃるとは思えませんので意図的にはぐらかしていると理解せざるを得ないのですが・・・。
ああ、そこの論理性は、やっぱり私(安岡孝一)には、わからないままなのですね。では、先ほども書いた通り、どうしても知りたいなら、また、どこかでお会いした時にでも。
流石に私設警察さんじゃないよね。どう控え目に考えても Orario の中の人でしょあなたは?
自分も Orario の件を目にした第一印象では、真っ当な企業が提供するサービスとしては越えてはいけない一線を完全に越えてるわって思ったけど、
また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?
については、確かに Orario のサーバーじゃなくて、スマホにインストールしたアプリがスクレイピングしている限
◎二つ目お伺いしたいのですが、結局の所 (1)代理スクレイピングが悪いのでしょうか?それとも (2)ID/パスワードを第三者が預かる前提のサービスが悪いのでしょうか?それとも (3)上記1&2なのが悪いのでしょうか?論点がわかりません。
繰り返しになるが程度問題に過ぎないが、仕組みの透明性、説明責任、社会的信用について程度を満たす水準に達してない。あと根回しもないと言う点で、ビジネスとしてやるには失格。
(1) は開発者が目で見て解析しないと不可能。少なくとも1人以上のユーザーについては、取得し得るすべての個人情報を開発者が目にすることになる。その1人のユーザーをどう確保しているかが不明。サービス側の変更時における安定性にに関しての筋の悪さはkurema 氏が#3196949 [srad.jp]で言及している。
(2) は最悪としか言いようがない。ブラウザのパスワード
uxiさん、コメントありがとうございます!
>公式ページで自己開示もゼロに等しく、資本金2千万ちょいで、>従業員8名(バイトを含む)のスタートアップ取るべき手段じゃない。これは逆です。スタートアップだからこそこういう手を取るしかなく、スタートアップだからこそスクレイピングが抱えているリスクが取れるです。 ・大手(情報取得したい相手)から相手にされないことが多い ・少ない資金で、真っ当なやり方ではなし得ない付加価値を提供できる可能性がある ・情報取得先のサイトからアクセス禁止を食らったり、サイト変更があったときに 対応するまで一時的にサー
どうしても以下の1点だけは引っかかってしまった。
MoneyForwardも始めは無許可で多くの金融機関に対応するところから始めています。
Mnoney Forward 名指ししてるんだけど、これって事実だろうか?
まぁ仮に事実だったとしても、Orario のように、学部卒業し立ての世間知らずなメンバーが顔すら出さずにスタートアップやってるのとは雲泥の差と言うか、2012年5月設立 [wikipedia.org]、2012年12月15日オープンβリリース [moneyforward.com]、2013年7月16日β→正式版 [moneyforward.com]、って状況で、少なくとも2012年12月18日時点の状況 [archive.org]を見る限り、金融畑でキャリアのあるメンバーが経歴と顔を晒してやっていて、これで事前の根回しすらないってのは常識的に考えて普通は有り得ないんだけど?
しかも、検索した範囲では対応金融機関からは概ね好意的に受け止められている雰囲気であり、対応金融機関等と特にこれと言っていざこざを起こした形跡も見つからない感じである。更に、2014年12月19日の第三者割当増資発表 [moneyforward.com]では、金融機関をはじめとして名だたる企業が名を連ねるに至っている。
まぁ、この分野、銀行側でも意識が低くて酷いところがあるとは聞いてはいるが、それでも、銀行側が嫌がることは少なくとも避けてんじゃね?って感じ。例えば、元々公式に銀行側から提供されてる API 使うとかね。そもそもそういうのは想定された使い方であって「無許可で対応」って言わない。
これ、事実無根なら Money Forward がこいつに対してそれこそ然るべき措置をせざるを得ない事案のようにも思えるのだが、ソース示せるんだろうか?こいつ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
不正アクセスの定義 (スコア:0)
最近はこの手のスクレイピングサービスが流行ってますね。
冒頭で「Orarioによる不正アクセス」と書かれていますが、
なにを根拠に不正アクセスと仰っているか興味があります。
また、別の方も質問をされていますが、このアクセスパターンが気になります。
上記で「不正」とされている根拠にもよるとは思いますが、
少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。
私もこの手のWebスクレイピングの動向に興味がありますので、
専門家の方のご意見を聞きたいです。
以上、宜しくお願いいたします。
京都大学のセキュリティポリシー (スコア:3, 参考になる)
根拠となるのは、もちろん京都大学のセキュリティポリシー [kyoto-u.ac.jp]です。そこそこ量があるので、しっかり読んでみて下さい。
サーバーログを読むのは、解析手法の一部に過ぎません。
Re: (スコア:0)
これはすごい量ですね・・・。
Orarioが「不正である」「嘘をついている」とまで書かれてますので、
せめて1つ違反しているポイントを教えて頂けませんか?
