yasuokaの日記: OrarioのJavaScriptの可能性 60
私(安岡孝一)の一昨日の日記の読者から、「Orarioについての雑感」(2017年4月21日)というページを読んでみてほしい、との御連絡をいただいた。うー、OrarioがJavaScriptを使ってることをバラしちゃったのか…。ただ、私自身は「公開しない」旨を、4月19日の日記のコメントで明言してしまっている。なので以下は、あくまでOrarioのJavaScriptが、どういう動作をするかの「可能性」について書くことにする。繰り返すが、以下は、あくまで可能性の話である。
Orarioのサーバーからアプリに「ダウンロード」されるのは、JavaScriptのプログラムだけではない。画像も「ダウンロード」される。画面構成とかに必要だから、サイズの小さな画像がダウンロードされること自体は、不思議でも何でもないだろう。この際に、もし、Orarioがある情報(たとえば「ユーザー名」や「パスワード」)をアプリからサーバーに渡したいのなら、サーバーから「ダウンロード」してくる画像のURLの中に、その情報を埋め込めばいい。もちろん、URLとしては使えない文字もあるだろうから、ちょっとした変換をかける必要はあるが、それでもURLが少し長くなるだけで、大したことは無い。存在しない画像のURLになってしまうんじゃないか、という危惧があるかもしれないが、もしOrarioのサーバーがCloudFrontなり何なりを使っているなら、各URLごとにキックするAPIを変えられるので、とりあえず何か小さな画像をちゃんと「ダウンロード」すればいい。こうすれば、Orarioのアプリから、ある情報(たとえば「ユーザー名」や「パスワード」)を、あくまで画像の「ダウンロード」の形で、Orarioのサーバーに渡すことができる。また、ある情報(たとえば「ユーザー名」や「パスワード」)を一度に渡す必要もなく、いくつかの画像の「ダウンロード」に分割する、というのもアリである。
もちろん、これらはあくまで可能性の話でしかない、ということにしておく。あるいは、Orario側が「現在そんなことはやっていない」と抗弁する可能性もあるが、その可能性も考えて、私自身は4月19日の日記の中で「少なくとも先月以前」と書いておいたのだ。つまりOrario側が、この可能性を完全に排除したいのなら、Orarioのプライバシーポリシーから、当該情報(たとえば「ユーザー名」や「パスワード」)を文言上、完全に削除するしかない、ということである。それをOrarioがやらないのなら、そもそもOrario側は、この可能性を完全に排除する気は無い、ということだろう。
リテラシーって難しいな。 (スコア:3)
今回の件は、それをどうやって作ってるんだって所がかなり重要なんですが、
「Orarioについての雑感 [github.com]」は、現在既に動いている状態を解析して、その動作の話に終始してるんですよね。
Orario が専用ブラウザであり、その対象が、ある特定大学の在学生という極めて限られた範囲の人間しか閲覧出来ない事。
それを、実現している手法がスクレイピングである事から、関係者以外には閲覧不能な情報を、何らかの方法で(開発者が)解析する必要がある事。
Orario の従業員8名(バイト含む)と言う事。
以上から導かれる極めて自然な疑問。
通常の汎用 Web ブラウザや
他のサードパーティー製専用ブラウザ(例えば 2ch とか twitter とか)では、
開発者自らがユーザーになり得て、
開発者自らがユーザー当事者として、
開発・デバッグ出来ますが、
Orario その仕組み上、それが不可能なんですけど、それを無視されてもねーと。
uxi
様々な「可能性」 (スコア:2)
まあ、Orarioが、京都大学の学生を「アプリ開発の打合せ」と称して巻き込んでた「可能性」もありますし、次は東洋大学をはじめとする関東の大学が狙われている「可能性」もあります。様々な「可能性」があるんですけど、さて、どうしたらいいんでしょうね。
ある意味生きた教材なので (スコア:2)
流石に名指しは避けるとしても、
具体的な仕組みを示して、問題点は何かを問うというeラーニング教材なんかが作れれば
情報リテラシー・情報セキュリティの教材としては面白そうではありますけどね。
情報サービスにおけるビジネス戦略的にも示唆に富みそうですし。
言い出しっぺだけど作りたくはないなぁ。
uxi
未知の可能性を秘めてるなー (スコア:2)
エイプリールフールネタなんですけど、
大学の単位を個人間で売買できるアプリ【ラクタン】を大学履修管理アプリを運営するOrarioがリリース [prtimes.jp]
曰く
※4/1はエイプリルフールです。お付き合いいただきありがとうございます。
実際にこんなサービスあったらいいなと思い、企画しました。
だそうでして、
学生サークルのノリは嫌いじゃないですが、
出自であるそれをそのまま引きずってるのか、
冗談でもこれをあったらいいとか公式で言えちゃう社風って?
しかも、その直後の締めが講義ノート売買機能のリリース告知なので、
これを素直にユーモアと取って良いものかどうか真剣に悩みます。
そのうち本気で代返サービスでも始めるんじゃないかって気がしてきて
頭の頭痛が痛い。
uxi
Re:未知の可能性を秘めてるなー (スコア:2)
公式ページの広報はあんなに何もしてないのに、
何でこんなところではっちゃけるのに精を出してるのか理解に苦しむ。
真面目に真摯さをアピールするコンテンツ充実させようよ。
uxi
Re:リテラシーって難しいな。 (スコア:1)
Re:リテラシーって難しいな。 (スコア:1)
IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:2)
やましいことなければ、堂々と名乗るだろうし。
第三者がホワイトじゃね?とか言っても仕方ないんだよこの問題は。
エビデンス示せないなら Orario が無能ってだけだ。
新規ID取ってまで指摘することじゃない。
uxi
Re:IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:1)
いいえ。
少なくとも、Orarioの現在既に動いている状態については、解析してその動作についてホワイトであることは「第三者」によって証明されたのです。
しかし、無いものは第三者によっても証明できない。これは悪魔の証明ですからね。
教授は「少なくとも先月以前」に怪しい動きが「あった」と主張しているんだから、1つでいいからきちんと不正であることを示してもらえればいいだけの話しです。あるというのだからあるんでしょう。それを示してくださいといっているだけ。本当にあれば示すのは簡単な話しですが、しかし、無いものを示そうとしても、それは極めて難しい。
本当は不正なんてないんですよ。教授は勘違いしているか、本当にわかっていないか、あるいは、わかっているのだけども引っ込みがつかなくなったか。
ただ、無いものをあるかのようにいう教授は嘘つきの誹りを免れないということだけは言っておきます。このままだとクビになるかもしれませんね。騙される大学生がかわいそうです。
Re:IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:2)
result じゃなくて process を問われているのに
何度も繰り返しそれを意識的に無視するのはなんでですか?
違法に入手した捜査資料は証拠能力がないのと同じ文脈なんですけど?
uxi
Re:IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:1)
resultがないんだったらそのprocessは妄想にすぎないでしょ?
