パスワードを忘れた? アカウント作成
この議論は、yasuoka (21275)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。

OrarioのJavaScriptの可能性」記事へのコメント

  • 今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、
    Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。

    Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。
    それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。
    Orario の従業員8名(バイ

    --
    uxi
    • Orario分析中に不必要なアクセスをしないかぎり、サーバから見たら本物とOrarioのスクレイピング分析の区別はできないのでは?スクレイピングでは本物のブラウザからの通信のトレース情報だけあれば十分なので、本物の動作以外に不必要なアクセスをすることはありませんし、本物と見分けがつかないはずです。 「少なくとも先月以前」に怪しいアクセスがあったというのは別の学生のいたずらの可能性はありませんか? 解析するにはもちろん学生の協力(成りかわり)か不正アクセス(成りすまし)のどちらかで行われたのだと思いますが、成りすましの証拠が示されないかぎり、不正アクセスとは言い切れないと思います。 なお、学生の協力(成りかわり)で行われた場合、アカウントの貸し出し、もしくは、トレース情報の提供、あるいは学生自身が解析したかのどれかだと思いますが、いずれにしてもサーバ側からしたら学生自身による行為の範疇を超えないはずです。(学生の責任において行われた以上のことはいえない)
      • たぶん、サーバ側からしたら協力した学生を突き止めることも、不正アクセスがあったことの証明もできないのでは?学生を突き止められるのであれば本人から事情を聞けばいいし、不正アクセスの証拠があるのなら教授が示されるでしょう?それができないのが「ホワイト」であることの何よりの証拠です。 「ホワイト」=「セーフ」ではないという議論も見かけますがナンセンスです。 気持ちはわからないでもありませんが、単位を取り消すといった不当な行為に走るのではなく、潔く社会のルールに則った対応をお願いします。
        • やましいことなければ、堂々と名乗るだろうし。
          第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。
          エビデンス示せないなら Orario が無能ってだけだ。
          新規ID取ってまで指摘することじゃない。

          --
          uxi
          • >第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。

            いいえ。
            少なくとも、Orarioの現在既に動いている状態については、解析してその動作についてホワイトであることは「第三者」によって証明されたのです。

            しかし、無いものは第三者によっても証明できない。これは悪魔の証明ですからね。

            教授は「少なくとも先月以前」に怪しい動きが「あった」と主張しているんだから、1つでいいからきちんと不正であることを示してもらえればいいだけの話しです。あるというのだからあるんでしょう。それを示して
            • 横から失礼します。
              証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
              現時点の動作がホワイトであることは証明されていないと考えます。

              また、不正があった証拠を示さないことを理由に
              「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは
              正に自分が批判している行為を自分で行われているようにも思えます。

              とりあえず、もう少し落ち着いては如何かと思います。

              • 逆です。

                証明されたのは、「現時点の動作がホワイトであること」が証明された(https://gist.github.com/mala/f2b7659f78bb396bf1eb6788be38a72d)のであって、「Orarioが第三者の解析時にはホワイトであった」ことは証明されていません。

                教授は解析時に不正があったと主張されているのですが、その証拠はいまだに示されていないので、私は嘘だと思っています。
              • そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、
                旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。
                また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。
                誠に本当に申し訳ありません。

                pharmer 氏の指摘

                証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、

                の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。

                また、pharmer 氏の指摘

                現時点の動作がホワイトであることは証明されていないと

                --
                uxi
              • 人に日本語読解能力がないという前に、私の主張も正しく理解してください。
                mala氏解析により現時点の動作がホワイトであることが証明されたと同時に、それ以前(またはそれ以後も)においても、Orarioが解析時に不正アクセスをする合理的な理由がないので、なかったのではないかと申し上げているのです。
                スクレイピングが目的であったとしても不正アクセスする必要がないのですから、敢えてリスクを犯さなくてもいいでしょう?犯さないでいいリスクは犯さない。そう考えるのが自然なのです。じゃあ逆に質問ですが、敢えてリスクを犯す理由は何でしょうか?不正アクセスをする理由とか動機を説
              • mala氏の解析時の事を現時点と呼ぶことには同意できません。