また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?
とありますが、書かれている文章の流れでは、これを根拠に「嘘をついている」と書いているようにしか受け取ることができません。仮にこれ以外にあったとしても重要な根拠のひとつであると見えます。
「嘘をついている」とまで書かれているわけですから、簡単でも構いませんのでその根拠をお示し頂ければと思います。
どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
あのですね、annonynrmさん。私(安岡孝一)は今朝、BlackWingCatさんに対して
と申し上げたところなんですよ。annonynrmさんとBlackWingCatさんが同一人物かどうかは、現時点の私には不明ですけど、少なくともこのコメント欄では同じ返事をするしかありません。どうしても知りたいなら、また、どこかでお会いした時にでも。
Re: (スコア:1, 荒らし)
BlackWingCatさんへのコメントは拝見しました。ただ、私は「まとめてくれ」とまでは申し上げておりません。
あくまでも不特定多数の方が目にするインターネット上で、且つ社会的地位があり発言力のある方が本名で「不正である」「嘘である」とコメントされているわけですから、その根拠を不特定多数の方が閲覧できる場所で示す必要があると思うのです。
それができないという事であれば、単にOrarioに対する営業妨害としてしか受け取ることができません。
よって、元記事の発言を撤回するコメントを書いて頂くか、もしくは「またどこかで」ではなく、お忙しいとは思いますが具体的にお会いするスケジュールを決めてお話しを聞きたいと思います。
以上、宜しくお願いいたします。
Re: (スコア:2)
なぜ、私(安岡孝一)が撤回しなければならないのか、この文脈ではサッパリ理解できません。どういう意味ですか?
Re: (スコア:-1, フレームのもと)
少々わかり難かったかもしれませんが、
https://srad.jp/~yasuoka/journal/611343 [srad.jp]
のことを「元記事」と申し上げたつもりでした。
この元記事においてセキュリティの専門家である安岡先生が、Orarioのことを「不正である」「嘘をついている」と書かれており、Orarioは根拠なき中傷により営業的損害を受ける可能性があります。
よって、
1.相応の根拠を不特定多数が閲覧できる場所に書く
2.元記事を撤回する
3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)
どれも選択できないということでしたら、然るべき対処を行わせていただきます。
Re: (スコア:1)
いや、それでもやっぱり理解できないのですが。
仮に、本件がOrarioに対する営業妨害だと無理矢理に仮定したとしても、どうしてそれがannonynrmさんに
会うという話につながるのか、私(安岡孝一)には理解できないんですよ。どういう意味ですか?
Re: (スコア:-1, フレームのもと)
面白いご返信ですね・・・。
https://srad.jp/~yasuoka/journal/611343 [srad.jp]
に
と安岡先生ご自身が書かれています。
ここまで話に一貫性のない方が教授をやってらっしゃるとは思えませんので意図的にはぐらかしていると理解せざるを得ないのですが・・・。
Re: (スコア:2)
ああ、そこの論理性は、やっぱり私(安岡孝一)には、わからないままなのですね。では、先ほども書いた通り、どうしても知りたいなら、また、どこかでお会いした時にでも。
Re: (スコア:-1, フレームのもと)
承知しました。それでは、大学へのクレームを含め然るべき対応を取らせて頂きます。
ご多用中にも関わらず、お時間を取らせてしまい申し訳ありませんでした。
Re: (スコア:4, すばらしい洞察)
流石に私設警察さんじゃないよね。どう控え目に考えても Orario の中の人でしょあなたは?
