パスワードを忘れた? アカウント作成

こちらは、uxiさんのユーザページですよ。 ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

13282474 comment

uxiのコメント: なる程、第8条(1)より(4)が決定的なんですね (スコア 1) 27

stkzk氏は、相変わらず理解する気が無いみたいですが、
スクレイピング自体は問題なくて
・ユーザーが自分でスクリプトをダウンロード→内容確認する機会→実行
はOKだけど、
・アプリが勝手にスクリプトをダウンロード→実行
だと駄目なんですね。

(1)は、ビューアって認識なら通常のwebブラウザ(のパスワード管理機能)と同格に扱うという判断が可能だったとしても
(4)はせめて、
・アプリが更新されたスクリプトのダウンロードを提案→内容確認する機会→実行
くらいにはなってないとこれはクリアできないですね。

この辺は、第三者に非公開のシステム相手にしてる事でいろいろと揉める原因にもなっているので、
時間割アプリでアプリ内に閉じるのはあきらめて
時間割機能(Orario 本来の機能)
+スクレイピング処理がオープンになってる汎用スクレイピングエンジン
+手動または半自動でダウンロードして使う各大学用のスクレイピング用スクリプト
って構成の方が、
汎用のwebブラウザと同格扱いにも出来て良いんじゃないかって気がしてきました。

透明性も高まるし、
スクレイピング障害の対応についても、
リテラシー高いユーザーからのフィードバックでの対応も可能になりますからね。
まぁ、豚の餌を好き好んで喜んで食べようって人には分からないんでしょうけど。

13278683 comment

uxiのコメント: その議論をはじめると、高度に法律的な判断が求められるぞ (スコア 1) 27

ひろみちゅ先生もそこはちゃんと分かってるから、しっかりと予防線張りながら問題な点とそうでない点を指摘されているじゃないか。
ちゃんと読もうよ。
・企業のイントラをスクレイピングするする際は、「どうやってその完成形を開発したのかが問題となる」と指摘しており、社員本人によるスクレイピングの開発は「何ら問題がない」と明言しているが、社外の第三者による開発については言及していない。
・不正アクセス禁止法 第二条 4項 一号において「当該識別符号に係る利用権者の承諾を得てするものを除く」とはされているが、その承諾行為そのものがアクセス管理者により禁止されていた場合については言及されていない。
・京都大学では「京都大学全学情報システム利用規則 」第8条(1)において「自分の全学アカウントを他の者に使用させたり、他の者の全学アカウントを使用したりしてはならない」という事を「全学アカウント利用の遵守すべき事項」として挙げている。

つまり、京都大学の公式のスタンスとしては、そういう開発手法は禁止しますと明言していると言っても良い。
自分は、以前に「違法に入手した捜査資料は証拠能力がないのと同じ文脈」という指摘をしたが、
まさに、Orario のアプリは、京都大学に禁止されたアクセス手段を用いて開発されているわけだ。
ただし、それが法律用語としての不正アクセスと言えるかどうかは微妙だけどね。
この状況を、法律に照らして厳密に議論する場合、結論を出せるのは法廷のみであり、裁判所の判断が存在しない状況においては、「可能性がある」という表現以上の指摘は誰にも出来ないはずなのだが?

大学の教授を(匿名で)吊るし上げて楽しむのはさぞや楽しいのだろうな。君たちは。

13272370 comment

uxiのコメント: Re:言葉は難しいですね (スコア 1) 60

by uxi (#3205745) ネタ元: OrarioのJavaScriptの可能性

本来、大学関係者たりえない Orario が、社内からアクセスしてくるはずはないし、
Orario は JavaScript を(積極的に)公開はしてない(むしろどちらかといえば秘匿している)わけで、
そこの説明責任を果たす必要があるということを自分は言ってつもりなんだけどなぁ

通常、アカウントの貸し借りはするなと教えられてるはずだし、
特に商業目的のそれについては、規約上制限があってもおかしくない。
だからこそ、各大学から、警告文が出る事態になっている。