                また、mala氏の解析時にホワイトであったことをもって
                それ以降の動作もホワイトであろうとの推測には同意できますが、
                それ以前の動作もホワイトであったとの推測には同意できません。

                Orarioが解析時に不正アクセスを行う実装から、
                不正アクセスを行わない実装へ修正されたと仮定した場合に、
                yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、
                yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。

                蛇足ですが、
                私は Orarioにより IDとパスワードを正規のログイン画面以外に
                入力することに抵抗のない学生が発生する事を憂慮しています。

              • >Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
                これがわからないですね。
                Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
                スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
                不自然な仮定には意味がありません。
                そんなこといいだしたら、あなただって不正アクセスしたといわれたら反論できなくなりますよ。言っている意味わかります?
                yasuoka氏が突然、あなたから不正アクセスされたといったと仮定します。不
              • >>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
                >これがわからないですね。
                >Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
                >スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
                >不自然な仮定には意味がありません。

                一般にソフトウェアの設計・実装は徐々に改善していくものです。
                そのため、過去の実装において実際には必要のない不正アクセスを行う実装が
                行われたとの仮定はそれほど不自然では無いと考えます。

                また、私には

              • 不正アクセスって犯罪ですよ?
                犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
                繰り返しですが、犯罪が行われたとする仮定は、証拠がないとやってはいけないのです。ましてや、orarioには理由も動機もない。
                疑うのは勝手ですよ。しかし、yasuoka氏がやっているように仮定をもとに犯罪者ときめつけ、単位を取り消すとする行為はやりすぎです。また、その行為が正しいとするなら、それを学んだ学生もまたその行動が正しいのだと考えるでしょう。
              • 自分の不明を恥じるばかりです。

                まず、謝罪するところから始めないと建設的な議論が出来ないと思いますので、
                「あなたの日本語能力および論理的思考能力は極めて不自由であると断じる他ない。」
                と断じた点について、まずお詫びを述べさせてください。

                あなたのおっしゃっている事は、理路整然としていて、大変利にかなっています。
                法治国家たるやそうあるべきです。そう思います。

                しかし、なぜか、
                #3200523 [srad.jp]で指摘されている
                論理的な解釈においてのみ
                その明晰な論理に重大な破綻をきたされる。
                一見、単純な時系列問題であるにも関わらずです。

                また、自分の指摘に対しても process はどうでも良いような事をおっしゃいます。
                しかしバレなければ何をやっても問題ないという主張でもないようです。
                何か強い信念が邪魔をして

                --
                uxi
              • 事実確認について。

                >1つ目
                同意します。 >2つ目
                A〜Cは同意します。
                Dは同意しますが、証明されていないだけで合理的に考えると現時点もおそらく白です。
                Eはmala氏はセキュリティの日本における第一人者です。所属はLINEだったと思います。
                彼が白といえば間違いなく白です。orarioは無料でセキュリティ監査を受けることができて、しかも、malaさんのお墨付きがもらえてきっと喜んでいると思います。
                付け加えて言うなら、私はこれまでも述べているように、過去を含めて白であることを証明できるとはいっておりません。
                orarioが不正アクセスする合理的な理由がないので、
              • なる程、かみ合ってない理由がなんとなく分かった気がします。
                不正アクセスて言葉の定義が違うんですね。
                stkzk さんは法律上定義された犯罪である狭義の不正アクセスのみを言ってて、
                自分は、もっと緩く、不適切なデータの取得を意識してるので、
                そこが齟齬の原因ですかね?

