パスワードを忘れた? アカウント作成
13241636 journal
教育

yasuokaの日記: 「Orarioガラミで取得した単位は取り消す場合がある」 32

日記 by yasuoka

Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。

大学が提供する情報が散在していることによる情報の取りこぼしや、スマホ最適化が行われていないことによる不便さを解消すべく、誰もが使いやすいシームレスな大学情報と連動した仕組みを作ろうと弊社メンバーが大学在学中に開発したアプリが「Orario」です。

ふざけるな。京都大学には全学生共通ポータルがあるだろう。あれを見て「情報の取りこぼしや、スマホ最適化が行われていない」などと主張するのは、いったい全体どういう料簡なんだ? それともOrarioは、京都大学のKUMOIやMyKULINEもサポートできるのか?

Orarioアプリでは「Webオートメーション(Webスクレイピング)」と呼ばれる技術を用いています。この技術により、利用者様のスマートフォン(にインストールされているOrarioアプリ)に学生アカウント(大学ID・パスワード)を入力すると、自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得し、Orarioアプリの時間割テーブルに当該利用者様の時間割を生成・表示することができるという仕組みとなっています。

全く信用できない。少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。

弊社アプリ「Orario」について、大学関係者様の適切なご理解を賜れますよう、また、利用者様により一層安全にご利用いただけますよう努力してまいりますので、何卒よろしくお願い致します。

京都大学の「関係者様」の一人として、私個人はOrarioの使用を禁止する。少なくとも私の講義に関しては禁止する。今後「Orarioガラミで取得した単位は取り消す場合がある」ので、受講生はそのつもりで。

この議論は、yasuoka (21275)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
  • こんにちは

    > OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。

    アクセスパターンの解析結果について、興味があるので、
    嘘とまで断言されるなら、簡単にでも構わないので、
    ぜひまとめていただきたいです

    不正アプリだと主張する説得力も出ると思います。

    • アクセスパターンの解析結果について、興味があるので、嘘とまで断言されるなら、簡単にでも構わないので、ぜひまとめていただきたいです

      さて、どうしましょ。「まとめる」のと「公開する」のは、また別の話なのです。もし「公開する」と、攻撃側(この場合はOrario)は、その解析にひっかからないようなパターンに移行しちゃうので、「説得力」ごときのためにそういう危ない橋を渡るべきではない、というのが、セキュリティ屋としての私(安岡孝一)個人の判断です。どうしても知りたいなら、また、どこかでお会いした時にでも。

      親コメント
  • ポータルを使わずになぜアプリを使うのかは分析してもいいかもしれない

    • あくまで私(安岡孝一)の個人的な分析ですけど。京都大学のポータルは、基本的に学認 [gakunin.jp]を使ってます。一方、Orarioは学認を使ってません。この点を考えると、Orarioは学認技術運用基準を満たしていないか、そもそも学認の存在すら知らないか、そのあたりなのだろうと、個人的には分析してます。

      親コメント
      • うーん。
        それはOrarioを使わないという選択をしない理由であって、ポータルの代わりにOrarioを使う理由ではないような。

        iwakuralain氏が意図したところは、ポータルよりOrarioの方がとっつきやすいとか、便利にみえるとか、そういったことを分析することによって、ポータルに誘導することが可能なのではないかという、そういう意味じゃないでしょうか。

        --
        勝つて言はず、敗れて語らず、
        謙譲を崇ぶ者は君子也、怨怒を起す者は小人也。
        親コメント
  • もちろん、某社とは別の観点で。

    時間割・履修登録というだけなら個別に開講情報を入手して
    利用者からは情報とらずに選択肢に提示すればいいのか

    個人認証に学認を使うのではなく、SPとしてIdPの信頼関係のうちで
    開講情報とか利用者がログインして得られるお知らせ情報をpushすればいいのかな

    --
    見たような聞いたような・・・
    itinoe
  • by Nabew (25375) on 2017年04月20日 21時14分 (#3197301)

    Orarioの是非は興味ないので置いといて、

    > Orarioガラミで取得した単位は取り消す場合がある

    科目と全く関係ないことで単位取り消しって可能なんでしょうか。
    不正行為と断定できるほどコンセンサスが取れているとも思えないし、ヘタしたらアカハラになりませんか。