不正アクセスが法律用語としてセンシティブなのは理解出来るし、
おっしゃることはごもっともとは思うのだが、
ではあれを
「先月までのアクセスについて納得の行く説明がない場合、不正アクセス禁止法で告訴する準備がある」とか
「先月までのアクセスについて納得の行く説明がない場合、不正アクセスとみなさざるを得ない」とか書かれていたならどうなのか?
「殺す」って書くのと「糞腹が立った」って書くのと、
よほどのキチガイでもない限りは、
前者を書いても意味合い的にはまず後者のはずなんだけど、
まぁ、警察は動くよね。
そこはコンセンサス取れてると思うけど、
「不正アクセス」でそのコンセンサス取れてるかというと、
多分自分が知ってる範囲だと、今回の件が始めて。
「不正アクセスを繰り返していて」を
「殺人を繰り返していて」に
すんなりと読み替えて、
同じ重みで評価している人がどのくらいの割合いるのかはよく分からないし、
少なくとも、自分はそうじゃなかった。

この件に関しては、これ以上自分が何を言っても水掛け論なので、
やるなら、「スラド国民投票」で
https://srad.jp/~yasuoka/journal/611343/
の「不正アクセスを繰り返していて」で言う「不正アクセス」は
○不審なアクセス
○不正アクセス禁止法の要件を満たす犯罪行為を疑っている
○不正アクセス禁止法の要件を満たす犯罪行為と断定している
○何それおいしいの?
とか
「不正アクセスを繰り返していて」と「殺人を繰り返していて」は
○法律用語的な解釈では同義だが、日常感覚的な解釈では違う
○法律用語的な解釈でも、日常感覚的な解釈でも同義
○何それおいしいの?
とか聞くくらいしか思いつかないが、
聞き方を工夫しないと有意な回答が得られない気がする。

ただ、少なくとも Orario 関係者であれば、
あれが何を指しているかは理解出来るだろうし、
サービス性質及び長期的に安定供給を考えた場合
開発用アカウントの調達問題は
ビジネスのコアロジックにおける最大のリスクとして認識してないといけないはず。

ネットに公開されてれば OK ってのは、
その論法が通るなら、
apk だって、ネットに公開されてるし解析して OK になる

https は暗号化されているんだから、
これの解除は DVD 等で言うところの複製防止機能等の解除扱いと同等の行為という主張は十分に可能だし
むしろ apk の方が暗号化とか何も施されてないんだから裸も同然

不正指令電磁的記録については、
その説明が意図的に錯誤を狙っていてもそう言い切れるかは疑問
実際、弁明の資料では、IDとパスワードと言っていて、
報道にある Orario 向きのその他のデータの矢印は
意図してかしなくてかは知らないが示されない状態であった。
自分の指摘の出発点もそこにあったはず。

ワンクリック詐欺とかの案件では
錯誤による契約は無効であると言われるが、
現実問題としてソフトウェアの利用規約を読み正しく理解した後に
同意をクリックしている利用者がどれほどいるか?
あの図は、そういう意味ではかなり重要な役割を担った図のはずで、
そこは、誤魔化す気はなかったとしても、省略するのも不誠実でしょって思う。
安心させたいための資料なのに、本来あるべきはずのものがないと、
不安を持っている人からすれば、えー?ってなる。
無用な心配をさせないようにとか思って省略したのかもしれないけど、
余計な配慮はしちゃ駄目。
あるものは、あるがままに書かないと。

いろいろと示唆に富む話だな。

13265341 comment

uxiのコメント: 言葉は難しいですね (スコア 1) 60

by uxi (#3202350) ネタ元: OrarioのJavaScriptの可能性

いろいろとありがとうございます。

安岡先生は「不正なアクセス」とでも書いてくれてれば良かったのかな?

自分も、
不正アクセス禁止法で定義された不正アクセスと
その成立要件は一通り存じておりました。

その上で、
安岡先生のあの書き込みを見て、
強い憤りまでは読み取れたんですが、
明確に犯罪として告発する意志、
言い換えれば裁判もいとわないという意志までは
読み取る事が出来なかったんですね。

確かに字面だけ読めば犯罪の告発とも読めるんですけど、
ここは所詮は場末の雑談サイトですから、
逆に行間しか読んでなかったと言いますか。

ですので、自分が論点にしていたのも犯罪か否かではなくて
Orario は出してる資料がいろいろとおかしいし、
ちゃんと説明責任を果たすべきだろという点になっいたと思います。

疑わしきは罰せずと言いますが、
それ以前に、疑わしいのは使っちゃ駄目だぞと。
疑いが晴れるような説明をちゃんとしてよねと。

蓋を開けてみると、なる程なという感じですが、
新聞報道を見ると、
どうもアカウント貸しのような事が行われていたような事を伺わせる発言(在学生の協力)があって、
そうすると、安岡先生の「少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。」という発言は、
アプリではなく Orario 社内の PC から直接スクレイピングを行っていたという事実が
ログに残っていたと仮定すれば、大変納得が行きます。

