■今流行ってるOrarioと大学側について思うこと

Orarioについて思うこと

Orarioについて

現在大学の中でOrarioのアクセスがどうこうという問題が起きているようだが、

ひとまずこの記事については、下記URLにある、京都大学の専門家であらせられる記事について、一人歩きしてる感があるので、

もう少し彼のような上流側（という表現で良いかどうかは不明だが）の専門家ではなく、

下流でプログラムをガッツリ書いているほうの専門家として私(匿名で失礼)が纏めたいと思う。

https://srad.jp/~yasuoka/journal/611343/

不正アクセスという言葉の曖昧性

Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。

Orarioの特性と安全性について、本当にスクレイピング技術をクライアント端末側で行っているのであれば、

この部分は間違いではないと私(匿名で失礼)は考えている。

この部分の書き方、実に大学教授らしい逃げ道を多く用意していて。

KULASISにずっと不正アクセスを繰り返していて

上記発言、これは本来「開発時の検証段階」の話をしているのであれば「正解」、である。

逆に今のOrarioの通信についてを不正アクセスとしているのであれば「正解ではない」、である。

何せ、開発者が勝手にアカウントを使って入り込んで様々な検証を行う必要があるため、

学生からIDとパスワードを借りたはずだ。

借りてログインするのが不正かというと微妙なラインだと思う。

この辺りにもやっぱり大学教授のいやらしさがあって

KULASISサーバに対してクラッキング/ハッキングを行って根こそぎどうこうしたなどという大がかりな不正アクセスではなく、

あくまで大学側が定める規約規則から若干外れた使われ方がされているという意味の不正アクセスである。

法律的には、正直不正かどうか微妙なラインになる。

（そもそもスクレイピングなんて技術を使う連中はID/PASSWORDがない状態でのサーバへの不正アクセスなどできない

開発時は「京大のKULASISアカウントをもったユーザが開発に携わっていないのであれば」押し出してきている京大の規約によれば、不正アクセスにあたるのかもしれない。

個人的には当たらないと感じるが。

現在動いているアプリは不正アクセスと断言できない

現在動いているものは不正アクセスではなく、

京大の規定に定められたユーザが「特定のブラウジングツール（Orario）」により、

KULASISにアクセスしているのだからアクセスとしては不正ではない。

本当にスマートなWebスクレイピングで行われているのであれば、Webブラウザと全く同じ動きをするはずで、

それを不正アクセスと断罪してOrarioは不正というのは表現が汚いと考える。

これはコメント欄にもあるが、

https://srad.jp/comment/3196554

また、ChromeやSafari（及びその他マイナーなWebブラウザ）なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか？

ご大層にはっておられるリンクを流し読みをする限り、そんな厳格に何かを定めているわけではないように思われる。

それ故、実際にOrarioがスマートフォンによるスクレイピングを行っているのであれば、

Webブラウザの一種とも言えなくはない為、これを不正と断ずるのは、「正しくない」だろう

京大のユーザが開発に携わったかを証明できない以上、彼にとっては不正なのかもしれないが、

ここでそれをOrarioは不正アクセスと断ずる論理性が私(匿名で失礼)にはわからない。

アクセスパターンを公開できない理由とは？

他にもこの部分

Orarioアプリでは「Webオートメーション(Webスクレイピング)」と呼ばれる技術を用いています。この技術により、利用者様のスマートフォン（にインストールされているOrarioアプリ）に学生アカウント（大学ID・パスワード）を入力すると、自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得し、Orarioアプリの時間割テーブルに当該利用者様の時間割を生成・表示することができるという仕組みとなっています。

全く信用できない。少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。

この部分も怪しいものである。

Webスクレイピング技術に関して、なぜアクセスパターンが問題になるかが一つ疑問である。

下記のOrarioが出しているPDF(http://www.orario.jp/wp-content/uploads/2017/04/Orario%E3%81%AE%E5%AE%89%E5%85%A8%E6%80%A7%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E8%A6%8B%E8%A7%A3.pdf)にあるように、簡単にいうならばID/Passwordを利用したPOST通信を行い、その返答値をスクレイピング（切り貼り）している。

それをアクセスパターンを解析で一体何が取れるのか？という部分が、この辺りが分かる自称専門家の私(匿名で失礼)にもさっぱりわからない。

もっというと、「そんな風なアクセスパターンには見えない」、というならば、セキュリティの観点上公開すべきではないだろうか、

逆に一体アクセスパターンを見て私(匿名で失礼)も何を行っているのかが気になるところである。

ただでさえ、不正アクセスという言葉をつかって攻撃しているわけだから、

アクセスパターンを公開して断罪すべきだし、セキュリティ観点からみても他大学との共有はすべきで、

学生に対してもその証拠を出して止めさせるべきだろう、というのが個人的見解である。

学生の求める「単位」をつかって脅しをかけている時点で、お察しだが……。

そもそも上記で述べた開発時のほぼ不正アクセスと考えられる通信についてを「アクセスパターン解析で見つけた」というのであれば理解ができるが、

現在すでにスクレイピングが確立している通信に関して、アクセスパターンでOrarioかどうかを判別するのが可能かというと何とも言えないと思う。

（ご丁寧にOrarioが通信用のUserAgentにOrarioの文字を含めているなら別だが……

（もちろん、アクセスログを見て、ログインページからWebスクレイピングしたいページへ遷移するまでの時間を取るとあまりに短すぎる、という話ならやれるかもしれないが……。

たとえKULASISが京都大学がオリジナルで開発した大学教務事務パッケージだとしてもそうだろうと考えている。

同様に日立や富士通も同じような大学教務事務パッケージがあるが、

基本ログ処理がザルでろくにuser-agentの確認もできない大学も多く存在したりすることを知ってる自分としては、

本当だろうか？嘘を書くのもいい加減にしろ？　と思う。

大学側について思うこと

なぜOrarioが学生に人気か

UIが糞（システムのスマートフォン対応がノロい）だからアプリが流行るということに気づくべき。

富士通、日立にしてもそうだが、APIを提供したほうがいいのではなかろうか。

とくにKULASISだったか何だったは、京都大学謹製と聞いている（違ったら失礼

少なくとも他の大学教務事務パッケージではなかったと記憶している。

であれば、京都大学がAPIを提供し大学側で専門家を集めてOrarioを超えるものを作ってはどうか？

大学の予算確保の問題

実際大学でこういうことをやろうにも、問題になってくるのは予算で。

大学は、縦割り構造で、横とのつながりが極端に薄く。

教務、事務、学務、図書館、など様々な縦割りが存在し、それぞれがそれぞれの予算でそれぞれのシステムを入れている。

これが実に糞で。

一つの大きなシステムを入れ替えるとなると、横との連携をとって全ての組織の号令をとらなければならない。

その辺りが難しいのは知っているので文句は言えないものの、

ここまで問題になってくるとやはりその辺りの対応の遅さが問題なのではないかと考えている。

まとめ

学生がアホ　→　仕方が無い若いんだし

大学がアホ　→　学生に良い物を提供したいという思いがあるならもっとフットワーク軽くしろ

教授がアホ　→　曖昧な表現で、素人を先導しようとするのが見え見えで気に入らない

Orarioアホ　→　コメントにもあるけどやり方が汚いのは確かだから甘んじて受け入れろ

以上です

Permalink | 記事への反応(4) | 21:37

ツイートシェア