  • by annonynrm (47995) on 2017年04月19日 15時09分 (#3196317)
    安岡先生、はじめまして。

    最近はこの手のスクレイピングサービスが流行ってますね。

    冒頭で「Orarioによる不正アクセス」と書かれていますが、
    なにを根拠に不正アクセスと仰っているか興味があります。

    OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。

    また、別の方も質問をされていますが、このアクセスパターンが気になります。
    上記で「不正」とされている根拠にもよるとは思いますが、
    少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。

    私もこの手のWebスクレイピングの動向に興味がありますので、
    専門家の方のご意見を聞きたいです。

    以上、宜しくお願いいたします。

    • 根拠となるのは、もちろん京都大学のセキュリティポリシー [kyoto-u.ac.jp]です。そこそこ量があるので、しっかり読んでみて下さい。

      少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。

      サーバーログを読むのは、解析手法の一部に過ぎません。

      親コメント
      • 安岡先生、ご返信ありがとうございます。

        これはすごい量ですね・・・。
        Orarioが「不正である」「嘘をついている」とまで書かれてますので、
        せめて1つ違反しているポイントを教えて頂けませんか?

        また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?

        サーバーログを読むのは、解析手法の一部に過ぎません。

        とありますが、書かれている文章の流れでは、これを根拠に「嘘をついている」と書いているようにしか受け取ることができません。仮にこれ以外にあったとしても重要な根拠のひとつであると見えます。
        「嘘をついている」とまで書かれているわけですから、簡単でも構いませんのでその根拠をお示し頂ければと思います。

        • あのですね、annonynrmさん。私(安岡孝一)は今朝、BlackWingCatさんに対して

          どうしても知りたいなら、また、どこかでお会いした時にでも。

          と申し上げたところなんですよ。annonynrmさんとBlackWingCatさんが同一人物かどうかは、現時点の私には不明ですけど、少なくともこのコメント欄では同じ返事をするしかありません。どうしても知りたいなら、また、どこかでお会いした時にでも。

          親コメント
          • 安岡先生、ご返信ありがとうございます。

            BlackWingCatさんへのコメントは拝見しました。ただ、私は「まとめてくれ」とまでは申し上げておりません。

            あくまでも不特定多数の方が目にするインターネット上で、且つ社会的地位があり発言力のある方が本名で「不正である」「嘘である」とコメントされているわけですから、その根拠を不特定多数の方が閲覧できる場所で示す必要があると思うのです。

            それができないという事であれば、単にOrarioに対する営業妨害としてしか受け取ることができません。
            よって、元記事の発言を撤回するコメントを書いて頂くか、もしくは「またどこかで」ではなく、お忙しいとは思いますが具体的にお会いするスケジュールを決めてお話しを聞きたいと思います。

            以上、宜しくお願いいたします。
            親コメント
            • 元記事の発言を撤回するコメントを書いて頂くか

              なぜ、私(安岡孝一)が撤回しなければならないのか、この文脈ではサッパリ理解できません。どういう意味ですか?

              親コメント
              • いや、それでもやっぱり理解できないのですが。

                単にOrarioに対する営業妨害としてしか受け取ることができません。

                仮に、本件がOrarioに対する営業妨害だと無理矢理に仮定したとしても、どうしてそれがannonynrmさんに

                3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)

                会うという話につながるのか、私(安岡孝一)には理解できないんですよ。どういう意味ですか?

                親コメント
              • ああ、そこの論理性は、やっぱり私(安岡孝一)には、わからないままなのですね。では、先ほども書いた通り、どうしても知りたいなら、また、どこかでお会いした時にでも。

                親コメント
              • 流石に私設警察さんじゃないよね。どう控え目に考えても Orario の中の人でしょあなたは?

                自分も Orario の件を目にした第一印象では、真っ当な企業が提供するサービスとしては越えてはいけない一線を完全に越えてるわって思ったけど、

                また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?