日本は法治国家なんだから、resultがないものは「疑わしきは罰せず」なんですよ。
ここまで言っても意図的に無視するんだな (スコア:2)
仮に Orario が無能であったとしても、そこまでの無能は想定していない。
result に対する第三者の解析は白であるのは自明であって、議論する価値は一片たりともない。
その result を得るに至った process が適切か不適切かと問うている。
それに答え得るのは Orario だけである。
したがって、第三者が result に対してこれは白だと証明しても、
それは問いに対する回答たり得ない。
意図的に無視しているならともかく、
ここまで説明しないと理解できない、
もしくは、ここまで説明してもなお理解できないなら、
あなたの日本語能力および論理的思考能力は極めて不自由であると断じる他ない。
process なしに result が得られるなら、それを示してみるがいい。
uxi
Re:ここまで言っても意図的に無視するんだな (スコア:1)
Re:IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:2)
横から失礼します。
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
現時点の動作がホワイトであることは証明されていないと考えます。
また、不正があった証拠を示さないことを理由に
「無いものをあるかのようにいう教授は嘘つきの誹りを免れない」等と発言するのは
正に自分が批判している行為を自分で行われているようにも思えます。
とりあえず、もう少し落ち着いては如何かと思います。
Re: 様々な可能性 (スコア:2)
OrarioがJavaScriptを「ダウンロード」する以上、曜日や時間帯によって異なるJavaScriptが「ダウンロード」される「可能性」があるんですよね。そもそも時間割アプリなんですから。あるいは環境によって(たとえば大学内WiFi)、異なるJavaScriptが「ダウンロード」される「可能性」もあったりする。それら複数のJavaScriptが、全部「ホワイトであることを証明」できる「IT技術者」も、まあ、あくまで「可能性」なんですから、どこかにいるのかもしれません。
ただ、私(安岡孝一)自身は、さすがにちょっと、そういう「IT技術者」にはなれないなぁ、と。
Re:IDとUA追跡すればまぁ大体分かるんじゃね? (スコア:1)
証明されたのは、「現時点の動作がホワイトであること」が証明された(https://gist.github.com/mala/f2b7659f78bb396bf1eb6788be38a72d)のであって、「Orarioが第三者の解析時にはホワイトであった」ことは証明されていません。
教授は解析時に不正があったと主張されているのですが、その証拠はいまだに示されていないので、私は嘘だと思っています。
Re: 様々な可能性 (スコア:1)
もう可哀想で見てなれない (スコア:3)
そもそも、この問題に執拗に食いついてくるのって新規 ID ばかりでして、
旧来の ID 持ちで嘘言うな!証拠を示せ!と騒いでる人って誰かいたっけ?って状態でした。
また、新規 ID で、主張その他含めて、annonynrm、annoynrm2、annonynrm3 氏の可能性も排除出来ないだけでなく、むしろ濃厚と言っても良い状況でしたため、おそらくは氏の別垢であり、意図的に無視してるんだろうなと半ば確信を持っておりました。
誠に本当に申し訳ありません。
pharmer 氏の指摘
証明されたのは、「Orarioが第三者の解析時にはホワイトであった」ことで、
の第三者とは mala 氏であり、その解析時とは、mala 氏の解析が行われた時点の事です。
また、pharmer 氏の指摘
現時点の動作がホワイトであることは証明されていないと考えます。
で言う、現時点とは、狭義には、pharmer 氏が #3199659 [srad.jp]を書かれた時点(つまり、mala 氏の解析よりも未来の一時点)を指していますが、広義には過去未来を問わず mala 氏が解析した時点を除いた任意の時点を指していると考えても問題ありません。
なぜなら、それは mala 氏は目にしていなため証明しようにも証明出来ないからです。
自分の拙い説明で、あなたの日本語能力にこれを理解してもらうのは極めて困難だとは思いますが、#3199914 [srad.jp]における、あなたの指摘は、論理的に完全に破綻しているという点だけはどうかご理解ください。
安岡先生の主張は
Orario が下手な言い逃れをした時点で、
何言ってるんだ?この記録とまるで食い違ってるじゃないか!
と言って止めを刺すための決定的証拠であり、
今言っちゃうと Orario にみすみす言い逃れのヒントを与えちゃうので
言うに言えないんじゃないかと自分は予想しています。
もし仮にそうであれば、
今、それを安岡先生が示すメリットは何一つありません。
仮にあったとしても、それはあなたのような野次馬の好奇心を満足させるのがせいぜいです。
安岡先生の主張について、あなたが嘘と思うのは自由ですが、
それを声高に主張することによって、あなたは一体何を得たいのか、
まずはそれをはっきりと主張されるのが良いと思います。
安岡先生を嘘つき呼ばわりして得られる物は何ですか?
満足感?
業務上敵対者の排除?
多分見ている人はみんなもやもやしていると思います。
uxi
Re:もう可哀想で見てなれない (スコア:1)
mala氏解析により現時点の動作がホワイトであることが証明されたと同時に、それ以前(またはそれ以後も)においても、Orarioが解析時に不正アクセスをする合理的な理由がないので、なかったのではないかと申し上げているのです。
スクレイピングが目的であったとしても不正アクセスする必要がないのですから、敢えてリスクを犯さなくてもいいでしょう?犯さないでいいリスクは犯さない。そう考えるのが自然なのです。じゃあ逆に質問ですが、敢えてリスクを犯す理由は何でしょうか?不正アクセスをする理由とか動機を説明できますか?
安岡先生が証拠を示すことで得られるメリットはご自分が正しいということを証明できることです。
いまのままでは単なる嘘つきインチキ野郎です。そう言われてもしょうがないことをご自分でなさっている。
で、私が嘘つき呼ばわりしている理由ですが、それは将来のIT業界を憂いているからです。
間違ったことを学んだ学生たちがこれからIT業界に入ってくるわけですよね?
困るんです。本当に。
再教育するのが疲れるんです。
間違った教育は本当にやめてもらいたいし、学生には正しいことを学んでもらいたい。
そういう思いからです。
正しいことを学ばせる。本当はこれが教育者のあるべき基本的な姿勢だと思います。
誰にも間違いはある。どうか、安岡先生には正しいことを学生に教えていただきたいものです。
Re:もう可哀想で見てなれない (スコア:1)
mala氏の解析時の事を現時点と呼ぶことには同意できません。
また、mala氏の解析時にホワイトであったことをもって
それ以降の動作もホワイトであろうとの推測には同意できますが、
それ以前の動作もホワイトであったとの推測には同意できません。
Orarioが解析時に不正アクセスを行う実装から、
不正アクセスを行わない実装へ修正されたと仮定した場合に、
yasuoka先生の当初の発言とmala氏の解析結果に矛盾が無く、
yasuoka先生にも、mala氏にも嘘をつく合理的理由は無いと考えているからです。
蛇足ですが、
私は Orarioにより IDとパスワードを正規のログイン画面以外に
入力することに抵抗のない学生が発生する事を憂慮しています。
Re:もう可哀想で見てなれない (スコア:2)
それ、自分、間違いの指摘も含めて全部説明したはず。
100回音読してこいと言いたいけど、
改めて可能な限り懇切丁寧に説明したとしても君に正しく理解させる自信ない。ごめん。
あと、本当に、君の意図が読めない。
黙ってほしいのか?
説明してほしいのか?
たいへん困惑している。
単純に自分の時間浪費させるのが目的か?ならご苦労様とだけ。
ひょっとすると、「自分(uxi)の言ってることは間違っているので私(stkzk)の言ってることを認めてください」なのかもしれないけど、君の意見は論理的に破綻してるのは先に述べた通りなのだけど、理解してもらうのは諦めたので、その点だけはご認識ください。ごめん。
IT業界(Orario を除く)の中の人なの?
