パスワードを忘れた? アカウント作成
13254911 journal
日記

yasuokaの日記: OrarioのJavaScriptの可能性 60

日記 by yasuoka

私(安岡孝一)の一昨日の日記の読者から、「Orarioについての雑感」(2017年4月21日)というページを読んでみてほしい、との御連絡をいただいた。うー、OrarioがJavaScriptを使ってることをバラしちゃったのか…。ただ、私自身は「公開しない」旨を、4月19日の日記のコメントで明言してしまっている。なので以下は、あくまでOrarioのJavaScriptが、どういう動作をするかの「可能性」について書くことにする。繰り返すが、以下は、あくまで可能性の話である。

Orarioのサーバーからアプリに「ダウンロード」されるのは、JavaScriptのプログラムだけではない。画像も「ダウンロード」される。画面構成とかに必要だから、サイズの小さな画像がダウンロードされること自体は、不思議でも何でもないだろう。この際に、もし、Orarioがある情報(たとえば「ユーザー名」や「パスワード」)をアプリからサーバーに渡したいのなら、サーバーから「ダウンロード」してくる画像のURLの中に、その情報を埋め込めばいい。もちろん、URLとしては使えない文字もあるだろうから、ちょっとした変換をかける必要はあるが、それでもURLが少し長くなるだけで、大したことは無い。存在しない画像のURLになってしまうんじゃないか、という危惧があるかもしれないが、もしOrarioのサーバーがCloudFrontなり何なりを使っているなら、各URLごとにキックするAPIを変えられるので、とりあえず何か小さな画像をちゃんと「ダウンロード」すればいい。こうすれば、Orarioのアプリから、ある情報(たとえば「ユーザー名」や「パスワード」)を、あくまで画像の「ダウンロード」の形で、Orarioのサーバーに渡すことができる。また、ある情報(たとえば「ユーザー名」や「パスワード」)を一度に渡す必要もなく、いくつかの画像の「ダウンロード」に分割する、というのもアリである。

もちろん、これらはあくまで可能性の話でしかない、ということにしておく。あるいは、Orario側が「現在そんなことはやっていない」と抗弁する可能性もあるが、その可能性も考えて、私自身は4月19日の日記の中で「少なくとも先月以前」と書いておいたのだ。つまりOrario側が、この可能性を完全に排除したいのなら、Orarioのプライバシーポリシーから、当該情報(たとえば「ユーザー名」や「パスワード」)を文言上、完全に削除するしかない、ということである。それをOrarioがやらないのなら、そもそもOrario側は、この可能性を完全に排除する気は無い、ということだろう。

この議論は、yasuoka (21275)によって ログインユーザだけとして作成されたが、今となっては 新たにコメントを付けることはできません。
  • by uxi (5376) on 2017年04月23日 12時28分 (#3198775)

    今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、
    Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。

    Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。
    それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。
    Orario の従業員8名(バイト含む)と言う事。
    以上から導かれる極めて自然な疑問。

    通常の汎用 Web ブラウザや
    他のサードパーティー製専用ブラウザ(例えば 2ch とか twitter とか)では、
    開発者自らがユーザーになり得て、
    開発者自らがユーザー当事者として、
    開発・デバッグ出来ますが、
    Orario その仕組み上、それが不可能なんですけど、それを無視されてもねーと。

    --
    uxi
    • by yasuoka (21275) on 2017年04月23日 22時39分 (#3199007) 日記

      まあ、Orarioが、京都大学の学生を「アプリ開発の打合せ」と称して巻き込んでた「可能性」もありますし、次は東洋大学をはじめとする関東の大学が狙われている「可能性」もあります。様々な「可能性」があるんですけど、さて、どうしたらいいんでしょうね。

      親コメント
      • 流石に名指しは避けるとしても、
        具体的な仕組みを示して、問題点は何かを問うというeラーニング教材なんかが作れれば
        情報リテラシー・情報セキュリティの教材としては面白そうではありますけどね。
        情報サービスにおけるビジネス戦略的にも示唆に富みそうですし。

        言い出しっぺだけど作りたくはないなぁ。

        --
        uxi
        親コメント
      • エイプリールフールネタなんですけど、
        大学の単位を個人間で売買できるアプリ【ラクタン】を大学履修管理アプリを運営するOrarioがリリース [prtimes.jp]
        曰く

        ※4/1はエイプリルフールです。お付き合いいただきありがとうございます。
        実際にこんなサービスあったらいいなと思い、企画しました。

        だそうでして、
        学生サークルのノリは嫌いじゃないですが、
        出自であるそれをそのまま引きずってるのか、
        冗談でもこれをあったらいいとか公式で言えちゃう社風って?
        しかも、その直後の締めが講義ノート売買機能のリリース告知なので、
        これを素直にユーモアと取って良いものかどうか真剣に悩みます。