アプリからしかアクセスしないと言っているのに、
Orario からのアクセスがあったのは説明と異なるだろうと。
これはつまり、Orario が説明責任を果たせてないんですね。
しっかりと足跡まで残しているのに、それについて言及してなかった。

今回の報道で、納得だれたのかどうかは分かりませんが、
Orario からのアクセスでログに残っているユーザーが1名なら、
しぶしぶだとしても納得せざるを得ない内容にはなってると思います。
しかしユーザー数が圧倒的に多数にのぼった場合、まだ納得は出来ないだろうなと。

>少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
こちらも、誤解されているような気がします。
スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。
ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。
スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。
この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。

ここは、相変わらず話がかみ合っていませんが、
それは、完成品の話です。
開発時にプログラマーは、下の地図が黒塗りだと、アクリル板に道筋を描けません。
下の地図が空けて見えている必要があります。
つまり、地図を手元(つまり Orario 社内)に持ってくる必要があるんです。
それはどうするんですかと。

それは完成品をいくら評価しても駄目で、
ある日、サーバー側の変更で未完成品に成り下がってしまった場合に、
再度必要なるんだけどどうするんですかと。
そこの安心材料を示さないと駄目でしょと。

それは上の新聞報道において、「在学生の協力」という曖昧な表現で一応は示されたので、
協力者のアカウントでやったんですねという理解は可能にはなったんだけど、
その協力者が協力可能なのは在学中限定なので、卒業した後、後任が確保出来なかったらどうするんですかと。
それはサービスの継続性という、ユーザーの利便性にも繋がるんですが、
プライバシーポリシーでは

基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名、メールアドレス、パスワード
その他登録情報: プロフィール写真、クレジットカード情報
端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴、起動日時、広告表示、閲覧した情報

を利用者情報として取得し「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に利用すると書いてあって、それは非常手段として Orario 社に送ると言う意味ですか?という点ではまだ疑問が残るわけです。
上の新聞報道を見ると、

また学生がアプリを利用する場合は、大学名や卒業予定年度、時間割の内容などの「利用者情報」が同社に送られる。

と明記されていて、弁明には無かった Orario 社に向かう矢印もちゃんと明記されているので、
この説明なら説明としての整合性は取れてて異論はないんですけどね。
残念なのは、これをちゃんと Orario が自分自分で用意出来なかったこと。

「学生IDとパスワードは当社のサーバーを経由しておらず、当社が取得・保持することはない」と言っちゃった手前、
流石にそこ破ったら不正指令電磁的記録って、mala 氏も指摘してますし、最低限そこだけは守られるんでしょう。
でも、スクレイピング結果はアプリからまるごと送られちゃうんだろうなと。
もっと言えば、ユーザーがアプリを立ち上げなくても、
障害対応の名目ならバックグラウンドでスクレイピング結果だけ Orario 社に送りつけても多分問題の無いプライバシーポリシーですねと。

それはプライバシーポリシーには書いてあるんだから合意の上って意味では仕方ないんだけど、
学生がそれをちゃんと認識しているかどうかという点ではまた別の問題が起こり得るかもしれません。
まぁ、ここまで分かってて使うなら、その先はもう自己責任なので、それは仕方がないんですけど。

あと、mala 氏の資料で挙げられてる @mage_1868 氏(CTF1位凄!!!ってどう見てもスコアがおかしいんだけど流石に4月馬鹿ネタだよね?)の資料で一つ安心したんですが、
orario の js 配信サーバーがちゃんと https になってますね。
もっとガバガバかと思ったら意外とちゃんとしてた。

おかげで、mala 氏の言う js が検証可能は https を MITM でキャプチャして解析とかあまり万人向けだとは思えませんけど。でもまぁやる気があれば出来る。
でもこれ、js も含めて Orario の著作物なんだから、これって禁止って言ってたリバースエンジニアリングでは?
本来、アプリと orario のサーバー間で秘匿されてる情報だし、
これが OK なら apk 解析も OK なんじゃ?
という疑問。
個人的には、自分の端末の安全を確認するのは当然認められるべき個人の権利だろと思うけど。

