  |
はてなキーワード: パスワードとは
結論:場合による
https://togetter.com/li/1113766
https://matome.naver.jp/odai/2149564479015738601
この辺見てると、「そうだよね」というものと「いやいやおかしいでしょ」というものがどちらもある。批判している人の中には文系の慣行に詳しくない人もいるようなので、しがない文系出身者が「文系だとだいたいこんな感じ」というのを提示してみる(「お前の感覚おかしいよ」という指摘があれば教えてください)
「分析に用いている時点でこれは引用ではない」みたいなやつがおかしな意見の代表。いやいや、分析対象として使うのも立派な引用ですから。
たとえば、「私が好きな○○さんの二次創作小説はマジ文学なので文学作品として研究対象にします」だったら、それがマイピク限定とかでなく全体公開されている限り無断で引用して差し支えない(他人の机の中にしまわれている黒歴史ノートを無断で引用するのは当然のことながら違法です)。10年前に20部だけ頒布された同人誌に載っている内容でも引用してよいし、「バナナ」とか「前立腺」とかいう単語も容赦なく引っ張ってきてこの表現の含意はとかここで使われている暗喩法はとか分析していい。
文学研究ってそういうものなんで。たとえばナボコフの研究では、英語版とロシア語版を照らし合わせて登場人物の名前がどんなふうに変更されていてそれにはどういう意味が込められているかとかそういう細かな点を論ずる研究というのも実際あるし、そういう研究対象としての引用というのはまったく問題がない。作者に許可を取る必要もない。
それが本当に研究する価値のある文学作品であり、文学研究としての作法を踏まえているのなら、ラノベだろうが官能小説だろうが二次創作だろうが分析対象にしていい。異世界転生で俺TUEEEEEEであってもそこに文学として研究されるに値する何かがあるならガンガン引用することが許される。文学研究であるなら著者名と出典を明記することは研究倫理上むしろ必要不可欠だし、仮にそれで元の投稿者がマイピク限定にしちゃったりしても、このケースならそこまで研究倫理的に問題はない(と、私は判断する)。
現状、それをやっている人がほぼ絶無なのは、
という理由であって、やっちゃいけないなんてことはない。二次創作書きから直木賞作家とかに登り詰めて死後に全集が作られるような身分になったら生前に書いたピコ手の二次創作小説が掘り起こされて「若き日の習作」として分析対象になってしまうのも甘んじて受けよう。
しかし、問題は、これ文学研究じゃないですよね、という話で、テキストにあらわれる語の頻度を分析してフィルタリング機能に活かそうとかそういう研究だとまた違う話になる。たとえば「夏目漱石の作品中における接続詞の使用頻度」みたいな研究なら著者を明かすことに意味はあるけれど、この場合はそうじゃない。まあ一般的な語の用法の分析じゃないからコーパス使えないことはわかるけど、「有害な表現のフィルタリングのため」という目的で用法を研究するなら研究対象の具体的なURLと作者名は伏せた方がいいだろうし(これがまだせめて「“尊い”という語の用法」みたいに価値判断を加えていなければよかったかもしれないけど)、そもそも個々の作品のURLを列挙できる段階でちゃんとした研究とはいえないんじゃないんですかね。ふつうそういう研究なら、「○○新聞のデータベースで××年分の記事を検索して調べました」とか「pixivのデイリーランキング上位20作品を平成××年△月から△月まで○ヶ月にわたって調査しました」みたいなデータになるはずで、分析対象が10作品だけって段階でサンプル少なすぎるでしょ。いやもちろんサンプルが少ないから悪いというわけではないけど(談話分析とかならたった30分程度のTV番組を分析するだけで論文1本書けるだろうし)、フィルタリングを情報工学的に考えるならまずサンプルたくさん集めないと話にならないというか……
「pixivの規約に引用禁止と書かれている!」という主張はなんとも微妙だ。「は? それpixivの内輪ルールだろ? 著作権法上は自由なんだよ!」というカウンターも見られるが、そう簡単な話でもないと思う。