        そのうち本気で代返サービスでも始めるんじゃないかって気がしてきて
        頭の頭痛が痛い。

        --
        uxi
        親コメント
    • Orario分析中に不必要なアクセスをしないかぎり、サーバから見たら本物とOrarioのスクレイピング分析の区別はできないのでは?スクレイピングでは本物のブラウザからの通信のトレース情報だけあれば十分なので、本物の動作以外に不必要なアクセスをすることはありませんし、本物と見分けがつかないはずです。 「少なくとも先月以前」に怪しいアクセスがあったというのは別の学生のいたずらの可能性はありませんか? 解析するにはもちろん学生の協力(成りかわり)か不正アクセス(成りすまし)のどちらかで行われたのだと思いますが、成りすましの証拠が示されないかぎり、不正アクセスとは言い切れないと思います。 なお、学生の協力(成りかわり)で行われた場合、アカウントの貸し出し、もしくは、トレース情報の提供、あるいは学生自身が解析したかのどれかだと思いますが、いずれにしてもサーバ側からしたら学生自身による行為の範疇を超えないはずです。(学生の責任において行われた以上のことはいえない)
      親コメント
      • たぶん、サーバ側からしたら協力した学生を突き止めることも、不正アクセスがあったことの証明もできないのでは?学生を突き止められるのであれば本人から事情を聞けばいいし、不正アクセスの証拠があるのなら教授が示されるでしょう?それができないのが「ホワイト」であることの何よりの証拠です。 「ホワイト」=「セーフ」ではないという議論も見かけますがナンセンスです。 気持ちはわからないでもありませんが、単位を取り消すといった不当な行為に走るのではなく、潔く社会のルールに則った対応をお願いします。
        親コメント
        • やましいことなければ、堂々と名乗るだろうし。
          第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。
          エビデンス示せないなら Orario が無能ってだけだ。
          新規ID取ってまで指摘することじゃない。

          --
          uxi
          親コメント
          • >第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。

            いいえ。
            少なくとも、Orarioの現在既に動いている状態については、解析してその動作についてホワイトであることは「第三者」によって証明されたのです。

            しかし、無いものは第三者によっても証明できない。これは悪魔の証明ですからね。

            教授は「少なくとも先月以前」に怪しい動きが「あった」と主張しているんだから、1つでいいからきちんと不正であることを示してもらえればいいだけの話しです。あるというのだからあるんでしょう。それを示してくださいといっているだけ。本当にあれば示すのは簡単な話しですが、しかし、無いものを示そうとしても、それは極めて難しい。

            本当は不正なんてないんですよ。教授は勘違いしているか、本当にわかっていないか、あるいは、わかっているのだけども引っ込みがつかなくなったか。

            ただ、無いものをあるかのようにいう教授は嘘つきの誹りを免れないということだけは言っておきます。このままだとクビになるかもしれませんね。騙される大学生がかわいそうです。
            親コメント
            • result じゃなくて process を問われているのに
              何度も繰り返しそれを意識的に無視するのはなんでですか?
              違法に入手した捜査資料は証拠能力がないのと同じ文脈なんですけど?

              --
              uxi
              親コメント
              • resultの伴わないprocessを議論して何の意味があるのですか?
                resultがないんだったらそのprocessは妄想にすぎないでしょ?

                日本は法治国家なんだから、resultがないものは「疑わしきは罰せず」なんですよ。
                親コメント
              • 仮に Orario が無能であったとしても、そこまでの無能は想定していない。
                result に対する第三者の解析は白であるのは自明であって、議論する価値は一片たりともない。

                その result を得るに至った process が適切か不適切かと問うている。
                それに答え得るのは Orario だけである。
                したがって、第三者が result に対してこれは白だと証明しても、
                それは問いに対する回答たり得ない。

                意図的に無視しているならともかく、
                ここまで説明しないと理解できない、
                もしくは、ここまで説明してもなお理解できないなら、
                あなたの日本語能力および論理的思考能力は極めて不自由であると断じる他ない。

                process なしに result が得られるなら、それを示してみるがいい。

                --
                uxi
                親コメント
              • すみません、おっしゃっている意味がさっぱりわかりません。
                親コメント
            • 横から失礼します。
              証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
              現時点の動作がホワイトであることは証明されていないと考えます。

              また、不正があった証拠を示さないことを理由に
              「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは
              正に自分が批判している行為を自分で行われているようにも思えます。

              とりあえず、もう少し落ち着いては如何かと思います。

              親コメント
              • by yasuoka (21275) on 2017年04月25日 7時59分 (#3199758) 日記

                OrarioがJavaScriptを「ダウンロード」する以上、曜日や時間帯によって異なるJavaScriptが「ダウンロード」される「可能性」があるんですよね。そもそも時間割アプリなんですから。あるいは環境によって(たとえば大学内WiFi)、異なるJavaScriptが「ダウンロード」される「可能性」もあったりする。それら複数のJavaScriptが、全部「ホワイトであることを証明」できる「IT技術者」も、まあ、あくまで「可能性」なんですから、どこかにいるのかもしれません。

                ただ、私(安岡孝一)自身は、さすがにちょっと、そういう「IT技術者」にはなれないなぁ、と。

                親コメント
              • 逆です。

                証明されたのは、「現時点の動作がホワイトであること」が証明された(https://gist.github.com/mala/f2b7659f78bb396bf1eb6788be38a72d)のであって、「Orarioが第三者の解析時にはホワイトであった」ことは証明されていません。

                教授は解析時に不正があったと主張されているのですが、その証拠はいまだに示されていないので、私は嘘だと思っています。
                親コメント
              • by stkzk (48007) on 2017年04月25日 13時02分 (#3199961)
                私だって、さすがにちょっと嘘を教える学校の先生にはなりたくはないですよ
                親コメント
              • by uxi (5376) on 2017年04月25日 17時22分 (#3200172)

                そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、
                旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。
                また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。
                誠に本当に申し訳ありません。

                pharmer 氏の指摘

                証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、

                の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。

                また、pharmer 氏の指摘

                現時点の動作がホワイトであることは証明されていないと考えます。

                で言う、現時点とは、狭義には、pharmer 氏が #3199659 [srad.jp]を書かれた時点(つまり、mala 氏の解析よりも未来の一時点)を指していますが、広義には過去未来を問わず mala 氏が解析した時点を除いた任意の時点を指していると考えても問題ありません。
                なぜなら、それは mala 氏は目にしていなため証明しようにも証明出来ないからです。

                自分の拙い説明で、あなたの日本語能力にこれを理解してもらうのは極めて困難だとは思いますが、#3199914 [srad.jp]における、あなたの指摘は、論理的に完全に破綻しているという点だけはどうかご理解ください。