                については、確かに Orario のサーバーじゃなくて、スマホにインストールしたアプリがスクレイピングしている限りにおいては、Chrome や Safari と同レベルじゃないの?って意見には一理あるかなって気はしたよ。
                いい所突いてる。論破したいなら、この方向性しかない。

                でもな、
                そりゃ、ユーザー自身が行うスクレイピングは、正当な権利であるはずだし、あるべきと思うよ。
                しかし、それがローカルのアプリとは言え、ブラックボックス化された(プロプラ)アプリだったり、ユーザーの手元を離れてどっかの企業のサーバー内で代行されてるとなると、それはちょっとセキュリティ的に筋が悪過ぎで論外なやり方であって、厳しく糾弾されて然るべきって事になるわけよ。
                まぁ、だからと言って Orario が OSS 化して身の潔白を明かすとも思えないけど、透明性のない製品・サービスで第三者がアカウントを代理使用するような設計は、セキュリティ的に最悪なわけ。そういう設計を行う時点で、それを設計した会社のセキュリティ意識が致命的に腐り切っていることをこれ以上ないくらいに明確に示しているわけさ。
                そんな企業に、IDとパスワード預けて、代理スクレイピングを許すような事態は、真っ当な感覚を持った管理者なら到底受け入れ兼ねるよね。
                普通の感覚してたら近づいちゃいけない。みんなが渡ってるからって赤信号は渡っちゃ駄目なの。念のため言っておくと黄色も止まれだからな。道路交通法では切符切られるぞ。

                仮に今出ている批判が的外れだったとしても、この件は極めて真摯かつ丁寧な説明が求められる事案じゃん。
                それなのに、その説明すっ飛ばして、真っ先に当事者からの批判を叩きに走る辺りが、既にセキュリティ的なセンスが微塵も感じられない残念な人としか言いようがないわけ。
                関係者乙って言う事すらはばかられるレベルで。

                加えて、お時間を取らせてしまい申し訳ありませんとか、謝る気どころか余計に時間取らせる気満々じゃん。
                このためだけに捨て垢取ってるしさ。
                人間性疑うわ。

                セキュリティ意識が腐ってるフレンズは頭^h人間性も腐ってるんだね。すごーい。たのしー。
                念のため言っておくけど、これ、個人批判じゃないからな。
                だって、お前、個人特定出来ねーじゃん。

                --
                uxi
                親コメント
              • この人が決定的に駄目なのは、
                安岡先生ともなれば勤め先も分かっていて、
                直接連絡付けようと思えばいくらでもつけられるのに、
                捨て垢で安岡先生から連絡もつけられない状態で文句言っておきながら、
                大学へのクレームしますとか、しゃぁしゃぁと言ってのける所。

                安岡先生は直接なら話すよと言われているのにね。
                本当、悪質。
                中の人なら、まぁ、どの面下げて話聞くんかって話だけどさ。

                一方で、私設警察なら
                一見 Orario の肩持っているようで、
                Orario の中の人臭をぷんぷん臭わせて、Orario の評判を地に落しにかかってる辺り本当悪質。
                悪意が正義の仮面を付けてる感じ。

                --
                uxi
                親コメント
              • でもまあ「営業妨害」っていう本音がチラっと見えたので、今日の私の日記 [srad.jp]で掘り下げてみました。2017年5月30日施行の「個人情報の保護に関する法律」「独立行政法人等の保有する個人情報の保護に関する法律」を知らないと、かなりわかりにくい内容なのですが、よければどうぞ。

                親コメント
              • 一点だけよろしいでしょうか。

                しかし、それがローカルのアプリとは言え、ブラックボックス化された(プロプラ)アプリだったり、ユーザーの手元を離れてどっかの企業のサーバー内で代行されてるとなると、それはちょっとセキュリティ的に筋が悪過ぎで論外なやり方であって、厳しく糾弾されて然るべきって事になるわけよ。
                まぁ、だからと言って Orario が OSS 化して身の潔白を明かすとも思えないけど、透明性のない製品・サービスで第三者がアカウントを代理使用するような設計は、セキュリティ的に最悪なわけ。そういう設計を行う時点で、それを設計した会社のセキュリティ意識が致命的に腐り切っていることをこれ以上ないくらいに明確に示しているわけさ。