一般論として、引用は著作権法で保護されているので、それが適正な引用である限り(主従関係とか出典の明示とかそういうことね)自由に引用してよい。なので「無断引用禁止」と書かれている痛いサイトも自由に引用して叩いてよい、ことになっている。そういう意味では、「支部の規約より著作権法の方が偉いに決まってんだろボケ」派の言うことは正しい(実際、著作権的にはこれ問題ないとみなされる可能性が高いのではと思うが、法学クラスタの皆さんその辺どうなんでしょうか)。
しかし、ここで問題になってくるのは
ということだ。
それを読んでいるということは、検索で行き当たった作品を引用しているのではなくpixivのアカウントを取得してログインしそれらを読んでいるということだ。ということは、利用者としてpixiv規約を守る必要があるのではないか。少なくとも、利用しているサービスの規約に反して収集した情報を引用するのは、研究倫理に反するのではないか。
※追記:pixivの規約見たら「本サイト及び関連サイトにアップロードされている投稿作品の情報を、当該著作者(創作者)の同意なくして転載する行為」が禁止なのね。じゃあ、別に引用はしてもいいんじゃん。少なくともこの点で研究倫理がどうこう言うのは不当な非難だと思うので謝罪の上撤回します。
たとえそれが個人的な談話であっても、社会学や文化人類学では引用してよい。「○○村の女性Aさん(45)が私に語って聞かせた結婚生活の愚痴」なんてのも、これらの分野では立派な研究対象だろう。ただしその場合、事前に「私はこの村に社会学や文化人類学の調査で来ているので、皆さんの発言を研究に使います」と断る必要がある(増田にはフィールドワークの経験はないので、実際にどんなふうに許可を取るのかは知らない)。たとえそのような許可を取って滞在している村の住人の発言であっても、「これは絶対に論文に載せないでね」と言われたのに論文で引用したら、そらアウトだろうと思う。
だいいち仮に許可を取ってのことだとしても、社会学や文化人類学の研究なら普通は発言者をボカす。社会運動の指導者とかでもない限り、現代社会に生きる無名人の名前をそのまま載せるなんてありえない。ふつうは、AさんBさんとか、長門さん(仮名)と陸奥さん(仮名)みたいに処理した上で引用するの。
仮にそれが著名人であったとしても、使っちゃいけない、使うべきでない類の資料というのもある。たとえばちょっと前に、毎年ノーベル賞獲れなかったと騒ぎになる某作家さんの高校時代の図書館での貸し出し記録を調べてドヤ顔で記事にしてた新聞があったけど、と、図書館の自由に関する宣言~~~~~ってなりますよね(実際日本図書館協会は激おこだった)。
これが歴史学だとまた話が違ってくるというか、たとえば、百年前の新聞の投書欄を分析して当時の世情を研究するみたいな研究は割とある。その投書欄に書いているのは農民だとか小役人だとか、まあ市井の人々なわけだけど、投書欄に実名を載せているなら実名ごと引用され分析される(ていうかふつう実名をそのまま引用することはないけど、「○○という人物は次のように言っている」と地の文で書かれるとか、注釈で書誌情報の一部として実名が記されるとかはよくあること)。
ただし、これは「百年前の」「新聞への投書」だから許される話だ。書いた本人はたいてい死んでるし、遺族がいたとしてもたいして不利益はない。これがたとえば、公開を意図せずに書かれたお役所の文書だったらどうだろう(近代史でメインに使う史料というのはたいていこれだ)。もちろん、単に「○○という市民が食糧配給が少なすぎると文句を言ってきた」程度の内容なら実名を出してもいいだろうと思う。でも、それが故人の名誉を傷つける内容だったら? 徴兵された普通の人々がどのようにして戦争犯罪に加担していくか、という研究で、某中二病患者に人気の国の国防軍関係の史料が引用された時には、登場人物の多くがイニシャルだった。
インターネットにおけるレイシズム、みたいな研究で、twitterの膨大な投稿を分析し発言者を特定しない形で差別発言の例を挙げることは許されているけど、それが実際のアカウントと紐付けられる形で提示されたら、やっぱまずいんじゃないの。研究対象が著名人であるとかなら別だけど(twitterで右寄りの発言ばっかりしてるラノベ作家がいたとしたら、その人の思想を研究する上でそういうツイートを参考資料として引っ張ってくるのはまあアリだとは思う)、研究というのは告発のためのルポルタージュでも責任追及のための裁判でもないのだから(レイシズムに無批判であるべきだ、という意味ではないので念のため)。