                安岡先生の主張は
                Orario が下手な言い逃れをした時点で、
                何言ってるんだ?この記録とまるで食い違ってるじゃないか!
                と言って止めを刺すための決定的証拠であり、
                今言っちゃうと Orario にみすみす言い逃れのヒントを与えちゃうので
                言うに言えないんじゃないかと自分は予想しています。

                もし仮にそうであれば、
                今、それを安岡先生が示すメリットは何一つありません。
                仮にあったとしても、それはあなたのような野次馬の好奇心を満足させるのがせいぜいです。

                安岡先生の主張について、あなたが嘘と思うのは自由ですが、
                それを声高に主張することによって、あなたは一体何を得たいのか、
                まずはそれをはっきりと主張されるのが良いと思います。

                安岡先生を嘘つき呼ばわりして得られる物は何ですか?
                満足感?
                業務上敵対者の排除?
                多分見ている人はみんなもやもやしていると思います。

                --
                uxi
                親コメント
              • 人に日本語読解能力がないという前に、私の主張も正しく理解してください。
                mala氏解析により現時点の動作がホワイトであることが証明されたと同時に、それ以前(またはそれ以後も)においても、Orarioが解析時に不正アクセスをする合理的な理由がないので、なかったのではないかと申し上げているのです。
                スクレイピングが目的であったとしても不正アクセスする必要がないのですから、敢えてリスクを犯さなくてもいいでしょう?犯さないでいいリスクは犯さない。そう考えるのが自然なのです。じゃあ逆に質問ですが、敢えてリスクを犯す理由は何でしょうか?不正アクセスをする理由とか動機を説明できますか?

                安岡先生が証拠を示すことで得られるメリットはご自分が正しいということを証明できることです。
                いまのままでは単なる嘘つきインチキ野郎です。そう言われてもしょうがないことをご自分でなさっている。

                で、私が嘘つき呼ばわりしている理由ですが、それは将来のIT業界を憂いているからです。
                間違ったことを学んだ学生たちがこれからIT業界に入ってくるわけですよね?
                困るんです。本当に。

                再教育するのが疲れるんです。
                間違った教育は本当にやめてもらいたいし、学生には正しいことを学んでもらいたい。
                そういう思いからです。
                正しいことを学ばせる。本当はこれが教育者のあるべき基本的な姿勢だと思います。
                誰にも間違いはある。どうか、安岡先生には正しいことを学生に教えていただきたいものです。
                親コメント
              • mala氏の解析時の事を現時点と呼ぶことには同意できません。

                また、mala氏の解析時にホワイトであったことをもって
                それ以降の動作もホワイトであろうとの推測には同意できますが、
                それ以前の動作もホワイトであったとの推測には同意できません。

                Orarioが解析時に不正アクセスを行う実装から、
                不正アクセスを行わない実装へ修正されたと仮定した場合に、
                yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、
                yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。

                蛇足ですが、
                私は Orarioにより IDとパスワードを正規のログイン画面以外に
                入力することに抵抗のない学生が発生する事を憂慮しています。

                親コメント
              • それ、自分、間違いの指摘も含めて全部説明したはず。
                100回音読してこいと言いたいけど、
                改めて可能な限り懇切丁寧に説明したとしても君に正しく理解させる自信ない。ごめん。

                あと、本当に、君の意図が読めない。
                黙ってほしいのか?
                説明してほしいのか?
                たいへん困惑している。
                単純に自分の時間浪費させるのが目的か?ならご苦労様とだけ。
                ひょっとすると、「自分(uxi)の言ってることは間違っているので私(stkzk)の言ってることを認めてください」なのかもしれないけど、君の意見は論理的に破綻してるのは先に述べた通りなのだけど、理解してもらうのは諦めたので、その点だけはご認識ください。ごめん。

                IT業界(Orario を除く)の中の人なの?
                それはそれで、頭の頭痛が痛いんですけど?

                --
                uxi
                親コメント
              • >Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
                これがわからないですね。
                Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
                スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
                不自然な仮定には意味がありません。
                そんなこといいだしたら、あなただって不正アクセスしたといわれたら反論できなくなりますよ。言っている意味わかります?
                yasuoka氏が突然、あなたから不正アクセスされたといったと仮定します。不自然だけど仮定ならできますよね。(あのキチガイならやりかねないか)その場合、無実を証明する方法があなたにも第三者にもないのです。
                当然、「私は不正アクセスなどしていない。したという証拠を見せろ」と言いたくなりますよね?
                また、証拠がないにもかかわらず、第三者から不正アクセスしたと決めつけられたとしたらどう思いますか?
                私ならその場合でも、「あなたに合理的な不正アクセスをする理由がみつからないので無実では?」と弁護しますよ。証拠も何も無いのに無実のものを犯罪者扱いしてはいけません。
                その主張は、法治国家であるここ日本では通用しないのです。推定無罪なのです。
                親コメント
              • 頭の頭痛が痛い・・・ですか。
                痛いのはあなたの存在です。イタタタ
                親コメント
              • そこしか突っ込むところなかったかー

                それジェノスのネタを更に冗長にしてみたんだけど、
                頭痛くて脳みそ融けてる感じを読み取ってもらえたようなので狙い通りですね。
                なかなかいい表現でしょ?ふふふ

                --
                uxi
                親コメント
              • >>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
                >これがわからないですね。
                >Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
                >スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
                >不自然な仮定には意味がありません。

                一般にソフトウェアの設計・実装は徐々に改善していくものです。
                そのため、過去の実装において実際には必要のない不正アクセスを行う実装が
                行われたとの仮定はそれほど不自然では無いと考えます。