それはそれで、頭の頭痛が痛いんですけど?
uxi
Re:もう可哀想で見てなれない (スコア:1)
これがわからないですね。
Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
不自然な仮定には意味がありません。
そんなこといいだしたら、あなただって不正アクセスしたといわれたら反論できなくなりますよ。言っている意味わかります?
yasuoka氏が突然、あなたから不正アクセスされたといったと仮定します。不自然だけど仮定ならできますよね。(あのキチガイならやりかねないか)その場合、無実を証明する方法があなたにも第三者にもないのです。
当然、「私は不正アクセスなどしていない。したという証拠を見せろ」と言いたくなりますよね?
また、証拠がないにもかかわらず、第三者から不正アクセスしたと決めつけられたとしたらどう思いますか?
私ならその場合でも、「あなたに合理的な不正アクセスをする理由がみつからないので無実では?」と弁護しますよ。証拠も何も無いのに無実のものを犯罪者扱いしてはいけません。
その主張は、法治国家であるここ日本では通用しないのです。推定無罪なのです。
Re:もう可哀想で見てなれない (スコア:1)
痛いのはあなたの存在です。イタタタ
Re:もう可哀想で見てなれない (スコア:2)
そこしか突っ込むところなかったかー
それジェノスのネタを更に冗長にしてみたんだけど、
頭痛くて脳みそ融けてる感じを読み取ってもらえたようなので狙い通りですね。
なかなかいい表現でしょ?ふふふ
uxi
Re:もう可哀想で見てなれない (スコア:1)
>>Orarioが解析時に不正アクセスを行う実装から、不正アクセスを行わない実装へ修正されたと仮定した場合に
>これがわからないですね。
>Orarioが解析時に不正アクセスを行う実装をする必要がないことは説明しました。
>スクレイピングをするにも必要ないのです。必要がなければ不正アクセスはしないと考えるのが自然でしょう?
>不自然な仮定には意味がありません。
一般にソフトウェアの設計・実装は徐々に改善していくものです。
そのため、過去の実装において実際には必要のない不正アクセスを行う実装が
行われたとの仮定はそれほど不自然では無いと考えます。
また、私には
「自分で管理していないサイトの IDとパスワードを要求するアプリに
ついてその設計・実装が最初から必然性に基づき理路整然としていた」
と仮定することは困難です。
現在のところ、以下の2つのリスクのある行為のどちらかが行われた可能性があると考えていますが、
・Orarioが不正アクセスを行った。
・yasuoka先生が事実に基づかない告発を行った。
私としては「yasuoka先生には積み上げてきた信頼があるため、
事実に基づかない告発を行う事は無いだろう」と判断しました。
Re:もう可哀想で見てなれない (スコア:1)
犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
繰り返しですが、犯罪が行われたとする仮定は、証拠がないとやってはいけないのです。ましてや、orarioには理由も動機もない。
疑うのは勝手ですよ。しかし、yasuoka氏がやっているように仮定をもとに犯罪者ときめつけ、単位を取り消すとする行為はやりすぎです。また、その行為が正しいとするなら、それを学んだ学生もまたその行動が正しいのだと考えるでしょう。
ここは北朝鮮ではないのですから、将軍様、yasuoka先生がそういったからといって正しいわけではないのです。気が狂ったかもしれないじゃないですか。すべては事実を元に判断しなければ法治国家とはいえません。あなたは、もしyasuoka氏があなた自身に対しても事実に基づかない告発を行った場合、受け入れざるをえないと思っているわけですね?
自分だけはそうならないと思っていますか?yasuoka氏だけじゃない、その他権威ある人から事実に基づかない告発が行われた場合、受け入れるのですか?もしそうなら日本に裁判所はいらないですね。
おっしゃる事はごもっともです (スコア:2)
自分の不明を恥じるばかりです。
まず、謝罪するところから始めないと建設的な議論が出来ないと思いますので、
「あなたの日本語能力および論理的思考能力は極めて不自由であると断じる他ない。」
と断じた点について、まずお詫びを述べさせてください。
あなたのおっしゃっている事は、理路整然としていて、大変利にかなっています。
法治国家たるやそうあるべきです。そう思います。
しかし、なぜか、
#3200523 [srad.jp]で指摘されている
論理的な解釈においてのみ
その明晰な論理に重大な破綻をきたされる。
一見、単純な時系列問題であるにも関わらずです。
また、自分の指摘に対しても process はどうでも良いような事をおっしゃいます。
しかしバレなければ何をやっても問題ないという主張でもないようです。
何か強い信念が邪魔をしているのでしょうか?
提案です。
まず、問題を3つに分けましょう。
事実確認について。
1つ目。
a.安岡先生が「Orarioガラミで取得した単位は取り消す場合がある [srad.jp]」において不正アクセスと断じられた。
b.不正アクセスは不正アクセス禁止法 [e-gov.go.jp]において法律上明確に定義された犯罪行為である。
c.法的な犯罪の成立要件について証拠を示さずに、犯罪者扱いするのは不適切である。
2つ目。
A. mala 氏の解析は過去のある一時点に関する物に過ぎない。結果は白である。
B. mala 氏の解析時点を除いた前後の任意の時点に関しては、客観的な検証結果が存在しない。
C. 第三者(ここではmala氏)の解析時とは A である。したがって「第三者の解析時はホワイト」であることが証明された。
D. 現時点とは B における1時点である。したがって「現時点の動作がホワイト」であることは証明されていない。
E. ただし mala 氏が第三者(つまり Orario 関係者意外)であるかどうかについて、客観的な資料存在は確認できない。
3つ目。
p. Orario はその仕組み上、開発者が少なくとも1名以上のユーザーについて、対象のシステム上に存在する情報の全てを閲覧し得る状態になければ開発そのものが不可能である。
q. 対象のシステムは、対象のシステムを保有する大学の学生でなければアクセスできない。
r. Orario は従業員8名(バイトを含む)である。
s. 現在、18大学のシステムに対応している。
t. s の対応大学数に対して r の人的資源が決定的に不足しており、開発者が利用者当人たりえない状況である。したがって、適切な手段で a を解決する方法が常識的に考えれば存在しない。
自分の見解について。
1つ目については、これについては確かにその通りだと思います。
a. について(不正アクセスを疑われる等の表現に)訂正を行う事で犯罪であるとの断定を避けるか
c. について証拠を示し犯罪を確定するか
という2択だと思いますが、
c については、それが皆さんの望まれている結果であるかどうかという点については疑問が残ります。
2つ目については、残念ながら私はこの説明で理解してもらえる自信がありません。
しかし、pharmer 氏をはじめとして他の方も、この解釈に異論を唱えられる方はおられないと思われます。
今一度熟考頂きたいと思います。
3つ目については、p のプロセスについて Orario が説明責任を果たさなければなりません。
システムトラブルが生じた際にどのような対応手段を取るのかという事も含めてです。
これは第三者による成果物の検証では決して解決できません。
以上です。
uxi
Re:おっしゃる事はごもっともです (スコア:1)
>1つ目
同意します。 >2つ目
A〜Cは同意します。
Dは同意しますが、証明されていないだけで合理的に考えると現時点もおそらく白です。
Eはmala氏はセキュリティの日本における第一人者です。所属はLINEだったと思います。
彼が白といえば間違いなく白です。orarioは無料でセキュリティ監査を受けることができて、しかも、malaさんのお墨付きがもらえてきっと喜んでいると思います。
付け加えて言うなら、私はこれまでも述べているように、過去を含めて白であることを証明できるとはいっておりません。
orarioが不正アクセスする合理的な理由がないので、していないのではと主張しているだけです。不正アクセスしたというのならその証拠を示すべきだし、それができなくてもせめて不正アクセスする動機ぐらいは説明できないと。
スクレイピングで不正アクセスは必要ないので他の動機があるはず。
アカウント情報を集めて売りさばくなんてのは妄想です。
3つ目
p、qは同意します。
r、sはよくわかりません。たぶん、そうなのでしょう。
tは優秀なプログラマーがいれば問題はない気がします。よくわかりません。だからといって不正アクセスをする理由にはならないと思いますが。忙しくて人がいないのであれば逆に不正アクセスなんかやってる場合ではないんでは?
