パスワードを忘れた? アカウント作成
この議論は、yasuoka (21275)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。

OrarioのJavaScriptの可能性」記事へのコメント

  • 今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、
    Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。

    Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。
    それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。
    Orario の従業員8名(バイ

    --
    uxi
    • Orario分析中に不必要なアクセスをしないかぎり、サーバから見たら本物とOrarioのスクレイピング分析の区別はできないのでは?スクレイピングでは本物のブラウザからの通信のトレース情報だけあれば十分なので、本物の動作以外に不必要なアクセスをすることはありませんし、本物と見分けがつかないはずです。 「少なくとも先月以前」に怪しいアクセスがあったというのは別の学生のいたずらの可能性はありませんか? 解析するにはもちろん学生の協力(成りかわり)か不正アクセス(成りすまし)のどちらかで行われたのだと思いますが、成りすましの証拠が示されないかぎり、不正アクセスとは言い切れないと思います。 なお、学生の協力(成りかわり)で行われた場合、アカウントの貸し出し、もしくは、トレース情報の提供、あるいは学生自身が解析したかのどれかだと思いますが、いずれにしてもサーバ側からしたら学生自身による行為の範疇を超えないはずです。(学生の責任において行われた以上のことはいえない)
      • たぶん、サーバ側からしたら協力した学生を突き止めることも、不正アクセスがあったことの証明もできないのでは?学生を突き止められるのであれば本人から事情を聞けばいいし、不正アクセスの証拠があるのなら教授が示されるでしょう?それができないのが「ホワイト」であることの何よりの証拠です。 「ホワイト」=「セーフ」ではないという議論も見かけますがナンセンスです。 気持ちはわからないでもありませんが、単位を取り消すといった不当な行為に走るのではなく、潔く社会のルールに則った対応をお願いします。
        • やましいことなければ、堂々と名乗るだろうし。
          第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。
          エビデンス示せないなら Orario が無能ってだけだ。
          新規ID取ってまで指摘することじゃない。

          --
          uxi
          • >第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。

            いいえ。
            少なくとも、Orarioの現在既に動いている状態については、解析してその動作についてホワイトであることは「第三者」によって証明されたのです。

            しかし、無いものは第三者によっても証明できない。これは悪魔の証明ですからね。

            教授は「少なくとも先月以前」に怪しい動きが「あった」と主張しているんだから、1つでいいからきちんと不正であることを示してもらえればいいだけの話しです。あるというのだからあるんでしょう。それを示して
            • 横から失礼します。
              証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
              現時点の動作がホワイトであることは証明されていないと考えます。

              また、不正があった証拠を示さないことを理由に
              「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは
              正に自分が批判している行為を自分で行われているようにも思えます。

              とりあえず、もう少し落ち着いては如何かと思います。

              • 逆です。

                証明されたのは、「現時点の動作がホワイトであること」が証明された(https://gist.github.com/mala/f2b7659f78bb396bf1eb6788be38a72d)のであって、「Orarioが第三者の解析時にはホワイトであった」ことは証明されていません。

                教授は解析時に不正があったと主張されているのですが、その証拠はいまだに示されていないので、私は嘘だと思っています。
              • そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、
                旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。
                また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。
                誠に本当に申し訳ありません。

                pharmer 氏の指摘

                証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、

                の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。

                また、pharmer 氏の指摘

                現時点の動作がホワイトであることは証明されていないと

                --
                uxi
              • 人に日本語読解能力がないという前に、私の主張も正しく理解してください。
                mala氏解析により現時点の動作がホワイトであることが証明されたと同時に、それ以前(またはそれ以後も)においても、Orarioが解析時に不正アクセスをする合理的な理由がないので、なかったのではないかと申し上げているのです。
                スクレイピングが目的であったとしても不正アクセスする必要がないのですから、敢えてリスクを犯さなくてもいいでしょう?犯さないでいいリスクは犯さない。そう考えるのが自然なのです。じゃあ逆に質問ですが、敢えてリスクを犯す理由は何でしょうか?不正アクセスをする理由とか動機を説
              • mala氏の解析時の事を現時点と呼ぶことには同意できません。