                また、私には
                「自分で管理していないサイトの IDとパスワードを要求するアプリに
                ついてその設計・実装が最初から必然性に基づき理路整然としていた」
                と仮定することは困難です。

                現在のところ、以下の2つのリスクのある行為のどちらかが行われた可能性があると考えていますが、
                ・Orarioが不正アクセスを行った。
                ・yasuoka先生が事実に基づかない告発を行った。

                私としては「yasuoka先生には積み上げてきた信頼があるため、
                事実に基づかない告発を行う事は無いだろう」と判断しました。

                親コメント
              • 不正アクセスって犯罪ですよ?
                犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
                繰り返しですが、犯罪が行われたとする仮定は、証拠がないとやってはいけないのです。ましてや、orarioには理由も動機もない。
                疑うのは勝手ですよ。しかし、yasuoka氏がやっているように仮定をもとに犯罪者ときめつけ、単位を取り消すとする行為はやりすぎです。また、その行為が正しいとするなら、それを学んだ学生もまたその行動が正しいのだと考えるでしょう。
                ここは北朝鮮ではないのですから、将軍様、yasuoka先生がそういったからといって正しいわけではないのです。気が狂ったかもしれないじゃないですか。すべては事実を元に判断しなければ法治国家とはいえません。あなたは、もしyasuoka氏があなた自身に対しても事実に基づかない告発を行った場合、受け入れざるをえないと思っているわけですね?
                自分だけはそうならないと思っていますか?yasuoka氏だけじゃない、その他権威ある人から事実に基づかない告発が行われた場合、受け入れるのですか?もしそうなら日本に裁判所はいらないですね。
                親コメント
              • 自分の不明を恥じるばかりです。

                まず、謝罪するところから始めないと建設的な議論が出来ないと思いますので、
                「あなたの日本語能力および論理的思考能力は極めて不自由であると断じる他ない。」
                と断じた点について、まずお詫びを述べさせてください。

                あなたのおっしゃっている事は、理路整然としていて、大変利にかなっています。
                法治国家たるやそうあるべきです。そう思います。

                しかし、なぜか、
                #3200523 [srad.jp]で指摘されている
                論理的な解釈においてのみ
                その明晰な論理に重大な破綻をきたされる。
                一見、単純な時系列問題であるにも関わらずです。

                また、自分の指摘に対しても process はどうでも良いような事をおっしゃいます。
                しかしバレなければ何をやっても問題ないという主張でもないようです。
                何か強い信念が邪魔をしているのでしょうか?

                提案です。
                まず、問題を3つに分けましょう。

                事実確認について。

                1つ目。
                a.安岡先生が「Orarioガラミで取得した単位は取り消す場合がある [srad.jp]」において不正アクセスと断じられた。
                b.不正アクセスは不正アクセス禁止法 [e-gov.go.jp]において法律上明確に定義された犯罪行為である。
                c.法的な犯罪の成立要件について証拠を示さずに、犯罪者扱いするのは不適切である。

                2つ目。
                A. mala 氏の解析は過去のある一時点に関する物に過ぎない。結果は白である。
                B. mala 氏の解析時点を除いた前後の任意の時点に関しては、客観的な検証結果が存在しない。
                C. 第三者(ここではmala氏)の解析時とは A である。したがって「第三者の解析時はホワイト」であることが証明された。
                D. 現時点とは B における1時点である。したがって「現時点の動作がホワイト」であることは証明されていない。
                E. ただし mala 氏が第三者(つまり Orario 関係者意外)であるかどうかについて、客観的な資料存在は確認できない。

                3つ目。
                p. Orario はその仕組み上、開発者が少なくとも1名以上のユーザーについて、対象のシステム上に存在する情報の全てを閲覧し得る状態になければ開発そのものが不可能である。
                q. 対象のシステムは、対象のシステムを保有する大学の学生でなければアクセスできない。
                r. Orario は従業員8名(バイトを含む)である。
                s. 現在、18大学のシステムに対応している。
                t. s の対応大学数に対して r の人的資源が決定的に不足しており、開発者が利用者当人たりえない状況である。したがって、適切な手段で a を解決する方法が常識的に考えれば存在しない。

                自分の見解について。

                1つ目については、これについては確かにその通りだと思います。
                a. について(不正アクセスを疑われる等の表現に)訂正を行う事で犯罪であるとの断定を避けるか
                c. について証拠を示し犯罪を確定するか
                という2択だと思いますが、
                c については、それが皆さんの望まれている結果であるかどうかという点については疑問が残ります。

                2つ目については、残念ながら私はこの説明で理解してもらえる自信がありません。
                しかし、pharmer 氏をはじめとして他の方も、この解釈に異論を唱えられる方はおられないと思われます。
                今一度熟考頂きたいと思います。

                3つ目については、p のプロセスについて Orario が説明責任を果たさなければなりません。
                システムトラブルが生じた際にどのような対応手段を取るのかという事も含めてです。
                これは第三者による成果物の検証では決して解決できません。

                以上です。

                --
                uxi
                親コメント
              • 事実確認について。

                >1つ目
                同意します。 >2つ目
                A〜Cは同意します。
                Dは同意しますが、証明されていないだけで合理的に考えると現時点もおそらく白です。
                Eはmala氏はセキュリティの日本における第一人者です。所属はLINEだったと思います。
                彼が白といえば間違いなく白です。orarioは無料でセキュリティ監査を受けることができて、しかも、malaさんのお墨付きがもらえてきっと喜んでいると思います。
                付け加えて言うなら、私はこれまでも述べているように、過去を含めて白であることを証明できるとはいっておりません。
                orarioが不正アクセスする合理的な理由がないので、していないのではと主張しているだけです。不正アクセスしたというのならその証拠を示すべきだし、それができなくてもせめて不正アクセスする動機ぐらいは説明できないと。
                スクレイピングで不正アクセスは必要ないので他の動機があるはず。
                アカウント情報を集めて売りさばくなんてのは妄想です。

                3つ目
                p、qは同意します。
                r、sはよくわかりません。たぶん、そうなのでしょう。
                tは優秀なプログラマーがいれば問題はない気がします。よくわかりません。だからといって不正アクセスをする理由にはならないと思いますが。忙しくて人がいないのであれば逆に不正アクセスなんかやってる場合ではないんでは?