不正アクセス(成りすまし)でない場合、ユーザである学生しか知りえない情報をどうやってorarioが入手したかという点を問題にしたいのかもしれませんが、学生が協力したのなら、守秘義務違反や目的外利用などで学生を罰すことになるだけで、orarioは関係ないと思いますがね。
私が問題にしているのは1つ目です。
Re:おっしゃる事はごもっともです (スコア:1)
2)については、はやく証拠を示すか撤回するかしないと毀損になってクビになっちゃいまうよ。まじで。
1)については、学生自身もきっとどういうルールに違反するのかわかってないと思いますね。
それをyasuoka氏に聞くと怒って単位落とされそうだから、ここはおとなしく従っておこうという感じでしょうかね。あー、京都大学最低ですな。
Re:おっしゃる事はごもっともです (スコア:2)
なる程、かみ合ってない理由がなんとなく分かった気がします。
不正アクセスて言葉の定義が違うんですね。
stkzk さんは法律上定義された犯罪である狭義の不正アクセスのみを言ってて、
自分は、もっと緩く、不適切なデータの取得を意識してるので、
そこが齟齬の原因ですかね?
かつ、自分の論点は、
開発者が本来アクセスし得るはずのないデータが
開発及び保守の際に絶対に必要であり、
そこの部分の透明性がないことを問題視しているんだけど、
stkzk さんはそれは狭義の不正アクセスの要件を満たすことなく取得可能でしょって言ってるのかな???
tは優秀なプログラマーがいれば問題はない気がします。
というのはどういう根拠でそうおっしゃられているんですか?
Orario の説明では、
「時間割アプリの「Orario」の特性と安全性について [orario.jp]」
において、アプリや京大のサーバーから
Orarioのサーバーに向かうデータはないことになっているんですが
少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
しかし、ここの部分の合理的な説明がない。
片やプライバシーポシリー [orario.jp]では、ID、パスワード、その他諸々、「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」収集しますよと言ってる。
一貫性もないし、説明責任が果たせていない。
mala氏は、へー、有名な人なんですね。知らなかったです。
てっきり Orario がリリースしてる18大学のうちのいずれかの学生さんだとばかり。
まぁ、LINEの中の人だと、多分学生さんじゃないので、どうやって大学と通信した?IDとパスワードはどうした?って話なんですけどね。
自分は、あのレポートには読みはしましたが全く価値を見出してなかくて、あまり気に留めてなかったのですが、改めて読み直してみると妙に違和感しか残らないんですよね。
まず、
通信をキャプチャして調べた。似たようなことをしている人が既にいて仕組みについてはサービス提供者側が説明されているとおりだった。
って書いてあって、これ mala 氏本人の解析じゃなくて、多分別の人の解析結果(と思われるツイート)に関する感想なんじゃないの?って。
次に、
自分は「大差ない」とは思わない。アプリ内においても、サービスの説明においても、Appが大学サーバーと直接通信を行うことは説明されているので、この説明から外れる動作をすれば不正指令電磁的記録になるだけだ。ちゃんと法的な縛りがある。
とまで言っているのに、開発・保守の際に絶対に必要となる、Orario へのアップロードの事を全く考慮してないんですよね。え?それも不正指令電磁的記録扱いってことにして良いんですか?と。
Orario は前述の通り ID、パスワード、その他諸々、収集しますって言ってますよと。
uxi
Re:もう可哀想で見てなれない (スコア:1)
>不正アクセスって犯罪ですよ?
>犯罪を犯す必要のない人を犯罪者というのはあまりに無理すぎる。不自然です。魔女狩りです。あなたが不正アクセスをしていないように、orarioもしていないのです。
不正アクセスが犯罪なのは承知していますし、
必要もないのに犯罪を犯したと仮定するのが不自然なのも理解できます。
ただ、業務妨害や名誉棄損も犯罪です。
yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。
証拠を出すべきだとの意見もありますが、
証拠をネットに上げるのではなく必要になったタイミングで
警察等に引き渡す方がより適切な手続きなのではないかと考えます。
Re:おっしゃる事はごもっともです (スコア:2)
1) は、自分他数名の方が指摘していますが、情報セキュリティ関連の講義であれば、orario の問題点を指摘出来ないような場合、単位認めていいのかって疑問が生まれる可能性はあるかもしれません。#3196935 [srad.jp]
2) は、法律上定義された犯罪としての狭義の不正アクセスについて、確実な証拠があるなら何ら後日裁判等で示せば何ら問題はないでしょう。ないなら補足なり訂正は必要でしょうけど。
安岡先生が危惧されている点は
#3197937 [srad.jp]
京都大学のシラバスとOrarioの匿名加工情報 [srad.jp]
Orarioに対する営業妨害と非識別加工情報 [srad.jp]
で書かれていますが、
多分、無料アプリである Orario がビジネスモデルを明示してない点も疑念を抱かれる原因の一つで、
本人の同意の上とは言え、京大のシステムから個人情報抜き出して営利活動に利用する気なら
独立行政法人等非識別加工情報をその用に供して行う事業に関する提案書 [ppc.go.jp]
出すのが筋じゃね?ってのは当然の主張のように思えます。
あと、この件とは直接関係ないかもしれませんが、
経営学部4回生・芳本大樹さんがビジネスプランで経済産業大臣賞受賞 [ritsumei.ac.jp]
を2016年3月10日付けで受賞してるのに、既に現時点で
i-generations [i-generations.com]
http://i-generations2014.com/ [i-generations2014.com]
は共に破棄されてちゃってるんですよね。
WHOIS しても空き地になってる
https://www.whois.com/whois/i-generations.com [whois.com]
https://www.whois.com/whois/i-generations2014.com [whois.com]
Facebook の https://www.facebook.com/i.Generations [facebook.com]
はかろうじて残ってるんですけど。
所在地は
〒530-0017 大阪府大阪市北区角田町1番12号 阪急ファイブアネックスビル11F
なので、看板すげ替えただけなんだとは思いますが
事業としては完全に Orario に乗り換えたようです。
uxi
Re:おっしゃる事はごもっともです (スコア:1)
法律以外に定義があるんですか?知らなかったです。また、それに該当したらどういう罪になるのですか?そもそも、法律にないものをどうやって裁くのですか?もしかして、yasuoka氏も同じ考えなのですか?よくわかりません。
すみませんが、議論を噛み合わせるためにも、今後は不正アクセスといったら法律のことを指していると思ってください。
で、不正アクセスというのは、正確には法文を読んでもらいたいのですが、簡単にいうと、「許可されていないサーバに入って何か実行した。ただし、利用権者の承諾を得て行うのはOK」というものです。(細かいところでいろいろ突っ込みがあるかと思いますがわかりやすく書くとこんな感じです)
yasuoka氏は不正アクセスの証拠をどう示すかわかりませんが、実はサーバのアクセスログからわかるものは大してなく、通常のアクセスパターンでないものを見つけたところで、一般の利用者が単にイタズラしたのか、それとも不正をしている者なのか区別がしにくいのです。
ログからアクセスした時間を調べて、そのアカウントの本人に確認してはじめて不正かどうかがわかります。いわゆる、成りすましがあったかどうかですね。