自分も Orario の件を目にした第一印象では、真っ当な企業が提供するサービスとしては越えてはいけない一線を完全に越えてるわって思ったけど、
については、確かに Orario のサーバーじゃなくて、スマホにインストールしたアプリがスクレイピングしている限
uxi
Re: (スコア:-1, 荒らし)
スラドにはカルマというシステムがあるのですね。私のコメントがフレームの元や荒しと認定されてしまっていることで追加コメントがなかなかできない状況にあり、やむなく別アドレスでそれこそ捨て垢・・・を取得してしまいました。ご返信が遅くなり申し訳ありませんでした。
そしてこのコメントもまたフレームや荒しの元とされる可能性が高そうなので、次そのような状況になったらご返信を諦めます。
いくつかありますので順番にコメントを書かせて頂きます。
◎一つ目
確かにOrarioの中の人
Re: (スコア:2)
◎二つ目
お伺いしたいのですが、結局の所
(1)代理スクレイピングが悪いのでしょうか?
それとも
(2)ID/パスワードを第三者が預かる前提のサービスが悪いのでしょうか?
それとも
(3)上記1&2なのが悪いのでしょうか?
論点がわかりません。
繰り返しになるが程度問題に過ぎないが、
仕組みの透明性、説明責任、社会的信用について
程度を満たす水準に達してない。
あと根回しもないと言う点で、ビジネスとしてやるには失格。
(1) は開発者が目で見て解析しないと不可能。
少なくとも1人以上のユーザーについては、
取得し得るすべての個人情報を開発者が目にすることになる。
その1人のユーザーをどう確保しているかが不明。
サービス側の変更時における安定性にに関しての筋の悪さは
kurema 氏が#3196949 [srad.jp]で言及している。
(2) は最悪としか言いようがない。
ブラウザのパスワード
uxi
Re: (スコア:-1, 荒らし)
uxiさん、コメントありがとうございます!
>公式ページで自己開示もゼロに等しく、資本金2千万ちょいで、
>従業員8名(バイトを含む)のスタートアップ取るべき手段じゃない。
これは逆です。
スタートアップだからこそこういう手を取るしかなく、
スタートアップだからこそスクレイピングが抱えているリスクが取れる
です。
・大手(情報取得したい相手)から相手にされないことが多い
・少ない資金で、真っ当なやり方ではなし得ない付加価値を提供できる可能性がある
・情報取得先のサイトからアクセス禁止を食らったり、サイト変更があったときに
対応するまで一時的にサー
Money Forward についての疑問 (スコア:2)
どうしても以下の1点だけは引っかかってしまった。
MoneyForwardも始めは無許可で多くの金融機関に対応するところから始めています。
Mnoney Forward 名指ししてるんだけど、
これって事実だろうか?
まぁ仮に事実だったとしても、
Orario のように、学部卒業し立ての世間知らずなメンバーが
顔すら出さずにスタートアップやってるのとは雲泥の差と言うか、
2012年5月設立 [wikipedia.org]、
2012年12月15日オープンβリリース [moneyforward.com]、
2013年7月16日β→正式版 [moneyforward.com]、
って状況で、少なくとも2012年12月18日時点の状況 [archive.org]を見る限り、
金融畑でキャリアのあるメンバーが経歴と顔を晒してやっていて、
これで事前の根回しすらないってのは常識的に考えて普通は有り得ないんだけど?
しかも、検索した範囲では対応金融機関からは概ね好意的に受け止められている雰囲気であり、
対応金融機関等と特にこれと言っていざこざを起こした形跡も見つからない感じである。
更に、2014年12月19日の第三者割当増資発表 [moneyforward.com]では、
金融機関をはじめとして名だたる企業が名を連ねるに至っている。
まぁ、この分野、銀行側でも意識が低くて酷いところがあるとは聞いてはいるが、
それでも、銀行側が嫌がることは少なくとも避けてんじゃね?って感じ。
例えば、元々公式に銀行側から提供されてる API 使うとかね。
そもそもそういうのは想定された使い方であって「無許可で対応」って言わない。
これ、事実無根なら Money Forward がこいつに対して
それこそ然るべき措置をせざるを得ない事案のようにも思えるのだが、
ソース示せるんだろうか?こいつ。
uxi