                不正アクセス(成りすまし)でない場合、ユーザである学生しか知りえない情報をどうやってorarioが入手したかという点を問題にしたいのかもしれませんが、学生が協力したのなら、守秘義務違反や目的外利用などで学生を罰すことになるだけで、orarioは関係ないと思いますがね。
                私が問題にしているのは1つ目です。
                親コメント
              • 100歩譲って、yasuoka氏がorarioに情報提供した学生を守秘義務違反や目的外利用などで罰すことはわからないでもないですが、1) 何でorario使っただけの学生を罰す(単位を落とす)のか、2) 何を根拠にorarioを不正だというのか、全然わからないのです。
                2)については、はやく証拠を示すか撤回するかしないと毀損になってクビになっちゃいまうよ。まじで。
                1)については、学生自身もきっとどういうルールに違反するのかわかってないと思いますね。
                それをyasuoka氏に聞くと怒って単位落とされそうだから、ここはおとなしく従っておこうという感じでしょうかね。あー、京都大学最低ですな。
                親コメント
              • なる程、かみ合ってない理由がなんとなく分かった気がします。
                不正アクセスて言葉の定義が違うんですね。
                stkzk さんは法律上定義された犯罪である狭義の不正アクセスのみを言ってて、
                自分は、もっと緩く、不適切なデータの取得を意識してるので、
                そこが齟齬の原因ですかね?

                かつ、自分の論点は、
                開発者が本来アクセスし得るはずのないデータが
                開発及び保守の際に絶対に必要であり、
                そこの部分の透明性がないことを問題視しているんだけど、
                stkzk さんはそれは狭義の不正アクセスの要件を満たすことなく取得可能でしょって言ってるのかな???

                tは優秀なプログラマーがいれば問題はない気がします。

                というのはどういう根拠でそうおっしゃられているんですか?
                Orario の説明では、
                時間割アプリの「Orario」の特性と安全性について [orario.jp]」
                において、アプリや京大のサーバーから
                Orarioのサーバーに向かうデータはないことになっているんですが
                少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
                しかし、ここの部分の合理的な説明がない。
                片やプライバシーポシリー [orario.jp]では、ID、パスワード、その他諸々、「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」収集しますよと言ってる。
                一貫性もないし、説明責任が果たせていない。

                mala氏は、へー、有名な人なんですね。知らなかったです。
                てっきり Orario がリリースしてる18大学のうちのいずれかの学生さんだとばかり。
                まぁ、LINEの中の人だと、多分学生さんじゃないので、どうやって大学と通信した?IDとパスワードはどうした?って話なんですけどね。

                自分は、あのレポートには読みはしましたが全く価値を見出してなかくて、あまり気に留めてなかったのですが、改めて読み直してみると妙に違和感しか残らないんですよね。
                まず、

                通信をキャプチャして調べた。似たようなことをしている人が既にいて仕組みについてはサービス提供者側が説明されているとおりだった。

                って書いてあって、これ mala 氏本人の解析じゃなくて、多分別の人の解析結果(と思われるツイート)に関する感想なんじゃないの?って。
                次に、

                自分は「大差ない」とは思わない。アプリ内においても、サービスの説明においても、Appが大学サーバーと直接通信を行うことは説明されているので、この説明から外れる動作をすれば不正指令電磁的記録になるだけだ。ちゃんと法的な縛りがある。

                とまで言っているのに、開発・保守の際に絶対に必要となる、Orario へのアップロードの事を全く考慮してないんですよね。え?それも不正指令電磁的記録扱いってことにして良いんですか?と。
                Orario は前述の通り ID、パスワード、その他諸々、収集しますって言ってますよと。

                --
                uxi
                親コメント
              • >不正アクセスって犯罪ですよ?
                >犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。

                不正アクセスが犯罪なのは承知していますし、
                必要もないのに犯罪を犯したと仮定するのが不自然なのも理解できます。

                ただ、業務妨害や名誉棄損も犯罪です。
                yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。

                証拠を出すべきだとの意見もありますが、
                証拠をネットに上げるのではなく必要になったタイミングで
                警察等に引き渡す方がより適切な手続きなのではないかと考えます。

                親コメント
              • 1) は、自分他数名の方が指摘していますが、情報セキュリティ関連の講義であれば、orario の問題点を指摘出来ないような場合、単位認めていいのかって疑問が生まれる可能性はあるかもしれません。#3196935 [srad.jp]

                2) は、法律上定義された犯罪としての狭義の不正アクセスについて、確実な証拠があるなら何ら後日裁判等で示せば何ら問題はないでしょう。ないなら補足なり訂正は必要でしょうけど。

                安岡先生が危惧されている点は
                #3197937 [srad.jp]
                京都大学のシラバスとOrarioの匿名加工情報 [srad.jp]
                Orarioに対する営業妨害と非識別加工情報 [srad.jp]
                で書かれていますが、
                多分、無料アプリである Orario がビジネスモデルを明示してない点も疑念を抱かれる原因の一つで、
                本人の同意の上とは言え、京大のシステムから個人情報抜き出して営利活動に利用する気なら
                独立行政法人等非識別加工情報をその用に供して行う事業に関する提案書 [ppc.go.jp]
                出すのが筋じゃね?ってのは当然の主張のように思えます。