                かつ、自分の論点は、
                開発者が本来アクセスし得るはずのないデータが
                開発及び保守の際に絶対に必要であり、
                そこの部分の透明性がないことを問題視しているんだけど、
                stkzk さんはそれは狭義の不正アクセスの要件を満たすことなく取得可能でしょって言ってるのかな???

                tは優秀なプログラマーがいれば問題はない気がします。

                というのはどういう根拠でそうおっしゃられているんですか?
                Orario の説明では、

                --
                uxi
              • なんと!不正アクセスて言葉の定義が違うなんてまったく想像してませんでした。正直驚いています。
                法律以外に定義があるんですか?知らなかったです。また、それに該当したらどういう罪になるのですか?そもそも、法律にないものをどうやって裁くのですか?もしかして、yasuoka氏も同じ考えなのですか?よくわかりません。
                すみませんが、議論を噛み合わせるためにも、今後は不正アクセスといったら法律のことを指していると思ってください。

                で、不正アクセスというのは、正確には法文を読んでもらいたいのですが、簡単にいうと、「許可されていないサーバに
              • いろいろとありがとうございます。

                安岡先生は「不正なアクセス」とでも書いてくれてれば良かったのかな?

                自分も、
                不正アクセス禁止法で定義された不正アクセスと
                その成立要件は一通り存じておりました。

                その上で、
                安岡先生のあの書き込みを見て、
                強い憤りまでは読み取れたんですが、
                明確に犯罪として告発する意志、
                言い換えれば裁判もいとわないという意志までは
                読み取る事が出来なかったんですね。

                確かに字面だけ読めば犯罪の告発とも読めるんですけど、
                ここは所詮は場末の雑談サイトですから、
                逆に行間しか読んでなかったと言いますか。

                ですので、自分が論点にしていたのも犯罪か否かではなくて
                Orario は出してる資料がいろいろとおかしいし、
                ちゃんと説明責任を果たすべきだろという点にな

                --
                uxi
              • by stkzk (48007) on 2017年04月29日 12時26分 (#3202814)
                不正なアクセスは不自然なアクセス記録がサーバに残ることでわかります。ハッカーによるアタックのようなアクセスなどはそれっぽいのですぐ見つけられると思います。
                ただ、これは、インターネットに公開したら普通に起こることで、DDosやアカウントリスト攻撃など、ありとあらゆるものが日常的に起きていることがわかるでしょう。
                サーバ側としては、不正なアクセスけしからん!と怒ったところでどうしようもない現実があります。
                もちろん、攻撃側が悪いのはあたりまえの話です。しかし、攻撃者を特定するのは難しく、普通のユーザが通常と異なる使い方をしたのと区別することも難しいです。逆に、脆弱性を突かれて個人情報が漏洩するようなことがあれば、それはむしろサーバ側の責任になるのです。

                それで、あらためてお聞きしたいのですが、不正なアクセスをされてサーバとして困るのは具体的に何でしたっけ?そしてそれは本当にorarioが行ったものですか?

                Orario が不正なアクセスをしたということが明らかになっていない現状では、説明責任もへったくれもないです。
                たとえ明らかになったとしても、所詮、orarioが嘘をついたから頭にきたという程度の感情論にすぎません。不正アクセス禁止法は無罪だという点は忘れないでくださいね。

                それから、所詮は場末の雑談サイトとおっしゃいますが、何でも書いていいわけではなく、例えば殺人予告などすれば逮捕されると思いますよ。
                yasuoka氏は不正アクセスをしたと犯罪者よばわりしたのですからもう遅いです。それなりの覚悟をしてください。

                >開発時にプログラマーは、下の地図が黒塗りだと、アクリル板に道筋を描けません。
                >下の地図が空けて見えている必要があります。
                >つまり、地図を手元(つまり Orario 社内)に持ってくる必要があるんです。
                >それはどうするんですかと。

                もちろん、地図を手元(つまり Orario 社内)に持ってくる必要はありますよ。
                しかし、それは罪に問えないのです。何を根拠にダメだとおっしゃっているのですか?
                完成品に地図の情報をコピーした痕跡がないと著作権に違反しているとはいえないのです。
                アクセスするURLとかリクエストパラメータの名前などはAPIのフェアユースと同じで著作物にはあたりません。