                これはどうなんでしょう?
                たとえば、アメリカの一部のオンラインバンキングでは、
                銀行間のアカウントをリンクする機能があります。
                これにより残高の参照や振込ができます。
                たとえば、Bank of Americaのオンラインバンキングシステムで、
                リンクしたい銀行、たとえばCitibank NAのアカウントのログイン情報を入力します。

                たぶん、「信用度」がこの場合重要なんであって、
                技術の筋の善し悪しは消費者的には関係ないのではないでしょうか。
                (もちろん、一時トークンをOAuth的な方法で取得してリンクするのが良いのはわかります)
                悪いことはしない、というのを技術的にはできなくても、
                社会的に担保したり、資本的に担保できれば良い、という一例です。

                とはいえ、今回のOrarioにそれができるとは思いませんが。

                親コメント
              • by uxi (5376) on 2017年04月21日 12時31分 (#3197614)

                おっしゃる通りです。
                オンラインバンキングの事例は存じませんでしたが、
                言い方は悪いですが、身の程をわきまえろって事になるかと思います。

                Microsoft や Intel、RootCA 等まで含めて考えれば、
                セキュリティは結局のところ程度問題に終始ぜざるを得ません。
                需要可能リスクレベルをどこに取るかとういう話になるかと思います。

                社会的信用が確立出来てない以上、
                エビデンスを示す以外ありませんし、
                社会的信用が確立出来ていたとしても
                エビデンスは示すべきです。

                --
                uxi
                親コメント
              • カルマのせいでコメントできなければ日記にすればいいと思います

                私も技術的側面気になってますし

                親コメント
              • 長ぁ。
                とりあえず、質問の大半については、既出なので以下を参照
                https://srad.jp/~uxi [srad.jp]
                https://srad.jp/~uxi/comments [srad.jp]

                一言で言えば、セキュリティは程度問題でしかないって事。
                公式ページで自己開示もゼロに等しく、
                資本金2千万ちょいで、従業員8名(バイトを含む)のスタートアップ取るべき手段じゃない。
                オンラインバンキングについては、寡聞にして存じませんでしたの一言に尽きるが、
                #3197193 [srad.jp]によると、
                「セキュリティカードの乱数表を登録しろ」とかふざけたことぬかしてるらしくて、
                それ自体は、馬鹿か!?って思うし、知ってれば止めとけって言うけど、
                そこまで露骨に危険性が分かる状況だと、
                リスクを承知した上で利便性をしてるわけだから被害に遭っても自己責任と思うね。
                でも、被リンク先の銀行関係者なら、てめーふざけるな止めろって言うだろ?普通は。
                それは安岡先生と同じ。
                もしそうなってないなら、事前の根回しとかあったんだろう。ビジネスってそういう物。

                正直、切羽詰まった状況の現実逃避で書くには面倒過ぎるので、
                暇が出来たら真面目に返信してもいいけど、
                以上を読んでなお疑問点があるなら、
                上記の質問を改めて短くまとめてくれ。
                その方が助かる。

                --
                uxi
                親コメント
              • nnnhhhさん、ご返信ありがとうございます。

                なるほど・・・スラドのことをあまり知らず申し訳ありません。
                教えて下さりありがとうございます。

                親コメント
              • ◎二つ目
                お伺いしたいのですが、結局の所
                 (1)代理スクレイピングが悪いのでしょうか?
                それとも
                 (2)ID/パスワードを第三者が預かる前提のサービスが悪いのでしょうか?
                それとも
                 (3)上記1&2なのが悪いのでしょうか?
                論点がわかりません。

                繰り返しになるが程度問題に過ぎないが、
                仕組みの透明性、説明責任、社会的信用について
                程度を満たす水準に達してない。
                あと根回しもないと言う点で、ビジネスとしてやるには失格。

                (1) は開発者が目で見て解析しないと不可能。
                少なくとも1人以上のユーザーについては、
                取得し得るすべての個人情報を開発者が目にすることになる。
                その1人のユーザーをどう確保しているかが不明。
                サービス側の変更時における安定性にに関しての筋の悪さは
                kurema 氏が#3196949 [srad.jp]で言及している。