                あと、この件とは直接関係ないかもしれませんが、
                経営学部4回生・芳本大樹さんがビジネスプランで経済産業大臣賞受賞 [ritsumei.ac.jp]
                を2016年3月10日付けで受賞してるのに、既に現時点で
                i-generations [i-generations.com]
                http://i-generations2014.com/ [i-generations2014.com]
                は共に破棄されてちゃってるんですよね。
                WHOIS しても空き地になってる
                https://www.whois.com/whois/i-generations.com [whois.com]
                https://www.whois.com/whois/i-generations2014.com [whois.com]
                Facebook の https://www.facebook.com/i.Generations [facebook.com]
                はかろうじて残ってるんですけど。
                所在地は
                〒530-0017 大阪府大阪市北区角田町1番12号 阪急ファイブアネックスビル11F
                なので、看板すげ替えただけなんだとは思いますが
                事業としては完全に Orario に乗り換えたようです。

                --
                uxi
                親コメント
              • なんと!不正アクセスて言葉の定義が違うなんてまったく想像してませんでした。正直驚いています。
                法律以外に定義があるんですか?知らなかったです。また、それに該当したらどういう罪になるのですか?そもそも、法律にないものをどうやって裁くのですか?もしかして、yasuoka氏も同じ考えなのですか?よくわかりません。
                すみませんが、議論を噛み合わせるためにも、今後は不正アクセスといったら法律のことを指していると思ってください。

                で、不正アクセスというのは、正確には法文を読んでもらいたいのですが、簡単にいうと、「許可されていないサーバに入って何か実行した。ただし、利用権者の承諾を得て行うのはOK」というものです。(細かいところでいろいろ突っ込みがあるかと思いますがわかりやすく書くとこんな感じです)
                yasuoka氏は不正アクセスの証拠をどう示すかわかりませんが、実はサーバのアクセスログからわかるものは大してなく、通常のアクセスパターンでないものを見つけたところで、一般の利用者が単にイタズラしたのか、それとも不正をしている者なのか区別がしにくいのです。
                ログからアクセスした時間を調べて、そのアカウントの本人に確認してはじめて不正かどうかがわかります。いわゆる、成りすましがあったかどうかですね。
                ところが、「利用権者の承諾を得て行うのはOK」なので、「ああ、その時間帯ならorarioさんに貸してましたよ」といえば不正アクセスにはならないのです。ここは重要なポイントなので理解してください。もちろん、不正アクセス以外の何か別の法に触れる可能性はあるかもしれませんが、少なくとも不正アクセス禁止法は無罪です。
                なので、不正アクセスしないでトレース情報などの取得は可能です。

                >tは優秀なプログラマーがいれば問題はない気がします。
                これは意味がよくわかってなく、とりあえず忘れてください。

                >少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
                こちらも、誤解されているような気がします。
                スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。
                ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。
                スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。
                この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。

                >プライバシーポリシーとの一貫性もないし、説明責任が果たせていない
                こちらも何か混同されているかなと思います。もう一度、orarioの説明を見てみましょう。

                「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません(学生アカウントは、利用者様のスマートフォンのみに保存されるため、弊社がこれを取得することはできません)。」

                orarioが取得する情報は「利用者様がアプリ登録時に任意で入力いただいた情報」だといっています。
                これは、orarioをインストールするときに聞かれる、学部学科、性別、卒業年度、(orario)ユーザ名、メールアドレスのことをいっていると思います。
                これらは、orarioが独自に取得する情報ですからプライバシーポリシーに則って扱われますが、大学からとやかくいわれる部分ではないことに注意してください。
                一方で、学生アカウントというのは、KULASISのアカウントのことです。これはそもそも取得しないのでプライバシーポリシーの適用にはなりません。

                malaさんのレポートのポイントは、1) KULASISのアカウントがサーバに送信されていないことの確認をしたこと、2) 他に同様の確認をした方がおられること、3) orarioがクライアント側で動くJavaScriptコードを検証できる形にしているので安全性を高めるうえで意味があること、4) 後天的にマルウェア化可能だという批判に対してCSPの制限などを利用することで技術的に解決できる可能性があること、5) アプリ内やサービス内の説明から外れる動作をすれば不正指令電磁的記録になること、6) 利用権者の承諾を得て行うのは不正アクセスではないこと、の6点が示されています。

                私はmala氏をかれこれ10年くらいウォッチしていますが、彼が間違っているのを見たことは一度もありません。
                親コメント
              • >ただ、業務妨害や名誉棄損も犯罪です。
                >yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。

                yasuoka氏の言動から不自然ではないと私は感じています。
                事の重大さに気づかず勢いで言っちゃたんんじゃないかな?

                あなたがおっしゃるように、業務妨害や名誉棄損も犯罪なのですが、いまの時点でも自分が犯罪を犯そうとしていることに気づいてないのでは?
                このままだと、あんたはクビになりますよ!って警告しているんですが、本当にわかっているんでしょうかねえ。心配です。
                親コメント
              • yasuoka氏がいかにトンチンカンなことをいっているか少し説明したいと思います。

                mala氏は、orarioが説明どおりに動いており、サーバに学生アカウントが送信されていないことを確認すると同時に、クライアント側だけでJavaScriptによって処理するように工夫されていることについて、「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないといった旨の主張をされていました。