これ、通信先は Orario サーバーだけなので、
やる気になれば、アプリ側で MITM 検出してエラーで弾けるはずだけどなー。

13265047 comment

uxiのコメント: 報道資料ありがとうございます (スコア 1) 232

関係者や有識者からコメントを取り、危険性や問題点についてもきちんと指摘されていますし、
Orario の弁明には無かった、アプリ→Orario の向きの矢印もちゃんと入っていて、
今回の問題を中立的な立場からコンパクトにまとめた良い記事だと思いました。

「在学生の協力」は具体的に方法という点ではちょっと微妙過ぎる表現ですね。
依然として、憶測を交えるしかありませんが
少なくとも最低ラインの説明責任は果したかなという気はします。
協力についての募集要項のような物が示せるならなお良いですが、
「実際に採用したかどうかまで検証しないと」等と言い出せば切りがないので
自分はそこまでは言おうとは思いません。

あと、記事中に

「開発段階では時間割の表示に必要な情報しか見ていない。アプリの安全性を事前に大学側に説明すべきだった」と話す。今後は機能の追加や課金を計画しているという。

とあったのですが、
若干残念に思われた点として、以下の3点を挙げておきます。

・1点目として、Orario に求められるのは、単に(Orario の主観に基づく一方的な)安全性の説明ではなく、大学との対話であり、きちんと大学の理解を得る事であること。しかしこのコメントだと、その認識を認める事が困難であること。
・2点目として、今後の計画で言う課金には、ノート売買の仲介手数料業務も含まれており、モラル及び著作権等の観点で再度問題が再燃する可能性がくすぶっている事。記者の方は一言触れてくれると良かったのかなと。
・3点目として、Orario の広報が相変わらず仕事しておらず、この報道資料を有効活用してないこと。もう少し積極的に客観的な資料に基づく説明責任を行った方が良いでしょう。

13264605 comment

uxiのコメント: Re:おっしゃる事はごもっともです (スコア 1) 60

by uxi (#3201897) ネタ元: OrarioのJavaScriptの可能性

1) は、自分他数名の方が指摘していますが、情報セキュリティ関連の講義であれば、orario の問題点を指摘出来ないような場合、単位認めていいのかって疑問が生まれる可能性はあるかもしれません。#3196935

2) は、法律上定義された犯罪としての狭義の不正アクセスについて、確実な証拠があるなら何ら後日裁判等で示せば何ら問題はないでしょう。ないなら補足なり訂正は必要でしょうけど。

安岡先生が危惧されている点は
#3197937
京都大学のシラバスとOrarioの匿名加工情報
Orarioに対する営業妨害と非識別加工情報
で書かれていますが、
多分、無料アプリである Orario がビジネスモデルを明示してない点も疑念を抱かれる原因の一つで、
本人の同意の上とは言え、京大のシステムから個人情報抜き出して営利活動に利用する気なら
独立行政法人等非識別加工情報をその用に供して行う事業に関する提案書
出すのが筋じゃね?ってのは当然の主張のように思えます。

あと、この件とは直接関係ないかもしれませんが、
経営学部4回生・芳本大樹さんがビジネスプランで経済産業大臣賞受賞
を2016年3月10日付けで受賞してるのに、既に現時点で
i-generations
http://i-generations2014.com/
は共に破棄されてちゃってるんですよね。
WHOIS しても空き地になってる
https://www.whois.com/whois/i-generations.com
https://www.whois.com/whois/i-generations2014.com
Facebook の https://www.facebook.com/i.Generations
はかろうじて残ってるんですけど。
所在地は
〒530-0017 大阪府大阪市北区角田町1番12号 阪急ファイブアネックスビル11F
なので、看板すげ替えただけなんだとは思いますが
事業としては完全に Orario に乗り換えたようです。

13264218 comment

uxiのコメント: ダウト (スコア 1) 60

by uxi (#3201711) ネタ元: OrarioのJavaScriptの可能性

それには疑義があります。
プライバシーポリシーではかたっぱしから取得するような事が書かれています。

嘘を言っているとまでは言いたくありませんが、
その点の齟齬について全く説明責任が果たせていません。
スクレイピングの仕組みと開発方法、Orario 社の開発体制から考えれば、その弁明は明らかに何かがおかしいです。

13264208 comment

uxiのコメント: Re:おっしゃる事はごもっともです (スコア 1) 60

by uxi (#3201707) ネタ元: OrarioのJavaScriptの可能性

なる程、かみ合ってない理由がなんとなく分かった気がします。
不正アクセスて言葉の定義が違うんですね。
stkzk さんは法律上定義された犯罪である狭義の不正アクセスのみを言ってて、
自分は、もっと緩く、不適切なデータの取得を意識してるので、
そこが齟齬の原因ですかね?