                (2) は最悪としか言いようがない。
                ブラウザのパスワードキャッシュもあるけど、
                あれも、信用するなという人はいるけど、
                最近メーラーにもパスワードを記憶させるなって大学の先生がいて驚いたわ。
                Google 先生の見解は過去にsrad でも話題にされた。
                Google、Chromeでパスワードを平文で確認できることに対し「アカウントにアクセスされた時点で負け」と主張 [security.srad.jp]
                FFFTP の乗っ取りの件とか、その後各種ソフトにマスターパスワードが導入された件とか、
                覚えている人は覚えているだろうけど、
                まぁ、それが必要になった時って、確かに既に手遅れな状態だと思うね。

                ◎三つ目については
                やっぱり程度問題。

                メーラーは少なくともメーカーのサーバーと情報を連携する前提じゃない。
                この点が決定的に違う。
                変な通信あればパケットキャプチャして検証も容易。
                個々のメーラーの選択については、自己責任としか。

                でも、セキュリティホール塞がないようなソフトだと、
                名指しでこのメーラーは使用禁止って言われるはず。

                Gmail は、メールサーバーなので、
                そこにあるメールはサーバ管理者からは見えるって前提だし、
                そもそも、平文なので通信経路で読まれるのは周知の事実。
                電子メールとはそういうサービス。
                それは皆分かって使っている前提。
                あとは運営の社会的信用の問題。
                問題があれば、S/MIMEなりPGPなり暗号化メール使いましょう。

                MoneyLook/MoneyForward については既に述べた。

                GoogleSmartLock/Lastpass/ロボフォーム は寡聞にして~以下略
                パスワードマネージャーについては、
                昨今の状況から言えば、利用すべきだが、
                個々のソフトでどれを選ぶべきかは慎重を要する。
                個人的には大手セキュリティベンダーか、
                OSS (可能な限り自前ビルド)を推奨するけど、
                Ken Thompson のバックドアの逸話もあるので 100% の安全はない。
                パスワードマネージャーを信用し切れない場合、
                最初か最後の数文字は手入力にするとか
                パスワードの前半の後半2つのパスワードマネージャーに分割して保存って方法もある。
                2要素認証はするべき。
                パスワードレス認証については、ケースバイケースだけど、ロックなしよりはマシ。
                程度問題としか~以下略

                ◎四つ目
                GmailやGoogleDrive、Suica、Tカードの規約をご存知ですよね。
                GmailやGoogleDriveはGoogleがその中身を覗いて商売しています。Googleも非難の対象ですか?
                そのように非難すべき対象なのでGoogleのサービスは一切使わないのですか?

                非難されてるよね?知らないの?
                自分はしてないけど。

                スマホも使うよ。気持ち悪いけど。
                それは残留リスク。
                でも Google, Microsoft, Intel, Root CA に evil されるともう全世界的にお手上げ。
                彼らはそういうポジション。
                それは皆十分に分かってるはず。
                あとは程度問題だと~以下略
                資本金~中略~のスタートアップを同列に扱えと言われるなら、思い上がるな!と一喝するしかない。
                社会的な責任の重さが違い過ぎる。

                でもとりあえず、黄色は一旦停止してよく考えるべき。
                自戒の念も込めて。

                ◎六つ目
                ちなみに、独り言と思って頂ければ良いのですが、Orario的仕組みのサービスを擁護している私でも、感覚的に危なっかしい仕組みであることは理解しています。ただ、需要先行のこういう新しい流れを頭ごなしに批判して潰すのは好みません。成熟してくるとAPI化の流れが加速してくるのでしょうが、楠先生のように前向きな議論をした方が良いかと思います。
                uxiさんや安岡先生はインターネット黎明期からご活躍をされてきたのだと思いますが、黎明期にもこの手の危なっかしいhackテクニックがたくさんありましたよね。
                それらが許される土壌(というより制限が難しい)であったからこそ発展があったのだと思います。
                セキュリティ意識を高める活動は大変重要だと思いますが、新しい動きを止めるのではなくどのように発展、成熟させて行くかの前向きな議論で諸先輩方の知識を活用して欲しいものです。
                (さもなくば私も含めいつしか「老害」と呼ばれることになるでしょう:-))