ところが、「利用権者の承諾を得て行うのはOK」なので、「ああ、その時間帯ならorarioさんに貸してましたよ」といえば不正アクセスにはならないのです。ここは重要なポイントなので理解してください。もちろん、不正アクセス以外の何か別の法に触れる可能性はあるかもしれませんが、少なくとも不正アクセス禁止法は無罪です。
なので、不正アクセスしないでトレース情報などの取得は可能です。
>tは優秀なプログラマーがいれば問題はない気がします。
これは意味がよくわかってなく、とりあえず忘れてください。
>少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
こちらも、誤解されているような気がします。
スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。
ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。
スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。
この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。
>プライバシーポリシーとの一貫性もないし、説明責任が果たせていない
こちらも何か混同されているかなと思います。もう一度、orarioの説明を見てみましょう。
「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません(学生アカウントは、利用者様のスマートフォンのみに保存されるため、弊社がこれを取得することはできません)。」
orarioが取得する情報は「利用者様がアプリ登録時に任意で入力いただいた情報」だといっています。
これは、orarioをインストールするときに聞かれる、学部学科、性別、卒業年度、(orario)ユーザ名、メールアドレスのことをいっていると思います。
これらは、orarioが独自に取得する情報ですからプライバシーポリシーに則って扱われますが、大学からとやかくいわれる部分ではないことに注意してください。
一方で、学生アカウントというのは、KULASISのアカウントのことです。これはそもそも取得しないのでプライバシーポリシーの適用にはなりません。
malaさんのレポートのポイントは、1) KULASISのアカウントがサーバに送信されていないことの確認をしたこと、2) 他に同様の確認をした方がおられること、3) orarioがクライアント側で動くJavaScriptコードを検証できる形にしているので安全性を高めるうえで意味があること、4) 後天的にマルウェア化可能だという批判に対してCSPの制限などを利用することで技術的に解決できる可能性があること、5) アプリ内やサービス内の説明から外れる動作をすれば不正指令電磁的記録になること、6) 利用権者の承諾を得て行うのは不正アクセスではないこと、の6点が示されています。
私はmala氏をかれこれ10年くらいウォッチしていますが、彼が間違っているのを見たことは一度もありません。
Re:もう可哀想で見てなれない (スコア:1)
>yasuoka先生が必要もないのに犯罪を犯したと仮定するのも、また不自然です。
yasuoka氏の言動から不自然ではないと私は感じています。
事の重大さに気づかず勢いで言っちゃたんんじゃないかな?
あなたがおっしゃるように、業務妨害や名誉棄損も犯罪なのですが、いまの時点でも自分が犯罪を犯そうとしていることに気づいてないのでは?
このままだと、あんたはクビになりますよ!って警告しているんですが、本当にわかっているんでしょうかねえ。心配です。
Re:もう可哀想で見てなれない (スコア:1)
mala氏は、orarioが説明どおりに動いており、サーバに学生アカウントが送信されていないことを確認すると同時に、クライアント側だけでJavaScriptによって処理するように工夫されていることについて、「リスクはサーバ側で大学アカウント保持するのと大差無い」ことはないといった旨の主張をされていました。
間違いを恐れずに例えていえば、金庫の中に格納するので安全という感じです。(若干違うけど、まあ、そんな感じ)
またこれは、orarioが大学アカウントを保持しないと宣言し、こういった安全策を講じているという事実が重要なポイントです。
でも、鍵をorarioがもっていたらいつでも金庫を開けることができるし安全ではないよね?という指摘に対しては、金庫を開けることはJavaScriptを見たらわかるので隠しようがないし、それを検証できるようにしている時点でサーバで管理するよりは安全だ、という反論ができます。さらに、CSPにすることでサーバにアクセスできないようにする、つまり技術的に金庫を開けなくすることも可能ともいっています。
ちなみに、サーバに情報を送信することが法に触れるとか、そういう前提ではありません。
MoneyForwardやfreeeではサーバで管理していると思われますが、何か問題になっているわけではないです。
あくまで、サーバで管理するよりは安全だといっているにすぎません。サーバに送信しないことでより安全性を高める努力をorarioがしているということであって、実際にmala氏たちによってその事実が確認されているということなんですね。
それに対して、yasuoka氏は、画像取得などのURLにアカウント情報をつければサーバに送信できるとかいっています。
いや、そういう話しじゃないでしょ?この人はバカなんじゃなかろうか?と私は思いましたね。
この人なら勢いで犯罪犯すわと。
皆さんはどう思われましたか?
言葉は難しいですね (スコア:2)
いろいろとありがとうございます。
安岡先生は「不正なアクセス」とでも書いてくれてれば良かったのかな?
自分も、
不正アクセス禁止法で定義された不正アクセスと
その成立要件は一通り存じておりました。
その上で、
安岡先生のあの書き込みを見て、
強い憤りまでは読み取れたんですが、
明確に犯罪として告発する意志、
言い換えれば裁判もいとわないという意志までは
読み取る事が出来なかったんですね。
確かに字面だけ読めば犯罪の告発とも読めるんですけど、
ここは所詮は場末の雑談サイトですから、
逆に行間しか読んでなかったと言いますか。
ですので、自分が論点にしていたのも犯罪か否かではなくて
Orario は出してる資料がいろいろとおかしいし、
ちゃんと説明責任を果たすべきだろという点になっいたと思います。
疑わしきは罰せずと言いますが、
それ以前に、疑わしいのは使っちゃ駄目だぞと。
疑いが晴れるような説明をちゃんとしてよねと。
蓋を開けてみると、なる程なという感じですが、
新聞報道 [srad.jp]を見ると、
どうもアカウント貸しのような事が行われていたような事を伺わせる発言(在学生の協力)があって、
そうすると、安岡先生の「少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。 [srad.jp]」という発言は、
アプリではなく Orario 社内の PC から直接スクレイピングを行っていたという事実が
ログに残っていたと仮定すれば、大変納得が行きます。
アプリからしかアクセスしないと言っているのに、
Orario からのアクセスがあったのは説明と異なるだろうと。
これはつまり、Orario が説明責任を果たせてないんですね。
しっかりと足跡まで残しているのに、それについて言及してなかった。
今回の報道で、納得だれたのかどうかは分かりませんが、
Orario からのアクセスでログに残っているユーザーが1名なら、
しぶしぶだとしても納得せざるを得ない内容にはなってると思います。
しかしユーザー数が圧倒的に多数にのぼった場合、まだ納得は出来ないだろうなと。
>少なくとも、HTML の構造を何らかの方法でプログラマーが手元に持ってこないといけない。
こちらも、誤解されているような気がします。
スクレイピングするにはたしかにサーバの情報は必要なのですが、それが一部でもorarioに上げられることはありません。少し想像力を働かせて次のことをイメージしてもらえますか。