それを考えると、やっぱりあそこで個々の作者さんの名前を出す正当性は全然ない。出典の明示にしても、「○○というサイトで××年~××年にかけて上位20位に入った計△△作品を分析しました」でじゅうぶん。その上で個々の発言者が特定されない形で「バナナ」という語の使われ方を存分に研究すればよかった。
=何が言いたいかというと、確かにあの論文は研究倫理に反するけど、それは同人小説を研究対象として引用することがいけないからではないので、批判する側も適切な論拠を選んだ方がいいですよ、というお話でした。
何でこんなもんを載せたんだ、査読してないのか、という意見もあるけど、してないか名前だけのザル査読なんじゃないかなあ。これ、フルペーパーではなくて学会発表のプロシーディングでしょ? 情報系は知らんけど、人文系だと学会発表で査読しないところもまだまだ多いですよ(内容が酷ければ質疑応答でボコボコにするか論文投稿時に査読で落とせばいい話なので口頭発表時点で査読が無いことは別に悪いとは思わない)。まあ、PDFとして載せちゃった以上は責任問われるのも仕方ないと思うけどね。最低限そこは査読なかったとしても編集委員会の判断とかで弾こうぜ。
あとこれ多分M1の学生の研究に助教と准教授が名を連ねてるだけだとは思うのだが、まあ共著者として名前連ねてる以上は責任を負うってことなんだろうし、実際M1の学生が袋叩きになるよりも准教授が叩かれる方がマトモだとは思うので、うん。
社会調査するならこれ読んどけ! 的なものとしてマサキチトセさんの翻訳が拡散されてる。
http://ja.gimmeaqueereye.org/entry/1758
マサキチトセさんの訳は丁寧だし、社会調査しようと思うなら必要だと思うけど、これこの件に関係ないよね? ごっちゃにしてない?
いちおう言っておくと、
ってこれ全部別の話だからね。
正直、腐女子が研究者や研究者コミュニティに不信を持つのは当然だと思うし、それは腐女子を面白いオモチャとしか見てこなかった研究者サイドの自業自得なので、「法的に問題がないことはわかったけど、あいつらのやっていることは信用できない」と思うのは無理ないです。その感情を否定したいわけじゃない。ただその感情の根拠としてぼくのかんがえたちょさくけんほうとかわたしのかんがえたけんきゅうりんりとかを振りかざさないでほしいだけ。正しい認識の上に立ったところで研究者に対する信頼が急に生まれるなんてことあるわけないんだし。
研究で「引用」というと文献リストに載せるやつなので,今回の件では研究用語的には「引用」では無いんじゃないかなあ。法的には分からない。pdfは全発表のを出してるんだから,いちいち弾いてらんないでしょ。
文系では文献リストは必ずしも必須ではないのよね(この辺、理系からすると何それかもしれないけど)。たとえば文献情報を全部脚注で書いちゃうやつだと文献リストはなくてもいい(だって書誌情報、つまり引用元の出典は脚注で示しているんだから論文の最後にリストとして挙げる必要はないでしょう? もちろん脚注にきちんと文献情報載せない場合は文献リストが必要ですよ)。あと、参考文献リストにない文献を引用するときに注で補ってもいい。
これ日本だけのローカルルールじゃなくて英語圏でもあるからね。たとえばNationalism and Ethnic Politicsなんかはこの方式のはず。
いちいち弾いてらんない、ってのは、せやな。こんな発表が許されるなんて学会の研究倫理はおかしい! とか騒いでる人もいて頭が痛いよね。アホか。
こうして燃えてる時点で侵襲性があるということになるのでは。「衆目に晒された→恥ずかしい→公開をやめる」が「過剰反応」だとしてもそのせいで研究対象は消えてしまったわけで。
ここで言ってる「侵襲性」ってのは、研究発表以降の話じゃなくて研究をする段階の話です。つまりデータを採る段階。
