アカウント名:
パスワード:
今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、「Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。
Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。Orario の従業員8名(バイ
やましいことなければ、堂々と名乗るだろうし。第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。エビデンス示せないなら Orario が無能ってだけだ。新規ID取ってまで指摘することじゃない。
横から失礼します。証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、現時点の動作がホワイトであることは証明されていないと考えます。
また、不正があった証拠を示さないことを理由に「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは正に自分が批判している行為を自分で行われているようにも思えます。
とりあえず、もう少し落ち着いては如何かと思います。
そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。誠に本当に申し訳ありません。
pharmer 氏の指摘
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。
また、pharmer 氏の指摘
現時点の動作がホワイトであることは証明されていないと
mala氏の解析時の事を現時点と呼ぶことには同意できません。
また、mala氏の解析時にホワイトであったことをもってそれ以降の動作もホワイトであろうとの推測には同意できますが、それ以前の動作もホワイトであったとの推測には同意できません。
Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に、yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。
蛇足ですが、私は Orarioにより IDとパスワードを正規のログイン画面以外に入力することに抵抗のない学生が発生する事を憂慮しています。
>>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に>これがわからないですね。>Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。>スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?>不自然な仮定には意味がありません。
一般にソフトウェアの設計・実装は徐々に改善していくものです。そのため、過去の実装において実際には必要のない不正アクセスを行う実装が行われたとの仮定はそれほど不自然では無いと考えます。
また、私には
>不正アクセスって犯罪ですよ?>犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
不正アクセスが犯罪なのは承知していますし、必要もないのに犯罪を犯したと仮定するのが不自然なのも理解できます。
ただ、業務妨害や名誉棄損も犯罪です。yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。
証拠を出すべきだとの意見もありますが、証拠をネットに上げるのではなく必要になったタイミングで警察等に引き渡す方がより適切な手続きなのではないかと考えます。
>mala氏は、orarioが説明どおりに動いており、サーバに学生アカウントが送信されていないことを確認すると同時に、>クライアント側だけでJavaScriptによって処理するように工夫されていることについて、>「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないといった旨の主張をされていました。
mala氏はその様なことを言っていません。
mala氏と同様な解析を実施した mage(まげ)氏の以下の発言に対して、
「リスクはサーバ側で大学アカウント保持するのと大差無い」
『自分は「大差ない」とは思わない。』と言っています。
stkzkさんの今回の発言は、mala氏の説明に対する誤った解釈に依拠しており全体的におかしなものになっている様に思えます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
リテラシーって難しいな。 (スコア:3)
今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、
「Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。
Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。
それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。
Orario の従業員8名(バイ
uxi
Re: (スコア:1)
Re: (スコア:1)
IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:2)
やましいことなければ、堂々と名乗るだろうし。
第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。
エビデンス示せないなら Orario が無能ってだけだ。
新規ID取ってまで指摘することじゃない。
uxi
Re: (スコア:1)
いいえ。
少なくとも、Orarioの現在既に動いている状態については、解析してその動作についてホワイトであることは「第三者」によって証明されたのです。
しかし、無いものは第三者によっても証明できない。これは悪魔の証明ですからね。
教授は「少なくとも先月以前」に怪しい動きが「あった」と主張しているんだから、1つでいいからきちんと不正であることを示してもらえればいいだけの話しです。あるというのだからあるんでしょう。それを示して
Re: (スコア:2)
横から失礼します。
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
現時点の動作がホワイトであることは証明されていないと考えます。
また、不正があった証拠を示さないことを理由に
「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは
正に自分が批判している行為を自分で行われているようにも思えます。
とりあえず、もう少し落ち着いては如何かと思います。
Re: (スコア:1)
証明されたのは、「現時点の動作がホワイトであること」が証明された(https://gist.github.com/mala/f2b7659f78bb396bf1eb6788be38a72d)のであって、「Orarioが第三者の解析時にはホワイトであった」ことは証明されていません。
教授は解析時に不正があったと主張されているのですが、その証拠はいまだに示されていないので、私は嘘だと思っています。
もう可哀想で見てなれない (スコア:3)
そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、
旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。
また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。
誠に本当に申し訳ありません。
pharmer 氏の指摘
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。
また、pharmer 氏の指摘
現時点の動作がホワイトであることは証明されていないと
uxi
Re: (スコア:1)
mala氏解析により現時点の動作がホワイトであることが証明されたと同時に、それ以前(またはそれ以後も)においても、Orarioが解析時に不正アクセスをする合理的な理由がないので、なかったのではないかと申し上げているのです。
スクレイピングが目的であったとしても不正アクセスする必要がないのですから、敢えてリスクを犯さなくてもいいでしょう?犯さないでいいリスクは犯さない。そう考えるのが自然なのです。じゃあ逆に質問ですが、敢えてリスクを犯す理由は何でしょうか?不正アクセスをする理由とか動機を説
Re: (スコア:1)
mala氏の解析時の事を現時点と呼ぶことには同意できません。
また、mala氏の解析時にホワイトであったことをもって
それ以降の動作もホワイトであろうとの推測には同意できますが、
それ以前の動作もホワイトであったとの推測には同意できません。
Orarioが解析時に不正アクセスを行う実装から、
不正アクセスを行わない実装へ修正されたと仮定した場合に、
yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、
yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。
蛇足ですが、
私は Orarioにより IDとパスワードを正規のログイン画面以外に
入力することに抵抗のない学生が発生する事を憂慮しています。
Re: (スコア:1)
これがわからないですね。
Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
不自然な仮定には意味がありません。
そんなこといいだしたら、あなただって不正アクセスしたといわれたら反論できなくなりますよ。言っている意味わかります?