                また、mala氏の解析時にホワイトであったことをもって
                それ以降の動作もホワイトであろうとの推測には同意できますが、
                それ以前の動作もホワイトであったとの推測には同意できません。

                Orarioが解析時に不正アクセスを行う実装から、
                不正アクセスを行わない実装へ修正されたと仮定した場合に、
                yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、
                yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。

                蛇足ですが、
                私は Orarioにより IDとパスワードを正規のログイン画面以外に
                入力することに抵抗のない学生が発生する事を憂慮しています。

              • >Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
                これがわからないですね。
                Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
                スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
                不自然な仮定には意味がありません。
                そんなこといいだしたら、あなただって不正アクセスしたといわれたら反論できなくなりますよ。言っている意味わかります?
                yasuoka氏が突然、あなたから不正アクセスされたといったと仮定します。不
              • >>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
                >これがわからないですね。
                >Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
                >スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
                >不自然な仮定には意味がありません。

                一般にソフトウェアの設計・実装は徐々に改善していくものです。
                そのため、過去の実装において実際には必要のない不正アクセスを行う実装が
                行われたとの仮定はそれほど不自然では無いと考えます。

                また、私には

              • 不正アクセスって犯罪ですよ?
                犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
                繰り返しですが、犯罪が行われたとする仮定は、証拠がないとやってはいけないのです。ましてや、orarioには理由も動機もない。
                疑うのは勝手ですよ。しかし、yasuoka氏がやっているように仮定をもとに犯罪者ときめつけ、単位を取り消すとする行為はやりすぎです。また、その行為が正しいとするなら、それを学んだ学生もまたその行動が正しいのだと考えるでしょう。
              • >不正アクセスって犯罪ですよ?
                >犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。

                不正アクセスが犯罪なのは承知していますし、
                必要もないのに犯罪を犯したと仮定するのが不自然なのも理解できます。

                ただ、業務妨害や名誉棄損も犯罪です。
                yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。

                証拠を出すべきだとの意見もありますが、
                証拠をネットに上げるのではなく必要になったタイミングで
                警察等に引き渡す方がより適切な手続きなのではないかと考えます。

              • >ただ、業務妨害や名誉棄損も犯罪です。
                >yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。

                yasuoka氏の言動から不自然ではないと私は感じています。
                事の重大さに気づかず勢いで言っちゃたんんじゃないかな?

                あなたがおっしゃるように、業務妨害や名誉棄損も犯罪なのですが、いまの時点でも自分が犯罪を犯そうとしていることに気づいてないのでは?
                このままだと、あんたはクビになりますよ!って警告しているんですが、本当にわかっているんでしょうかねえ。心配です。
              • yasuoka氏がいかにトンチンカンなことをいっているか少し説明したいと思います。

                mala氏は、orarioが説明どおりに動いており、サーバに学生アカウントが送信されていないことを確認すると同時に、クライアント側だけでJavaScriptによって処理するように工夫されていることについて、「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないといった旨の主張をされていました。

                間違いを恐れずに例えていえば、金庫の中に格納するので安全という感じです。(若干違うけど、まあ、そんな感じ)
                またこれは、orarioが大学アカウントを保持しないと
              • >mala氏は、orarioが説明どおりに動いており、サーバに学生アカウントが送信されていないことを確認すると同時に、
                >クライアント側だけでJavaScriptによって処理するように工夫されていることについて、
                >「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないといった旨の主張をされていました。

                mala氏はその様なことを言っていません。

                mala氏と同様な解析を実施した mage(まげ)氏の以下の発言に対して、

                「リスクはサーバ側で大学アカウント保持するのと大差無い」

                『自分は「大差ない」とは思わない。』と言っています。

                  stkzkさんの今回の発言は、mala氏の説明に対する誤った解釈に
                依拠しており全体的におかしなものになっている様に思えます。

                親コメント
              • いや、だから、「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないっていうのがmala氏の主張でしょ?
                それは、「orarioがクライアント側で動くJavaScriptコードを検証できる形にしているので安全性を高めるうえで意味があること」ということ理解したので、https://srad.jp/comment/3202117 のmala氏のレポートのポイントの3)にまとめています。
                この内容のどこが誤った解釈になりますか?間違っている部分は訂正しますが。
                親コメント

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

処理中...