お医者さんだったら、患者さんを診察室に呼びつけて、服を脱がせて、相手が医者じゃなければ屈辱的な姿勢(ケツの穴を見せるとかね)をとらせたりして病気を診察して、それで病気や怪我のデータを採るわけですよね。社会学だったら、時間を割いてアンケートに答えてもらったり、面談してもらったりする。文化人類学なら、調査地に住み込んで、同じメシを食って家族の会話に割り込みながら相手の文化を学んでいく。そういう研究手法が、侵襲性のある、侵襲性の高い研究だってことです。
こういう研究をするときには調査される側の同意が必要だし、データをどこまで公開していいか決める権限は調査される側が持っている、というのが、あちこちで訳知り顔で語られている社会調査の鉄則です。
でも、文献調査はそうじゃない。いったん公開してしまった情報であれば、それを調べる段階では調査される側=文章を書いた人にとっては基本的に関係のない話。だってそうでしょう? いったん公開された情報については、研究者は、本屋さんで本を買ったり、図書館で雑誌のバックナンバーをあさったり、パソコンの前でマウスをポチポチするだけなんですよ? これにいちいち事前の同意が要るという主張はどう考えてもおかしいわけで。
医学論文でもカルテ調査するなら患者本人には(直接的には)迷惑かからず、それを氏名つけて公表したあとに患者本人に影響出る可能性が出てくるわけで"根本的に違う"というのがよくわからん。
カルテって、出版されたり、数万人の会員がいるSNSにアップロードされたりしてるんですか? 根本的に違うってのはそういうことです。当たり前ですけど、二次創作小説でも「作者が誰にも見せずにしまっているもの」「数人の親しい友人以外には見せていないもの」を引用するには許可が必要だし、無断で引用したら大問題ですよ。
会員制で見たい人だけが見られるようにしてある物を引っ張り出してきても許される、引用や研究ってそんなに万能なんです…?
少なくとも引用は万能です。数人の仲間だけにパスワード教えて見せてたならともかく、捨てアドがあれば誰でも会員になれて、数万人規模の会員がいるところに、会員なら誰でも見られる状態で置いてあるものは、著作権法上公開されたものと考えていいと思います。なのでそれが適正な引用方式に従っていれば引用はオッケー、お国の法律が認めてくれてます。やったね!
(ていうかその理屈だと、お金払わないと読めない学術雑誌に掲載された論文は無断で引用しちゃいけないことになりますけど、それでいいんですかね……? NatureとかCellもウカツに引用できない世の中、やばくね?)
研究はこれから議論されていくところなんじゃないかな。少なくとも昔は、書かれたものというのは「書店や図書館に流通し誰でも読める状態に置かれる」か「私家版としてごく少数の人のあいだで流通するか机の引き出しで死蔵される」の二択だったわけですよ。「数万人の会員がいるサイトで公開されてるけど一般公開はしてません」なんて状況、想像もしてなかったでしょ。この辺は今後頭を悩ますしかない。そういうめんどくさいのが嫌な人は歴史学とか古典文学とか考古学とか関係者が軒並み死んでる学問をやりましょう。
二次創作が研究対象になるなんて前例がなく誰もそんな想定をして書いてない。これは前例がないことだということを頭に入れていきなり研究の場に引き釣り出されて心の準備が追い付かない人の気持ちも憂慮してほしい。
前例はあります。
今手元にないんで間違ってたら申し訳ないんですが、2004年に男性向け作品での美少女表象を研究した本が二見書房から出ていて、バッチリ同人誌も引用されてたような。手元に確実にあるやつで確認すると、2009年に創刊されたコンテンツ研究系の学術誌に載ってる尾道の聖地巡礼史を論じた研究では、聖地巡礼同人誌が引用されてます。探せば同人誌を引用した研究はもっと出てくるんじゃないかな。コンテンツ研究だと痛絵馬の分析とかもやってるし、そこまでおかしな事態じゃないです。この辺の学術動向知ってれば「前例がない」なんて発想こそ出てこないですよ。何を今更。
まあ、素人さんがそういう学術動向知っとけ、って無茶ですよね。でも、これでわかったと思うけど、学術って開かれているけれど閉じられた世界なんです。興味のないことには誰も目を向けない。同人誌も同じです。女性向けの島中に置かれてるマイナーCPの薄い本なんて、理屈の上ではコミケ来場者全員に買う機会があるけど実際に買うのはごくごく一握りでしょ? はっきり言って今回の論文だって似たような位置づけなわけですよ。知らない場に引きずり出されて不愉快に思うのはよくわかるし、同情もしますけど。