ある地図があって、その上にアクリル板をのせ、道筋をペンで描いたとします。地図は大学の著作物(サーバからのデータ)、道筋はorarioの著作物(スクレイピングプログラム)です。
スクレイピングで必要なのは道筋(ロジック)であり、アクリル板に書いた情報だけですので、もう地図は破棄して構いません。つまり、大学の情報はorarioには載っていないのです。また、どのような道筋でいこうとorarioの勝手なわけです。
この手の話は、APIの著作権の議論にも通じるものがあるのですが、少なくともアメリカではフェアユースであれば許されています。
ここは、相変わらず話がかみ合っていませんが、
それは、完成品の話です。
開発時にプログラマーは、下の地図が黒塗りだと、アクリル板に道筋を描けません。
下の地図が空けて見えている必要があります。
つまり、地図を手元(つまり Orario 社内)に持ってくる必要があるんです。
それはどうするんですかと。
それは完成品をいくら評価しても駄目で、
ある日、サーバー側の変更で未完成品に成り下がってしまった場合に、
再度必要なるんだけどどうするんですかと。
そこの安心材料を示さないと駄目でしょと。
それは上の新聞報道において、「在学生の協力」という曖昧な表現で一応は示されたので、
協力者のアカウントでやったんですねという理解は可能にはなったんだけど、
その協力者が協力可能なのは在学中限定なので、卒業した後、後任が確保出来なかったらどうするんですかと。
それはサービスの継続性という、ユーザーの利便性にも繋がるんですが、
プライバシーポリシー [orario.jp]では
基本情報:所属大学、所属学部・学科、性別、卒業年度、登録時間割情報、ユーザー名、メールアドレス、パスワード
その他登録情報: プロフィール写真、クレジットカード情報
端末の個体識別ID、端末情報等のご利用環境(型式・OSバージョン・アプリバージョン)、アプリ内の操作ログ情報、利用履歴、起動日時、広告表示、閲覧した情報
を利用者情報として取得し「本アプリのエラー・バグ対応等、本サービスの保守および改善のため」に利用すると書いてあって、それは非常手段として Orario 社に送ると言う意味ですか?という点ではまだ疑問が残るわけです。
上の新聞報道を見ると、
また学生がアプリを利用する場合は、大学名や卒業予定年度、時間割の内容などの「利用者情報」が同社に送られる。
と明記されていて、弁明には無かった Orario 社に向かう矢印もちゃんと明記されているので、
この説明なら説明としての整合性は取れてて異論はないんですけどね。
残念なのは、これをちゃんと Orario が自分自分で用意出来なかったこと。
「学生IDとパスワードは当社のサーバーを経由しておらず、当社が取得・保持することはない」と言っちゃった手前、
流石にそこ破ったら不正指令電磁的記録って、mala 氏も指摘してますし、最低限そこだけは守られるんでしょう。
でも、スクレイピング結果はアプリからまるごと送られちゃうんだろうなと。
もっと言えば、ユーザーがアプリを立ち上げなくても、
障害対応の名目ならバックグラウンドでスクレイピング結果だけ Orario 社に送りつけても多分問題の無いプライバシーポリシーですねと。
それはプライバシーポリシーには書いてあるんだから合意の上って意味では仕方ないんだけど、
学生がそれをちゃんと認識しているかどうかという点ではまた別の問題が起こり得るかもしれません。
まぁ、ここまで分かってて使うなら、その先はもう自己責任なので、それは仕方がないんですけど。
あと、mala 氏の資料 [github.com]で挙げられてる @mage_1868 氏(CTF1位 [twitter.com]凄!!!ってどう見てもスコアがおかしいんだけど流石に4月馬鹿ネタだよね?)の資料で一つ安心したんですが、
orario の js 配信サーバーがちゃんと https になってますね。
もっとガバガバかと思ったら意外とちゃんとしてた。
おかげで、mala 氏の言う js が検証可能は https を MITM でキャプチャして解析とかあまり万人向けだとは思えませんけど。でもまぁやる気があれば出来る。
でもこれ、js も含めて Orario の著作物なんだから、これって禁止って言ってたリバースエンジニアリングでは?
本来、アプリと orario のサーバー間で秘匿されてる情報だし、
これが OK なら apk 解析も OK なんじゃ?
という疑問。
個人的には、自分の端末の安全を確認するのは当然認められるべき個人の権利だろと思うけど。
これ、通信先は Orario サーバーだけなので、
やる気になれば、アプリ側で MITM 検出してエラーで弾けるはずだけどなー。
uxi
Re:言葉は難しいですね (スコア:2)
本来、大学関係者たりえない Orario が、社内からアクセスしてくるはずはないし、
Orario は JavaScript を(積極的に)公開はしてない(むしろどちらかといえば秘匿している)わけで、
そこの説明責任を果たす必要があるということを自分は言ってつもりなんだけどなぁ
通常、アカウントの貸し借りはするなと教えられてるはずだし、
特に商業目的のそれについては、規約上制限があってもおかしくない。
だからこそ、各大学から、警告文が出る事態になっている。
不正アクセスが法律用語としてセンシティブなのは理解出来るし、
おっしゃることはごもっともとは思うのだが、
ではあれを
「先月までのアクセスについて納得の行く説明がない場合、不正アクセス禁止法で告訴する準備がある」とか
「先月までのアクセスについて納得の行く説明がない場合、不正アクセスとみなさざるを得ない」とか書かれていたならどうなのか?
「殺す」って書くのと「糞腹が立った」って書くのと、
よほどのキチガイでもない限りは、
前者を書いても意味合い的にはまず後者のはずなんだけど、
まぁ、警察は動くよね。
そこはコンセンサス取れてると思うけど、
「不正アクセス」でそのコンセンサス取れてるかというと、
多分自分が知ってる範囲だと、今回の件が始めて。
「不正アクセスを繰り返していて」を
「殺人を繰り返していて」に
すんなりと読み替えて、
同じ重みで評価している人がどのくらいの割合いるのかはよく分からないし、
少なくとも、自分はそうじゃなかった。
この件に関しては、これ以上自分が何を言っても水掛け論なので、
やるなら、「スラド国民投票」で
https://srad.jp/~yasuoka/journal/611343/ [srad.jp]
の「不正アクセスを繰り返していて」で言う「不正アクセス」は
○不審なアクセス
○不正アクセス禁止法の要件を満たす犯罪行為を疑っている
○不正アクセス禁止法の要件を満たす犯罪行為と断定している
○何それおいしいの?
とか
「不正アクセスを繰り返していて」と「殺人を繰り返していて」は
○法律用語的な解釈では同義だが、日常感覚的な解釈では違う
○法律用語的な解釈でも、日常感覚的な解釈でも同義
○何それおいしいの?
とか聞くくらいしか思いつかないが、
聞き方を工夫しないと有意な回答が得られない気がする。
ただ、少なくとも Orario 関係者であれば、
あれが何を指しているかは理解出来るだろうし、
サービス性質及び長期的に安定供給を考えた場合
開発用アカウントの調達問題は
ビジネスのコアロジックにおける最大のリスクとして認識してないといけないはず。
ネットに公開されてれば OK ってのは、
その論法が通るなら、
apk だって、ネットに公開されてるし解析して OK になる
https は暗号化されているんだから、
これの解除は DVD 等で言うところの複製防止機能等の解除扱いと同等の行為という主張は十分に可能だし
むしろ apk の方が暗号化とか何も施されてないんだから裸も同然
不正指令電磁的記録については、
その説明が意図的に錯誤を狙っていてもそう言い切れるかは疑問
実際、弁明の資料では、IDとパスワードと言っていて、
報道にある Orario 向きのその他のデータの矢印は
意図してかしなくてかは知らないが示されない状態であった。
自分の指摘の出発点もそこにあったはず。
ワンクリック詐欺とかの案件では
錯誤による契約は無効であると言われるが、
現実問題としてソフトウェアの利用規約を読み正しく理解した後に
同意をクリックしている利用者がどれほどいるか?