                間違いを恐れずに例えていえば、金庫の中に格納するので安全という感じです。(若干違うけど、まあ、そんな感じ)
                またこれは、orarioが大学アカウントを保持しないと宣言し、こういった安全策を講じているという事実が重要なポイントです。
                でも、鍵をorarioがもっていたらいつでも金庫を開けることができるし安全ではないよね?という指摘に対しては、金庫を開けることはJavaScriptを見たらわかるので隠しようがないし、それを検証できるようにしている時点でサーバで管理するよりは安全だ、という反論ができます。さらに、CSPにすることでサーバにアクセスできないようにする、つまり技術的に金庫を開けなくすることも可能ともいっています。
                ちなみに、サーバに情報を送信することが法に触れるとか、そういう前提ではありません。
                MoneyForwardやfreeeではサーバで管理していると思われますが、何か問題になっているわけではないです。
                あくまで、サーバで管理するよりは安全だといっているにすぎません。サーバに送信しないことでより安全性を高める努力をorarioがしているということであって、実際にmala氏たちによってその事実が確認されているということなんですね。


                それに対して、yasuoka氏は、画像取得などのURLにアカウント情報をつければサーバに送信できるとかいっています。
                いや、そういう話しじゃないでしょ?この人はバカなんじゃなかろうか?と私は思いましたね。
                この人なら勢いで犯罪犯すわと。
                皆さんはどう思われましたか?
                親コメント
              • by uxi (5376) on 2017年04月28日 16時14分 (#3202350)

                いろいろとありがとうございます。

                安岡先生は「不正なアクセス」とでも書いてくれてれば良かったのかな?

                自分も、
                不正アクセス禁止法で定義された不正アクセスと
                その成立要件は一通り存じておりました。

                その上で、
                安岡先生のあの書き込みを見て、
                強い憤りまでは読み取れたんですが、
                明確に犯罪として告発する意志、
                言い換えれば裁判もいとわないという意志までは
                読み取る事が出来なかったんですね。

                確かに字面だけ読めば犯罪の告発とも読めるんですけど、
                ここは所詮は場末の雑談サイトですから、
                逆に行間しか読んでなかったと言いますか。

                ですので、自分が論点にしていたのも犯罪か否かではなくて
                Orario は出してる資料がいろいろとおかしいし、
                ちゃんと説明責任を果たすべきだろという点になっいたと思います。

                疑わしきは罰せずと言いますが、
                それ以前に、疑わしいのは使っちゃ駄目だぞと。
                疑いが晴れるような説明をちゃんとしてよねと。

                蓋を開けてみると、なる程なという感じですが、
                新聞報道 [srad.jp]を見ると、
                どうもアカウント貸しのような事が行われていたような事を伺わせる発言(在学生の協力)があって、
                そうすると、安岡先生の「少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。 [srad.jp]」という発言は、
                アプリではなく Orario 社内の PC から直接スクレイピングを行っていたという事実が
                ログに残っていたと仮定すれば、大変納得が行きます。

                アプリからしかアクセスしないと言っているのに、
                Orario からのアクセスがあったのは説明と異なるだろうと。
                これはつまり、Orario が説明責任を果たせてないんですね。
                しっかりと足跡まで残しているのに、それについて言及してなかった。

                今回の報道で、納得だれたのかどうかは分かりませんが、
                Orario からのアクセスでログに残っているユーザーが1名なら、
                しぶしぶだとしても納得せざるを得ない内容にはなってると思います。
                しかしユーザー数が圧倒的に多数にのぼった場合、まだ納得は出来ないだろうなと。

                >少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
                こちらも、誤解されているような気がします。
                スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。
                ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。
                スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。
                この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。

                ここは、相変わらず話がかみ合っていませんが、
                それは、完成品の話です。
                開発時にプログラマーは、下の地図が黒塗りだと、アクリル板に道筋を描けません。
                下の地図が空けて見えている必要があります。
                つまり、地図を手元(つまり Orario 社内)に持ってくる必要があるんです。
                それはどうするんですかと。

                それは完成品をいくら評価しても駄目で、
                ある日、サーバー側の変更で未完成品に成り下がってしまった場合に、
                再度必要なるんだけどどうするんですかと。
                そこの安心材料を示さないと駄目でしょと。

                それは上の新聞報道において、「在学生の協力」という曖昧な表現で一応は示されたので、
                協力者のアカウントでやったんですねという理解は可能にはなったんだけど、
                その協力者が協力可能なのは在学中限定なので、卒業した後、後任が確保出来なかったらどうするんですかと。
                それはサービスの継続性という、ユーザーの利便性にも繋がるんですが、
                プライバシーポリシー [orario.jp]では

                基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名、メールアドレス、パスワード
                その他登録情報: プロフィール写真、クレジットカード情報
                端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴、起動日時、広告表示、閲覧した情報

                を利用者情報として取得し「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に利用すると書いてあって、それは非常手段として Orario 社に送ると言う意味ですか?という点ではまだ疑問が残るわけです。
                上の新聞報道を見ると、

                また学生がアプリを利用する場合は、大学名や卒業予定年度、時間割の内容などの「利用者情報」が同社に送られる。

                と明記されていて、弁明には無かった Orario 社に向かう矢印もちゃんと明記されているので、
                この説明なら説明としての整合性は取れてて異論はないんですけどね。
                残念なのは、これをちゃんと Orario が自分自分で用意出来なかったこと。

                「学生IDとパスワードは当社のサーバーを経由しておらず、当社が取得・保持することはない」と言っちゃった手前、
                流石にそこ破ったら不正指令電磁的記録って、mala 氏も指摘してますし、最低限そこだけは守られるんでしょう。
                でも、スクレイピング結果はアプリからまるごと送られちゃうんだろうなと。
                もっと言えば、ユーザーがアプリを立ち上げなくても、
                障害対応の名目ならバックグラウンドでスクレイピング結果だけ Orario 社に送りつけても多分問題の無いプライバシーポリシーですねと。