                残念ながら、既に時代が変わったとしか言いようがない。
                ただし、黎明期は、許される土壌があったのではない。
                まだ緩かったのだ。悪いことする奴も、本気で悪いことはしてなかった。
                そんな危険性考えなくても、大した事されなかったし、されても大したことなかった。
                全てが牧歌的だったのだ。失われた楽園。
                バックドアを操る Ken Thompson は間違いなく窮地に降臨した神だったはずだ。
                あれを今やったら社会的に抹殺されるだろうけど。

                楠先生は楠先生に申し訳ないんだけど、Who is he? なのでポインタよろしく。

                ◎七つ目
                さらに余談ですが、もう1件頂いているコメントにも返信をしておきますと、きちんとスレッドを読んでください。
                安岡先生は「いつかどこかでお会いした時にお話ししましょう」と仰ってはいるのですが、私が具体的に会う段取りを決めましょうと申し上げたら取り合って頂けませんでしたよ。

                試してないでしょ?
                それはあなたの一方的で勝手な思い込み。
                あなたは、それを試す事すらせずに、
                一方的に大学にクレームを入れると恫喝したんじゃなかったっけ?

                先生はちゃんと連絡先も公開されてるので、
                調べればいくらでも連絡して話を聞く方法はあったはずだけど、
                つまりあなたはそれをしたくなかったんだよね?
                あなたはその結果を公表したいと言ってたのにね。
                連絡したら、やっぱり教えてもらえなかったって公表出来たはずじゃね?

                まぁ、これは自分がどうこう言うことじゃないし、
                弁明するなら自分じゃなくて安岡先生にしてねって思うけど、
                言ってることとやってることがちぐはぐ過ぎて
                本当に意味が分からないよ。

                あらら、全部答えちゃったよ orz

                --
                uxi
                親コメント
              • いや、本当、安岡先生への捨て台詞が全てを物語っていたのに、
                律儀に返してやった俺が馬鹿だったよ。知ってるなら聞くな。

                アンチまで付けて質問したくせに、
                人が律儀に答えてやったらやったで、
                しっかりディスり返してくるとか本当に屑だな恫喝君は。

                そもそもお前は一体何を語ったんだ?せめて1つくらいはプラスモデ残せ。
                くれくれ君かよ。本当に害悪だな。
                そのただ乗り体質。君のひととなりを本当によく表している。

                あと、口汚く罵った俺はともかく、安岡先生までディスってんじゃねぇ。
                取材を申し入れとか、どの口で言ってる?
                どの面下げて、安岡先生に取材すんの?とことん笑わせてくれるね君は。
                正常な神経じゃないよね?ず太過ぎてドン引くわ。
                君の正体には興味があるけど、自分が安岡先生なら絶対に会いたくない。
                サイコパス怖い。

                スタートアップだからこそスクレイピングが抱えているリスクが取れる

                とか、エビデンスの1つも示せねぇのに馬鹿じゃね?
                てか、何なの、その言葉の端々から滲み出る Orario 臭は?臭過ぎるんですけど?
                へー、あなたは Orario 関係者じゃないんだねー(白目)
                Orario は本当にこいつと無関係なら、こいつを名誉毀損で訴えるべきだろ。

                しかしまぁ、筋なんか通してる暇なんてありません(意訳)とか、よく言えたよ。褒めてやる。
                最低限の(ビジネス)マナーすら理解できないんだね。まぁ屑だし仕方ないか。
                ”信用のない弱小企業だから叩かれる”とかどこのお花畑だよ。被害妄想乙。
                人のノート売り買いしたりとか、人のシステム好き勝手突いたりとか、そういうのはフリーライダーの鏡だよ。
                あーでも、悪いと思ってないんだよね。言ってる意味が伝わらないか。ごめんごめん。

                代理スクレイピングが悪いわけでも、アカウント情報を保存することが悪いわけではない、
                (悪いけども信用力が高いところがやっているならいいんじゃない?ということだとは思いますが)

                誰もそんな事は言ってない。自分の都合のいいように拡大解釈すんな。
                自分はそんなことは言ってないから、お前にそんな曲解をされるのは極めて不本意だ。
                それだけははっきりさせておく。
                しかし、お前にこれ以上入れ知恵する気はないのであえて説明はしない。

                楠先生・・・あぁ、、、マイナンバーでご高名なあのお方でしたか。
                失礼致しました。
                Twitter は常々拝見させてもらっておりますm(_ _)m。←これ楠先生に対してだからな!!!恫喝!お前にじゃないぞ!!!