あとこれ言うと揚げ足取りになっちゃうんであまり言いたくないんですけど、『アララギ』とか『白樺』だって同人誌だし(ていうかあっちが元祖)、そういう意味での同人誌ってたくさん研究で参照されてるし、CiNiiで「同人誌」で検索かけたら戦時中の誰も読んでないようなマイナー文芸同人誌を詳しく紹介するみたいな論文がヒットするわけですよ。同人作品だから引用しちゃいけないとか研究の場に引きずり出してはいけないって言われても、それどこの星のルール? っていう感じがします。明治文学研究とかルール違反の百貨店や~。
これ発表してから2ヶ月近く経って、いろいろ考えましたが、やっぱり私は研究倫理には反してないと思いますね。人に不愉快な思いをさせることがすべての局面において研究倫理に反するわけではないし、やっぱり引用の権利は厳然としてあるので、そこを突っぱねるのは筋悪かな、と。
https://bs.benefit-one.co.jp という福利厚生を提供するWebsiteのUXがクソすぎる。
こんなサービスでどうやって福利厚生受けるんだよ。まじでクソすぎてアプリ開きたくない。
どうしてこんなクソ開発会社が今時生き残れるの?こんなのに自分の会社が金払ってると思うと悲しくなる。
この稚拙な設計とデザインで個人情報をセキュアに保てているのかまじで不安。開発できる能力がないと思うから他の責任者か開発会社に委託するのが良い。まずはUXかサービスデザインの専門家とかコンサルにレビューしてもらうのが先か…
そもそもは暇だったのでwikiでジョン・タイターの記事を見ていた時
彼は”未来が変わる可能性がある”から漠然としたことしか予言できなかった。
彼が掲示板に書き込んだ情報を見ることで未来が変わる可能性がある。現在の私たちには予言が正しいのか間違っているのかはわからない
なので”未来人が存在する”ことを前提に彼らが予言したことが正しいのか、間違っていたのかを確認できる掲示板とかあればいいなぁ
具体的には
・スレが立つときに自動的にパスワードを設定する。これは可能な限り強固で簡単にわからないようなやつ
・一定時間後(一日後でも一ヶ月後でもいつでもいい)、パスワードを永久に公開する。公開後はスレに書き込めない
何がしたいかというと もしタヌキ型ロボットでもなんでもいいけど未来人がいるとしたら未来でパスワードを確認しない限りスレに書き込むことができない。
まぁシステムのクラックとかでパスワードが流出する可能性はあるけどそれはセキュリティーの専門家さん達に丸投げ
・未来人からみれば書き込みを現在の人たちがみるのは予言の後であり未来が変わる可能性は低い
・現在の私達から見ればスレッド立ち上げ時はパスワードはわからないのでそもそも不正手段でない限り書き込み不可
・でももし書き込みがあり、その内容が真実だった場合未来人が書き込んだ可能性がある。(もちろん不正アクセスで書き込んだ可能性でもある)
以上酒飲みながら5分で考えて書きました
これまでメールによる定期報告はメールテキストの自由形式だったのに、
「Excel方眼紙を暗号化zip、しかも固定のパスワードで固めて送るようにしてほしい」
とか言いだしたのでムカついたんだけど、
こちらからするとしょっぱい認識しか持っていないにもかかわらず本人としては
「これで完璧!(キリッ」
と思っているらしくどうにも取り付く島もない。
SIerの管理職がこんなんで本当にいいのか、と小一時間問い詰めたい。
追記:
似たようなネタの
エクセルはレゴブロックじゃねーんだよ! http://anond.hatelabo.jp/20170425121301
http://anond.hatelabo.jp/20170420024846
皆が言ってるのは攻略情報が無関係な難しさのロンダルキア台地は地獄だけど、攻略情報皆無で特攻するロンダルキアの洞窟も同じくらい地獄だったということ。