あの図は、そういう意味ではかなり重要な役割を担った図のはずで、
そこは、誤魔化す気はなかったとしても、省略するのも不誠実でしょって思う。
安心させたいための資料なのに、本来あるべきはずのものがないと、
不安を持っている人からすれば、えー?ってなる。
無用な心配をさせないようにとか思って省略したのかもしれないけど、
余計な配慮はしちゃ駄目。
あるものは、あるがままに書かないと。
いろいろと示唆に富む話だな。
uxi
ごちそうさま (スコア:3)
新垢、捨て垢ばっかじゃんって指摘してもなお、
更に新しい捨て垢取ってまで一言いたかったのだけはよく分かったよ。
裸の王様。井の中の蛙。うんありがとう。君に言われると最高の褒め言葉だ。
正論・理想論家。ちゃんと評価してくれたんだね。ありがとう。
折角褒めてくれてるんだから素直に喜んでおくよ。
前置きはこのくらいにして、
全部別の人って可能性を考慮しても、普通こんなに捨て垢がわかない。
自分の中では、これ繰り返されると疑惑に対する確信が増してるんだよね。
だって、本当に無関係の第三者がこの問題で、安岡先生はともかく、
自分に対しても、こんな場末の雑談サイトで、
問うている事の核心をわざわざはぐらかしてまで
からんでくるモチベーションが全く理解できない。
しかも、わざわざ捨て垢取ってまでだよ?複数人も。
これは、凄く異常な事だ。
加えて残念な事に、君の書き込みは、自分にはますます確信を与えている。
annonynrm にはうんざりしてるので、それがなぜなのかは言わない。
仮に自分が Orario とは無関係の悪意の第三者にそのように誘導されて踊らされているんだとして、
まぁ、それはそれで構わないけどさ。
だって、これやってるのが Orario の中の人じゃないなら、少しは安心材料になるからね。
杞憂なら結構。
でも万が一、万が一にも、中の人だったのなら、
自分や安岡先生の懸念は残念ながら的中してしまっている可能性が極めて高いって事になる。
それはとても困る。
本当、勘違いであって欲しいね。
裸の王様であれ、勘違いであれ、これは指摘しておかないとマズイ問題なんだよ。
そこんところ、よろしく。
uxi
Re:様々な「可能性」 (スコア:2)
新規IDをせっかく取ったのですから、それを「捨てアカ」にしないで下さいね、nishiokaさん。まあ、私(安岡孝一)が「裸の王様」だという「可能性」もあるとは思うのです。ただ、そうだとして、どうしてそれでnishiokaさんが困るのか。あるいは私の昨日の日記 [srad.jp]が原因なのかなぁ、とも思うのですが、様々な「可能性」がありすぎて、さて、どうしたらいいんでしょうね。
Re:様々な「可能性」 (スコア:1)
そうですね。
私自身が困るのではなくて、これだけの立場にいらっしゃって人に教える立場にいる方からの一連の横暴とも言える発言に少し残念な気持ちを持っているからです。
uxi氏の発言がさらにyasuoka先生の株を下げる結果になっているとも感じています。
何故か新規IDを取って反対意見を述べる人全てをOrarioの中の人だの、anonnrmだのと決めつけて発言したりするところも大変残念でなりません。
また、さらに残念なことに、yasuoka先生とuxi氏のお二人と、他の皆さんのそれに対する指摘のやりとりを拝見すると驚くほど噛み合っていないのです。
議論ではなくてもうお互い別世界にいるとしか思えないくらいの状況です。
それに気づかないのか、それとも意図的にやっていらっしゃるのかわかりませんが、
ご自身の視点が全て完璧だと思っているのではないかと疑ってしまうほどです。
よって、大変失礼ながら、井の中の蛙、裸の王様と表現させて頂いた次第です。
釈迦に説法ですが、物事には理想論と現実論がありますし且つ立場によって見え方も様々です。それぞれが大事な考え方だと思います理想なき現実論も現実なき理想論もおかしな方向に行くだけです。
yasuoka先生が持つ豊富な知識を、
色々な見方、考え方において前向きに物事を進めるために活用することができたらよいなぁとぼんやりと思いました。
Re:様々な「可能性」 (スコア:2)
決め付けについては、うん良くないね。残念過ぎる人だよ自分。
でも、新垢の皆さんはそのように書いて欲しい書きぶりだったから、
ご期待に沿うように書いてるつもり。違ってたらごめんなさい。
自分と話がかみ合ってないのは、新垢の皆さんだけでしょ?
自分は、新垢の皆さんに聞かれたことには一応見解は示しているはずなんだけど、
新垢の皆さんは、どういうわけか、自分の疑問には何一つ満足な見解を示してくださらず、
例えばあなたの場合にしても、一言目から裸の王様だの井の中の蛙だのおっしゃる始末だよね?
あー、それ触れられると新垢の皆さんは余程都合が悪いんだって思っちゃわない?普通?
ラウドマイノリティーって言葉を知らないのかな?
嘘も100回言えば本当になるって言うし議題設定効果の観点からして、
君らの根拠のない意見野放しにするわけにもいかんでしょう。
安岡先生の株を下げているならそれは本当に申し訳ないことだし、
それでなくとも日記を荒らしているので本当に申し訳ないんだけど、
幸い安岡先生は自分に対してはほぼノータッチを貫かれているので大変ありがたいです。
uxi
これが釣りの醍醐味ってやつか (スコア:2)
そう返すの分かってて書いてたけど、
まさかそっちの垢で返してくれるとは予想外だったわ。
これまた大きいの釣れたなー。予想外の収穫。本当ありがとう。
君には是非とも1点確認したい事があったんだよ。
マイノリティ発言、考えてないと思ったの?本当に度し難いよ。
あまりにも反応が予想通りのすぎて笑えて仕方ない。
それで?今度はソース厨ですか。いい響きだねー。
お聞きしますだって。あは!☆w
知りたい?知りたいでしょ?当然知りたいよね?
だが断る!!!
いや、本当にいい。この台詞一度言ってみたかったんだよ。気持ちよすぎ。ありがとう。
折角ソース厨認定してくれたことだし、こう返してあげるわwww
お前は前言撤回して俺に煽り入れる前に、まず、Money Forward の件 [srad.jp]について、お前の発言の根拠を示すべきじゃね?
「根拠なき中傷により営業的損害を受ける可能性があります [srad.jp]」なんて言い始めたのは一体どこの誰だったかなー?
どの口で安岡先生恫喝したんだっけー?
あれー?忘れちゃったのー?本当笑わせてくれるね。
せめて1つくらいは筋通せっての!!!前言撤回く~ん
は~い、みなさ~ん、見ててください。こいつ、このまま逃げますからねwww
こいつはそういう奴です。って煽る俺も最低だけどさ。orz
uxi
一応謝罪しておくか (スコア:2)
「こいつ、このまま逃げますからねwww」とか煽ってごめんなさい。
Money Forward の件、逃げずにちゃんと回答してくれましたね。ありがとうございます。
これは別にあなたを辱めるのが本位ではなく、
あくまでもあなたに逃げずに回答してもらうための方便でした。
気分を害されたのでしたらごめんなさい。
まぁでも、やっぱり根拠はなかったんですね。
あくまであなたの推測でしかないと。
分かりました。ありがとうございます。たいへん満足のいく回答です。
一言申し上げておくならば、
お言葉を返すようですが、
それって、あなたに特大のブーメランになってる事分かって言ってますか?