yasuoka氏が突然、あなたから不正アクセスされたといったと仮定します。不
Re: (スコア:1)
>>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
>これがわからないですね。
>Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
>スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
>不自然な仮定には意味がありません。
一般にソフトウェアの設計・実装は徐々に改善していくものです。
そのため、過去の実装において実際には必要のない不正アクセスを行う実装が
行われたとの仮定はそれほど不自然では無いと考えます。
また、私には
Re: (スコア:1)
犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
繰り返しですが、犯罪が行われたとする仮定は、証拠がないとやってはいけないのです。ましてや、orarioには理由も動機もない。
疑うのは勝手ですよ。しかし、yasuoka氏がやっているように仮定をもとに犯罪者ときめつけ、単位を取り消すとする行為はやりすぎです。また、その行為が正しいとするなら、それを学んだ学生もまたその行動が正しいのだと考えるでしょう。
Re: (スコア:1)
>不正アクセスって犯罪ですよ?
>犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
不正アクセスが犯罪なのは承知していますし、
必要もないのに犯罪を犯したと仮定するのが不自然なのも理解できます。
ただ、業務妨害や名誉棄損も犯罪です。
yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。
証拠を出すべきだとの意見もありますが、
証拠をネットに上げるのではなく必要になったタイミングで
警察等に引き渡す方がより適切な手続きなのではないかと考えます。
Re:もう可哀想で見てなれない (スコア:1)
>yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。
yasuoka氏の言動から不自然ではないと私は感じています。
事の重大さに気づかず勢いで言っちゃたんんじゃないかな?
あなたがおっしゃるように、業務妨害や名誉棄損も犯罪なのですが、いまの時点でも自分が犯罪を犯そうとしていることに気づいてないのでは?
このままだと、あんたはクビになりますよ!って警告しているんですが、本当にわかっているんでしょうかねえ。心配です。
Re:もう可哀想で見てなれない (スコア:1)
mala氏は、orarioが説明どおりに動いており、サーバに学生アカウントが送信されていないことを確認すると同時に、クライアント側だけでJavaScriptによって処理するように工夫されていることについて、「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないといった旨の主張をされていました。
間違いを恐れずに例えていえば、金庫の中に格納するので安全という感じです。(若干違うけど、まあ、そんな感じ)
またこれは、orarioが大学アカウントを保持しないと宣言し、こういった安全策を講じているという事実が重要なポイントです。
でも、鍵をorarioがもっていたらいつでも金庫を開けることができるし安全ではないよね?という指摘に対しては、金庫を開けることはJavaScriptを見たらわかるので隠しようがないし、それを検証できるようにしている時点でサーバで管理するよりは安全だ、という反論ができます。さらに、CSPにすることでサーバにアクセスできないようにする、つまり技術的に金庫を開けなくすることも可能ともいっています。
ちなみに、サーバに情報を送信することが法に触れるとか、そういう前提ではありません。
MoneyForwardやfreeeではサーバで管理していると思われますが、何か問題になっているわけではないです。
あくまで、サーバで管理するよりは安全だといっているにすぎません。サーバに送信しないことでより安全性を高める努力をorarioがしているということであって、実際にmala氏たちによってその事実が確認されているということなんですね。
それに対して、yasuoka氏は、画像取得などのURLにアカウント情報をつければサーバに送信できるとかいっています。
いや、そういう話しじゃないでしょ?この人はバカなんじゃなかろうか?と私は思いましたね。
この人なら勢いで犯罪犯すわと。
皆さんはどう思われましたか?
Re:もう可哀想で見てなれない (スコア:1)
>mala氏は、orarioが説明どおりに動いており、サーバに学生アカウントが送信されていないことを確認すると同時に、
>クライアント側だけでJavaScriptによって処理するように工夫されていることについて、
>「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないといった旨の主張をされていました。
mala氏はその様なことを言っていません。
mala氏と同様な解析を実施した mage(まげ)氏の以下の発言に対して、
「リスクはサーバ側で大学アカウント保持するのと大差無い」
『自分は「大差ない」とは思わない。』と言っています。
stkzkさんの今回の発言は、mala氏の説明に対する誤った解釈に
依拠しており全体的におかしなものになっている様に思えます。
Re:もう可哀想で見てなれない (スコア:1)
それは、「orarioがクライアント側で動くJavaScriptコードを検証できる形にしているので安全性を高めるうえで意味があること」ということ理解したので、https://srad.jp/comment/3202117 のmala氏のレポートのポイントの3)にまとめています。
この内容のどこが誤った解釈になりますか?間違っている部分は訂正しますが。