あとから情報ありで遊んだ人間が「理不尽な難易度の台地に比べりゃ楽じゃん」と感じるのは当たり前で、話が盛られてるんじゃなくて当時の体験としては本当の難所だったってこと。
それと大半の人間が語る『ロンダルキアの洞窟』の難しさは台地に出てから安全地帯の祠までの道のりも込みなんだよ。
「あそこは洞窟じゃないじゃん!」とか言っても無駄、洞くつ入り口からセーブポイント(パスワードだけど)まで踏破して一区切りでありセットなの。家に帰るまでが遠足ってヤツ。
さらに「ドラゴンに気をつければいいだけ」って発言から、洞窟攻略に必要なレベルを満たしてるのがわかる。ここが当時のユーザーと大違い。
当時の子供たちがロンダルキアの洞窟にたどり着くのはもっと低レベルで、洞窟内のザコ敵にさえ苦戦するのが常だった。
先人がレベルが足りずギミックに苦しめられ数日から数週間かけてさまよい突破した難所に、レベリングを済ませ攻略本付きで挑むのだから印象に残らなくて当然だ。
同じ山でも、装備もなく霧の中を手探りで登らざるをえなかった人間と、快晴の日にロープウェイで登った人間では別の体験なんだよ。
もちろん当時遊んだ人でも「そんな難しくなかったよ」って人もいる。
洞窟に到着するまでに異常にレベルを上げてしまった人もいるし、なによりあの頃は超絶理不尽なゲームが当たり前だったので、レベル上げりゃなんとかなるDQは親切な部類だったから。
どこかのサイトでパスワード再発行に「自分が登録した質問と答」のセットを答えさせる所があった。
セキュリティとしては優れているが、そんなの覚えている人はそもそもパスワードを忘れたりしない。
すでに学生でもないのになぜこの件について書いているか自分でも分からないが、例の穏便でない大学教授の発言にブーストされた感がある。
まず前提として、ID/パスワードを用いてスクレイピングを行うサービスそのものは、特殊というほどではない。そのようなサービスはすでにいくつも存在するし、最も有名なところでは口座アグリゲーションサービス(MoneyForward等)だ。彼らは業としてそのようなサービスをおこなっている。セキュリティのこと少しでもわかる人間ならそんなサービスやらない、というほどでもない。ただし、セキュリティが分かる人間であればあるほど慎重になる、というのは確かではある。通常ID/パスワードを渡すということは、全権委任とおなじだ。また、ログイン後の行動について、自分がやったか第三者がやったか、全く判別できない状況になる。さらに通常のWebセッションと同等だとすると、パスワードリセットから完全なアカウント乗っ取りまであり得る。つまり、サービス事業者に対してよほど強い信頼関係がなければ厳しい、ということになる。
クラウド上で動いているかスマホ上で動いているか、という話は、それほどは重要ではない。クラウドにしろスマホアプリにしろ、すべてサービス事業者側の組んだプログラムの意図に従って動くものであることは確かだからだ。
ただしクラウド上ではユーザが想定していない動作を行っているのかどうかという検証しにくいという問題があるとはいえる。とはいえユーザが予め意図した行動から外れることをしてないのであれば、クラウドからのアクセスでも別にそれは問題ないわけで、その点で、Orario側の主張である「スマホで動かしているのだから」という主張は、ちょっと見当はずれではある。
なお、ユーザインタラクションを介さない自動的なアクセス自体がサービス要件に含まれる場合、スマホでは厳しいためクラウドにアクセス主体が置かれる、というのは、まああり得る。口座アグリゲーションはその典型的なものだろう。Orarioの場合は、たぶんその必要はないのだと思う。
正規の手段として学認があるのになぜしない?という主張は、マジでひどいと思う。普通に考えて、ぼっと出の1ベンチャーがトラストサークルに加えてもらえると思っているのか。このような主張は、Google/Facebookレベルに自由にAPIクライアントの登録ができるようになっていて、初めて言えるものだろう。通常は、世に受け入れられるサービスが出て初めて実行力を認めてもらえる、にわとりたまごの話ではないのか。そもそも、学認のShibboleth仕様で、そのような履修情報のやりとりがそもそもできるようになっているのか疑わしい。ホントはSSOできるだけではないのか?