                最後に、安岡先生へ。
                こんな屑を、けしかけるつもりは毛頭なったのですが、
                こんな結果になってしまい大変申し訳ないことをしてしまいました。
                心からお詫び申し上げます。

                --
                uxi
                親コメント
              • 要は
                ”信用のない弱小企業だから叩かれる”
                ということですよね。

                これだと一般論みたいですが

                「信用がないと扱えない商材を扱ってる」
                「しかもそれを自覚してない」
                のが問題かと

                適切な例ではないけど
                学祭で模擬店(手続きは実行本部任せ)がウケたから飲食店やります、食品衛生法も保健所も知らんけど客がウマイってるからいいだろ、みたいな

                このは法律で決まってるからというのもあるけど、「第三者(保健所)が安全性をチェックしたという信用」を得るための手続きとも言える。

                ここで弱小企業とかは(要素の一つではあるが)関係ない

                uxiさんのコメント
                https://srad.jp/comment/3197297 [srad.jp]

                大学当局、特に情報系の統括部署にお伺いを立てて、相互に調整しながらやるのが筋ってもんだろう。
                ビジネスは、筋通さないとね。そりゃトラブる。
                まぁ、それをやっても印象を悪くしている最大の原因である仕組みが悪さは帳消しにはならないけど、
                大学側に手出しがないなら、生温かいアドバイスくらいはもらえたはず。
                学認とかね。

                にあるようなしかるべき手順で「(自分がいる/いた)大学当局に信用されたという信用」から広げてくとか、
                セキュリティ的に安全であること(会社サーバへは受信のみで送信していないこと)を自己説明でなく第三者機関に証明してもらうとか
                信用を得る手はあるのに。

                (ちなみに俺はこれにこうコメントした)
                https://srad.jp/comment/3197992 [srad.jp]

                なんだかんだ言って優しいな
                妙に具体的で、このアドバイス通り仕切り直せばまだリカバリが効くのではなかろうか
                まだできたての会社みたいだし、今ならまだ、学生がヤンチャしてましたが真面目になりました、で許してもらえるかも

                親コメント
              • by uxi (5376) on 2017年04月24日 0時18分 (#3199047)

                どうしても以下の1点だけは引っかかってしまった。

                MoneyForwardも始めは無許可で多くの金融機関に対応するところから始めています。

                Mnoney Forward 名指ししてるんだけど、
                これって事実だろうか?

                まぁ仮に事実だったとしても、
                Orario のように、学部卒業し立ての世間知らずなメンバーが
                顔すら出さずにスタートアップやってるのとは雲泥の差と言うか、
                2012年5月設立 [wikipedia.org]、
                2012年12月15日オープンβリリース [moneyforward.com]、
                2013年7月16日β→正式版 [moneyforward.com]、
                って状況で、少なくとも2012年12月18日時点の状況 [archive.org]を見る限り、
                金融畑でキャリアのあるメンバーが経歴と顔を晒してやっていて、
                これで事前の根回しすらないってのは常識的に考えて普通は有り得ないんだけど?

                しかも、検索した範囲では対応金融機関からは概ね好意的に受け止められている雰囲気であり、
                対応金融機関等と特にこれと言っていざこざを起こした形跡も見つからない感じである。
                更に、2014年12月19日の第三者割当増資発表 [moneyforward.com]では、
                金融機関をはじめとして名だたる企業が名を連ねるに至っている。

                まぁ、この分野、銀行側でも意識が低くて酷いところがあるとは聞いてはいるが、
                それでも、銀行側が嫌がることは少なくとも避けてんじゃね?って感じ。
                例えば、元々公式に銀行側から提供されてる API 使うとかね。
                そもそもそういうのは想定された使い方であって「無許可で対応」って言わない。

                これ、事実無根なら Money Forward がこいつに対して
                それこそ然るべき措置をせざるを得ない事案のようにも思えるのだが、
                ソース示せるんだろうか?こいつ。

                --
                uxi
                親コメント
typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...