                >もっと言えば、ユーザーがアプリを立ち上げなくても、
                >障害対応の名目ならバックグラウンドでスクレイピング結果だけ Orario 社に送りつけても多分問題の無いプライバシーポリシーですねと。

                orarioのプライバシーポリシーはorarioが収集した利用者情報だけに適用されます。スクレイピング結果などを含めその他情報などはorarioから収集しないので適用外です。
                想像ですが、orarioを使わないで別の方法、例えば、学生に協力してもらって大学サーバにアクセスするなどして入手したのではないでしょうか?
                開発時に入手する情報とプライバシーポリシーは別物とご理解ください。

                >学生がそれをちゃんと認識しているかどうかという点ではまた別の問題が起こり得るかもしれません。

                おっしゃることはよくわかりますが、じゃあ起こりうる危険性って具体的に何でしょうかね?
                新聞の記事は読みましたよ。

                >学生らが起業した会社が大学に無断で開発したため、「個人情報が漏れる恐れがある」などと大学側が反発している。
                >上智大は先月末、大学のホームページで「本学とは一切関わりない。個人情報の流出に直結し、非常に危険」などと警告。青山学院大も今月、アプリの使用停止と削除、パスワード変更を求めた。

                個人情報が漏れるって、まるで大学から個人情報が漏れるかのような書き方をされていますが、それは本当でしょうか?

                学生IDとパスワードはorarioのサーバーを経由しておらず、orarioが取得・保持することはないことは第三者によって事実であることが確認されています。
                大学名や卒業予定年度、時間割の内容などの「利用者情報」は、orarioが独自に、それも任意に収集したものであり、大学のシステムから取得したものではありません。それに、これは個人を特定する情報ではないので個人情報とはいえないと思いますが、どうなんでしょうかね。
                いずれにしても、個人の責任においてorarioに登録するものであって大学とは関係ないものです。
                万一、orarioから利用者情報が漏れたとしても、個人を特定する情報ではないので、それほど心配する必要はないように思います。それでも心配な方は、ユーザ名に特定できない文字列を入れ、メールアドレスも個人を特定できないフリーのものを使うといいと思います。


                それから、以下についても誤解していると思います。
                >同大の上原哲太郎教授(情報セキュリティー)も、「学内システムは成績なども記録しており大学が管理するもの。たとえ在学生が承諾しても部外者が利用してよいものではない」

                部外者が利用するのではなく、あくまでorarioを利用するのは学生自身です。
                orarioは大学のシステムにアクセスしますが、あくまで利便性向上のために使われるのであって、履修情報を提供するという大学のシステムの目的から外れた使われ方をするものではありません。

                >でもこれ、js も含めて Orario の著作物なんだから、これって禁止って言ってたリバースエンジニアリングでは?
                >本来、アプリと orario のサーバー間で秘匿されてる情報だし、
                >これが OK なら apk 解析も OK なんじゃ?

                ネット上で見れるということは、秘匿されているわけではないので、解析してOKです。
                Orarioは、javascriptを公開していることになりますが、それは自社サーバに情報を送信していないことを公にする目的もあると思います。
                アプリ内やサービス内の説明から外れる動作をすれば不正指令電磁的記録になります。
                なので、yasuoka氏の「画像取得のurlにアカウント情報を入れたらサーバに送信できる」可能性についてはありえないのです。
                そんなことやったら、マルウエア認定されて即アウトです。
                OrarioはJavaScriptを公開することで潔白を常に示そうとしているのです。
                親コメント
              • by uxi (5376) on 2017年05月06日 4時52分 (#3205745)

                本来、大学関係者たりえない Orario が、社内からアクセスしてくるはずはないし、
                Orario は JavaScript を(積極的に)公開はしてない(むしろどちらかといえば秘匿している)わけで、
                そこの説明責任を果たす必要があるということを自分は言ってつもりなんだけどなぁ