大学側にお伺いを立てるべき、という筋論は、そりゃそうかもしれないけど、やっぱりにわとりたまごだと思う。ビジネスの筋論っていうやつは、内輪だけの論理になっている場合が多いし、正直ステークホルダーは既得権益側だったりするわけで、話が通じるとは思えない。そのようなものを破壊していくのは常に外部からだろうし、それを単なる破壊行為ではなくDisruptionにできるのは唯一ユーザからの支持であるわけだけど、Orarioは最低限そこはできていたようにもみえる。例の教授はどうも内側のメンバーの感じがひしひしと出ており、傍目から見ると、そりゃそのポジションじゃあね感が強い。
事業モデルがわからないから怪しい、事業が成り立つとしたら収集したデータの第三者への販売ぐらいしかないはずだ、という主張は、気持ちはわかるものの論理として弱い。怪しいサービスに預けるな、というのは、意見の表明ではあるかもしれないが、普遍的に怪しさを証明するには根拠が足りていない。利用規約レベルではまだなんとでもいえる。逆に言うと、Orario側は、そういう色が少しでもあったのでは?と思わせるような内容を否定してさえいけば、その点では勝てるが、やっぱりそこは何らかの形で検討して行きたかったのでは、とも思えるので、そういう将来の自分たちを制限することはことはあまりやりたくないだろうなとは思う。
結論を言うと、とりあえず大学側はもうすこしトーンを落としてほしい。このままではFUDだといわれても仕方ない。単位云々の脅しは傲慢以外の何物でもない。少なくとも卒業生にとってそのような大学にいたことを恥じるレベルである。嫌なのは分かるが、銀行とかだってそうだったはずだ。もうすこし長い目で見てあげられないのか。ID/パスワードを預けることのユーザへの注意喚起は、もちろん正当だが、それを認識して預けていることについてとやかく言うことは得策でない。
そして、Orario側は、自分たちがやっているサービスの説明に少し時間を割いてもいいと思う。特に何をどのように取得しているのか、明確にすることは重要だ。大半のユーザたちはそういうこと気にしないとしても、自分たち自身が自分たちのサービスを定義するのに役に立つし、今はEvilでなかったとしてもいつかEvilになってしまうのを防ぐという意味合いもある。面倒かもしれないが、取得範囲を明確にすることは信頼を得るということであり、最終的にユーザの獲得に寄与するだろう。
現在大学の中でOrarioのアクセスがどうこうという問題が起きているようだが、
ひとまずこの記事については、下記URLにある、京都大学の専門家であらせられる記事について、一人歩きしてる感があるので、
もう少し彼のような上流側(という表現で良いかどうかは不明だが)の専門家ではなく、
下流でプログラムをガッツリ書いているほうの専門家として私(匿名で失礼)が纏めたいと思う。
https://srad.jp/~yasuoka/journal/611343/
Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。
Orarioの特性と安全性について、本当にスクレイピング技術をクライアント端末側で行っているのであれば、
この部分は間違いではないと私(匿名で失礼)は考えている。
この部分の書き方、実に大学教授らしい逃げ道を多く用意していて。
KULASISにずっと不正アクセスを繰り返していて
上記発言、これは本来「開発時の検証段階」の話をしているのであれば「正解」、である。
逆に今のOrarioの通信についてを不正アクセスとしているのであれば「正解ではない」、である。
何せ、開発者が勝手にアカウントを使って入り込んで様々な検証を行う必要があるため、
KULASISサーバに対してクラッキング/ハッキングを行って根こそぎどうこうしたなどという大がかりな不正アクセスではなく、
あくまで大学側が定める規約規則から若干外れた使われ方がされているという意味の不正アクセスである。
(そもそもスクレイピングなんて技術を使う連中はID/PASSWORDがない状態でのサーバへの不正アクセスなどできない