かつ、自分の論点は、
開発者が本来アクセスし得るはずのないデータが
開発及び保守の際に絶対に必要であり、
そこの部分の透明性がないことを問題視しているんだけど、
stkzk さんはそれは狭義の不正アクセスの要件を満たすことなく取得可能でしょって言ってるのかな???

tは優秀なプログラマーがいれば問題はない気がします。

というのはどういう根拠でそうおっしゃられているんですか?
Orario の説明では、
時間割アプリの「Orario」の特性と安全性について
において、アプリや京大のサーバーから
Orarioのサーバーに向かうデータはないことになっているんですが
少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
しかし、ここの部分の合理的な説明がない。
片やプライバシーポシリーでは、ID、パスワード、その他諸々、「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」収集しますよと言ってる。
一貫性もないし、説明責任が果たせていない。

mala氏は、へー、有名な人なんですね。知らなかったです。
てっきり Orario がリリースしてる18大学のうちのいずれかの学生さんだとばかり。
まぁ、LINEの中の人だと、多分学生さんじゃないので、どうやって大学と通信した?IDとパスワードはどうした?って話なんですけどね。

自分は、あのレポートには読みはしましたが全く価値を見出してなかくて、あまり気に留めてなかったのですが、改めて読み直してみると妙に違和感しか残らないんですよね。
まず、

通信をキャプチャして調べた。似たようなことをしている人が既にいて仕組みについてはサービス提供者側が説明されているとおりだった。

って書いてあって、これ mala 氏本人の解析じゃなくて、多分別の人の解析結果(と思われるツイート)に関する感想なんじゃないの?って。
次に、

自分は「大差ない」とは思わない。アプリ内においても、サービスの説明においても、Appが大学サーバーと直接通信を行うことは説明されているので、この説明から外れる動作をすれば不正指令電磁的記録になるだけだ。ちゃんと法的な縛りがある。

とまで言っているのに、開発・保守の際に絶対に必要となる、Orario へのアップロードの事を全く考慮してないんですよね。え?それも不正指令電磁的記録扱いってことにして良いんですか?と。
Orario は前述の通り ID、パスワード、その他諸々、収集しますって言ってますよと。

13264075 comment

uxiのコメント: えー (スコア 1) 60

by uxi (#3201612) ネタ元: OrarioのJavaScriptの可能性

なら、もう少し書きようもあるでしょう。
確かに annonynrm 氏の可能性も考慮してはいたが、
断定だけは避けて書いてたつもりなのになー。

とりあえずは自分が言ってること、まず振り返って欲しい。
あなたの ID 取っての一言目って、「裸の王様であり、井の中の蛙」だよ?
建設的な意見交換したいなら、
出会った第一声で、こんなこと言うべきじゃなくね?
それは最初っから議論を放棄してる表明では?
てっきり煽って炎上ねらってるんだと思ったよ。
だから期待に答えてあげたに過ぎないわけだけど、
建設的な意見交換したかったなんてびっくりだ。
実社会はもとより、ネットでも議論にならないのは自明だよね。

自分の意見が全て正しいとは思ってないけど、
そもそも自分の意見が間違っていると
確信を持って書いている人がいるなら見てみたいよ。
少なくとも、書いた時点では正しいと思って書いてるんじゃないの?
間違いである可能性は考慮したとしてもだよ。

あなただって、あなたが正しいと思って、今のコメントを書いたんでしょ?

>自分の疑問には何一つ満足な見解を示してくださらず
については事実だよね。
論点ずらすし、聞いていることじゃない事をあえて答えるんだから
確かにかみ合うはずがない。
しかもそれについて別の新垢から
自分に対して「裸の王様であり、井の中の蛙」って攻撃が来る。
なんで、みんな論点ずらすの?
都合悪いの?って思うでしょ?
しかもみんな新垢。おかしいよね。

言ってることもやってることも。

あー、被害妄想も一応考慮してはいるけど、
少なくともID持ちがやると多分こうならないって
半分位だけど確信があるので念のため。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...