ご理解されてないなら、今一度#3200911 [srad.jp]を語熟読ください。
あと、「知りたい?」の件は、
あなたが「お聞きしますが」とおっしゃられています。
何を聞きたかったんでしょうね?
自分はてっき☆あ、ごめんなさいここはこれ以上書いちゃ駄目なんだそうです。
ごめんなさい。
もちろん、あなたが調べたって書いてる事はちゃんと熟読させてもらってます。ご安心ください。
uxi
いや、こっちの方がぽかーんだよ。 (スコア:2)
後出しでそういう事言われてもねー。
しかも、それ客観的に検証出来る手段ないでしょ?
それこそ会ってあなたの素性を正すくらいしか。
これまでは、推測か否かだったけど、
これからは、法螺か否かに
判断基準が移っただけに過ぎない。
あなたは法螺じゃない事をどうやって示すと言うの?
よく考えて物は言ってくださいよ。
あなたは今、
元とはいえ Money Forward の中の人は、
意味不明な要求をした挙句に、一方的に話を打ち切って、恫喝までして去っていく人だと
告白した事になるわけだけど、本当にそれで良いんですね?
それは正しく、あなたが言う所の
「根拠なき中傷により営業的損害を受ける可能性があります [srad.jp]」
に当たるのではないのですか?
uxi
Re:一応謝罪しておくか (スコア:1)
本来あるべき姿は、おっしゃるようにAPI化とOAuthなどの安全な権限移譲の仕組みの導入です。
そうではない現状では、一度、アカウントを預けてしまうと、本人ができる権限のすべてが無条件に移譲されてしまいます。
つまり、アプリが実行することはすべて本人が同意したことになり、後で知らないなどと言い逃れすることはできません。これはあまりに危険な状態です。
なので、私個人としては、スクレイピングを主な仕組みとするアプリはその危険性を主張することはあっても推奨することはありません。MoneyForwardやfreeeなどのサービスは使いませんし、使ったこともありません。
さらにいえば、世の中のイノベーションのために多少危険なものにも許容しようという風潮にも疑問を感じています。それはセキュリティで二の足を踏んでしまっているベンチャーがたくさんいる一方で、危険をかえりみずイケイケで進むベンチャーばかりが脚光を浴びるのは不公平だからです。イケイケドンドンなベンチャーはセキュリティ事故起こして爆発しろ!と心の中で思っています。
セキュリティをまじめに考慮すると時間もコストもかかるので、イノベーションが生まれにくくなるとは思います。しかし、真面目にセキュリティに対応しようとしているベンチャーが後塵を拝する現状はよくないと思っています。
それは、イノベーションよりも大切なことのように思うのです。
しかし、だからといって、yasuoka氏がやっていることが許されるわけではありません。
スクレイピング手法にはいろいろ問題はありますが、不正アクセスではないのです。
orarioはあくまで合法でホワイトなツールであり、orarioを非難するのは筋違いです。
使用する学生が責任をもって使えばいいだけの話です。何か問題があればその人に降りかかるだけですから。
yasuoka氏がとやかくいう話しではないのです。
Re:一応謝罪しておくか (スコア:2)
uxiさんが仰っていたとおり、
「赤信号みんなで渡れば悪くない」
ではないというのは私も同意です。
人の発言の趣旨を無視して曲解、もしくは拡大解釈しないでください。
厳重に抗議します。
今では日銀や金融庁でさえもこの手の技術の有効性について触れています。
既にオンライントレードがずいぶん前から当たり前になってるし、
彼らは金の匂いには極めて敏感なわけで、
自分たちの利益になる分にはどんどんやれって立場でしょう。
それから、「ただ当時は全く受入れられなかったんですよ。」っていつの時点を言ってます?
その時のあなたのポジションすら書いてないし。
中の人を匂わすような内容で書いてるけど、
これらは一般の第三者でも知り得る情報なので
あなたの経歴対する何の証左にもなりません。
全銀協の資料は参考になりそうなので、お礼を言っておきます。
でも、これちゃんと書いてあるよね?
アカウントアグリゲーション・サービスがどうあるべきかって事について事細かく。
これ平成14年なんだから2002年の資料ですよ。
2012年5月設立の Money Forward がこれを遵守せずにやるわけないでしょ。
ちゃんと既存のルールに則ってやってるはずだよね?
少なくともトラブルを避ける努力はしているはずだし、
実際、報道記事としてそれらのトラブルの痕跡がほとんど見当たらないのは、
その推測を後押しするに足る事実のように思われるわけですよ。
しかし、それは、あなたが言う所の「始めは無許可で多くの金融機関に対応するところから始めています」とはずいぶんと印象が違うよね?
少なくとも現状の Orario のスタンスとは天と地ほどの開きがるんじゃないかな?
自分はそう感じるよ。
uxi
Re:一応謝罪しておくか (スコア:1)
私の表現だと、orarioがあたかもアカウントを保持しているかのような誤解を与えそうですね。
MoneyForwardやfreeeなどと異なり、orarioはアカウントを保持していないので安心です。
「弊社が取得する情報は利用者様がアプリ登録時に任意で入力いただいた情報のみであり、弊社が利用者様の学生アカウントを取得・保持することはございません(学生アカウントは、利用者様のスマートフォンのみに保存されるため、弊社がこれを取得することはできません)。」
http://www.orario.jp/wp-content/uploads/2017/04/Orario%E3%81%AE%E5%AE%... [orario.jp]
ダウト (スコア:2)
それには疑義があります。
プライバシーポリシー [orario.jp]ではかたっぱしから取得するような事が書かれています。
嘘を言っているとまでは言いたくありませんが、
その点の齟齬について全く説明責任が果たせていません。
スクレイピングの仕組みと開発方法、Orario 社の開発体制から考えれば、その弁明は明らかに何かがおかしいです。
uxi
Re:ダウト (スコア:1)
https://srad.jp/comment/3202117 [srad.jp]
えー (スコア:2)
なら、もう少し書きようもあるでしょう。
確かに annonynrm 氏の可能性も考慮してはいたが、
断定だけは避けて書いてたつもりなのになー。
とりあえずは自分が言ってること、まず振り返って欲しい。
あなたの ID 取っての一言目って、「裸の王様であり、井の中の蛙」だよ?
建設的な意見交換したいなら、
出会った第一声で、こんなこと言うべきじゃなくね?
それは最初っから議論を放棄してる表明では?
てっきり煽って炎上ねらってるんだと思ったよ。
だから期待に答えてあげたに過ぎないわけだけど、
建設的な意見交換したかったなんてびっくりだ。
実社会はもとより、ネットでも議論にならないのは自明だよね。
自分の意見が全て正しいとは思ってないけど、
そもそも自分の意見が間違っていると
確信を持って書いている人がいるなら見てみたいよ。
少なくとも、書いた時点では正しいと思って書いてるんじゃないの?
間違いである可能性は考慮したとしてもだよ。
あなただって、あなたが正しいと思って、今のコメントを書いたんでしょ?
>自分の疑問には何一つ満足な見解を示してくださらず
については事実だよね。
論点ずらすし、聞いていることじゃない事をあえて答えるんだから
確かにかみ合うはずがない。
しかもそれについて別の新垢から
自分に対して「裸の王様であり、井の中の蛙」って攻撃が来る。
なんで、みんな論点ずらすの?
都合悪いの?って思うでしょ?
しかもみんな新垢。おかしいよね。
言ってることもやってることも。
あー、被害妄想も一応考慮してはいるけど、
少なくともID持ちがやると多分こうならないって
半分位だけど確信があるので念のため。
uxi