                それはプライバシーポリシーには書いてあるんだから合意の上って意味では仕方ないんだけど、
                学生がそれをちゃんと認識しているかどうかという点ではまた別の問題が起こり得るかもしれません。
                まぁ、ここまで分かってて使うなら、その先はもう自己責任なので、それは仕方がないんですけど。

                あと、mala 氏の資料 [github.com]で挙げられてる @mage_1868 氏(CTF1位 [twitter.com]凄!!!ってどう見てもスコアがおかしいんだけど流石に4月馬鹿ネタだよね?)の資料で一つ安心したんですが、
                orario の js 配信サーバーがちゃんと https になってますね。
                もっとガバガバかと思ったら意外とちゃんとしてた。

                おかげで、mala 氏の言う js が検証可能は https を MITM でキャプチャして解析とかあまり万人向けだとは思えませんけど。でもまぁやる気があれば出来る。
                でもこれ、js も含めて Orario の著作物なんだから、これって禁止って言ってたリバースエンジニアリングでは?
                本来、アプリと orario のサーバー間で秘匿されてる情報だし、
                これが OK なら apk 解析も OK なんじゃ?
                という疑問。
                個人的には、自分の端末の安全を確認するのは当然認められるべき個人の権利だろと思うけど。

                これ、通信先は Orario サーバーだけなので、
                やる気になれば、アプリ側で MITM 検出してエラーで弾けるはずだけどなー。

                --
                uxi
                親コメント
              • by uxi (5376) on 2017年05月06日 4時52分 (#3205745)

                本来、大学関係者たりえない Orario が、社内からアクセスしてくるはずはないし、
                Orario は JavaScript を(積極的に)公開はしてない(むしろどちらかといえば秘匿している)わけで、
                そこの説明責任を果たす必要があるということを自分は言ってつもりなんだけどなぁ

                通常、アカウントの貸し借りはするなと教えられてるはずだし、
                特に商業目的のそれについては、規約上制限があってもおかしくない。
                だからこそ、各大学から、警告文が出る事態になっている。

                不正アクセスが法律用語としてセンシティブなのは理解出来るし、
                おっしゃることはごもっともとは思うのだが、
                ではあれを
                「先月までのアクセスについて納得の行く説明がない場合、不正アクセス禁止法で告訴する準備がある」とか
                「先月までのアクセスについて納得の行く説明がない場合、不正アクセスとみなさざるを得ない」とか書かれていたならどうなのか?
                「殺す」って書くのと「糞腹が立った」って書くのと、
                よほどのキチガイでもない限りは、
                前者を書いても意味合い的にはまず後者のはずなんだけど、
                まぁ、警察は動くよね。
                そこはコンセンサス取れてると思うけど、
                「不正アクセス」でそのコンセンサス取れてるかというと、
                多分自分が知ってる範囲だと、今回の件が始めて。
                「不正アクセスを繰り返していて」を
                「殺人を繰り返していて」に
                すんなりと読み替えて、
                同じ重みで評価している人がどのくらいの割合いるのかはよく分からないし、
                少なくとも、自分はそうじゃなかった。

                この件に関しては、これ以上自分が何を言っても水掛け論なので、
                やるなら、「スラド国民投票」で
                https://srad.jp/~yasuoka/journal/611343/ [srad.jp]
                の「不正アクセスを繰り返していて」で言う「不正アクセス」は
                ○不審なアクセス
                ○不正アクセス禁止法の要件を満たす犯罪行為を疑っている
                ○不正アクセス禁止法の要件を満たす犯罪行為と断定している
                ○何それおいしいの?
                とか
                「不正アクセスを繰り返していて」と「殺人を繰り返していて」は
                ○法律用語的な解釈では同義だが、日常感覚的な解釈では違う
                ○法律用語的な解釈でも、日常感覚的な解釈でも同義
                ○何それおいしいの?
                とか聞くくらいしか思いつかないが、
                聞き方を工夫しないと有意な回答が得られない気がする。

                ただ、少なくとも Orario 関係者であれば、
                あれが何を指しているかは理解出来るだろうし、
                サービス性質及び長期的に安定供給を考えた場合
                開発用アカウントの調達問題は
                ビジネスのコアロジックにおける最大のリスクとして認識してないといけないはず。

                ネットに公開されてれば OK ってのは、
                その論法が通るなら、
                apk だって、ネットに公開されてるし解析して OK になる

                https は暗号化されているんだから、
                これの解除は DVD 等で言うところの複製防止機能等の解除扱いと同等の行為という主張は十分に可能だし
                むしろ apk の方が暗号化とか何も施されてないんだから裸も同然

                不正指令電磁的記録については、
                その説明が意図的に錯誤を狙っていてもそう言い切れるかは疑問
                実際、弁明の資料では、IDとパスワードと言っていて、
                報道にある Orario 向きのその他のデータの矢印は
                意図してかしなくてかは知らないが示されない状態であった。
                自分の指摘の出発点もそこにあったはず。

                ワンクリック詐欺とかの案件では
                錯誤による契約は無効であると言われるが、
                現実問題としてソフトウェアの利用規約を読み正しく理解した後に
                同意をクリックしている利用者がどれほどいるか?
                あの図は、そういう意味ではかなり重要な役割を担った図のはずで、
                そこは、誤魔化す気はなかったとしても、省略するのも不誠実でしょって思う。
                安心させたいための資料なのに、本来あるべきはずのものがないと、
                不安を持っている人からすれば、えー?ってなる。
                無用な心配をさせないようにとか思って省略したのかもしれないけど、
                余計な配慮はしちゃ駄目。
                あるものは、あるがままに書かないと。

                いろいろと示唆に富む話だな。

                --
                uxi
                親コメント
typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...