                通常、アカウントの貸し借りはするなと教えられてるはずだし、
                特に商業目的のそれについては、規約上制限があってもおかしくない。
                だからこそ、各大学から、警告文が出る事態になっている。

                不正アクセスが法律用語としてセンシティブなのは理解出来るし、
                おっしゃることはごもっともとは思うのだが、
                ではあれを
                「先月までのアクセスについて納得の行く説明がない場合、不正アクセス禁止法で告訴する準備がある」とか
                「先月までのアクセスについて納得の行く説明がない場合、不正アクセスとみなさざるを得ない」とか書かれていたならどうなのか?
                「殺す」って書くのと「糞腹が立った」って書くのと、
                よほどのキチガイでもない限りは、
                前者を書いても意味合い的にはまず後者のはずなんだけど、
                まぁ、警察は動くよね。
                そこはコンセンサス取れてると思うけど、
                「不正アクセス」でそのコンセンサス取れてるかというと、
                多分自分が知ってる範囲だと、今回の件が始めて。
                「不正アクセスを繰り返していて」を
                「殺人を繰り返していて」に
                すんなりと読み替えて、
                同じ重みで評価している人がどのくらいの割合いるのかはよく分からないし、
                少なくとも、自分はそうじゃなかった。

                この件に関しては、これ以上自分が何を言っても水掛け論なので、
                やるなら、「スラド国民投票」で
                https://srad.jp/~yasuoka/journal/611343/ [srad.jp]
                の「不正アクセスを繰り返していて」で言う「不正アクセス」は
                ○不審なアクセス
                ○不正アクセス禁止法の要件を満たす犯罪行為を疑っている
                ○不正アクセス禁止法の要件を満たす犯罪行為と断定している
                ○何それおいしいの?
                とか
                「不正アクセスを繰り返していて」と「殺人を繰り返していて」は
                ○法律用語的な解釈では同義だが、日常感覚的な解釈では違う
                ○法律用語的な解釈でも、日常感覚的な解釈でも同義
                ○何それおいしいの?
                とか聞くくらいしか思いつかないが、
                聞き方を工夫しないと有意な回答が得られない気がする。

                ただ、少なくとも Orario 関係者であれば、
                あれが何を指しているかは理解出来るだろうし、
                サービス性質及び長期的に安定供給を考えた場合
                開発用アカウントの調達問題は
                ビジネスのコアロジックにおける最大のリスクとして認識してないといけないはず。

                ネットに公開されてれば OK ってのは、
                その論法が通るなら、
                apk だって、ネットに公開されてるし解析して OK になる

                https は暗号化されているんだから、
                これの解除は DVD 等で言うところの複製防止機能等の解除扱いと同等の行為という主張は十分に可能だし
                むしろ apk の方が暗号化とか何も施されてないんだから裸も同然

                不正指令電磁的記録については、
                その説明が意図的に錯誤を狙っていてもそう言い切れるかは疑問
                実際、弁明の資料では、IDとパスワードと言っていて、
                報道にある Orario 向きのその他のデータの矢印は
                意図してかしなくてかは知らないが示されない状態であった。
                自分の指摘の出発点もそこにあったはず。

                ワンクリック詐欺とかの案件では
                錯誤による契約は無効であると言われるが、
                現実問題としてソフトウェアの利用規約を読み正しく理解した後に
                同意をクリックしている利用者がどれほどいるか?
                あの図は、そういう意味ではかなり重要な役割を担った図のはずで、
                そこは、誤魔化す気はなかったとしても、省略するのも不誠実でしょって思う。
                安心させたいための資料なのに、本来あるべきはずのものがないと、
                不安を持っている人からすれば、えー?ってなる。
                無用な心配をさせないようにとか思って省略したのかもしれないけど、
                余計な配慮はしちゃ駄目。
                あるものは、あるがままに書かないと。

                いろいろと示唆に富む話だな。

                --
                uxi
                親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...