開発時は「京大のKULASISアカウントをもったユーザが開発に携わっていないのであれば」押し出してきている京大の規約によれば、不正アクセスにあたるのかもしれない。
個人的には当たらないと感じるが。
京大の規定に定められたユーザが「特定のブラウジングツール(Orario)」により、
KULASISにアクセスしているのだからアクセスとしては不正ではない。
本当にスマートなWebスクレイピングで行われているのであれば、Webブラウザと全く同じ動きをするはずで、
それを不正アクセスと断罪してOrarioは不正というのは表現が汚いと考える。
これはコメント欄にもあるが、
https://srad.jp/comment/3196554
また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?
ご大層にはっておられるリンクを流し読みをする限り、そんな厳格に何かを定めているわけではないように思われる。
それ故、実際にOrarioがスマートフォンによるスクレイピングを行っているのであれば、
Webブラウザの一種とも言えなくはない為、これを不正と断ずるのは、「正しくない」だろう
京大のユーザが開発に携わったかを証明できない以上、彼にとっては不正なのかもしれないが、
ここでそれをOrarioは不正アクセスと断ずる論理性が私(匿名で失礼)にはわからない。
他にもこの部分
Orarioアプリでは「Webオートメーション(Webスクレイピング)」と呼ばれる技術を用いています。この技術により、利用者様のスマートフォン(にインストールされているOrarioアプリ)に学生アカウント(大学ID・パスワード)を入力すると、自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得し、Orarioアプリの時間割テーブルに当該利用者様の時間割を生成・表示することができるという仕組みとなっています。
全く信用できない。少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。
Webスクレイピング技術に関して、なぜアクセスパターンが問題になるかが一つ疑問である。
下記のOrarioが出しているPDF(http://www.orario.jp/wp-content/uploads/2017/04/Orario%E3%81%AE%E5%AE%89%E5%85%A8%E6%80%A7%E3%81%AB%E9%96%A2%E3%81%99%E3%82%8B%E8%A6%8B%E8%A7%A3.pdf)にあるように、簡単にいうならばID/Passwordを利用したPOST通信を行い、その返答値をスクレイピング(切り貼り)している。
それをアクセスパターンを解析で一体何が取れるのか?という部分が、この辺りが分かる自称専門家の私(匿名で失礼)にもさっぱりわからない。
もっというと、「そんな風なアクセスパターンには見えない」、というならば、セキュリティの観点上公開すべきではないだろうか、
逆に一体アクセスパターンを見て私(匿名で失礼)も何を行っているのかが気になるところである。
ただでさえ、不正アクセスという言葉をつかって攻撃しているわけだから、
アクセスパターンを公開して断罪すべきだし、セキュリティ観点からみても他大学との共有はすべきで、
学生に対してもその証拠を出して止めさせるべきだろう、というのが個人的見解である。
学生の求める「単位」をつかって脅しをかけている時点で、お察しだが……。
そもそも上記で述べた開発時のほぼ不正アクセスと考えられる通信についてを「アクセスパターン解析で見つけた」というのであれば理解ができるが、
現在すでにスクレイピングが確立している通信に関して、アクセスパターンでOrarioかどうかを判別するのが可能かというと何とも言えないと思う。
(ご丁寧にOrarioが通信用のUserAgentにOrarioの文字を含めているなら別だが……
(もちろん、アクセスログを見て、ログインページからWebスクレイピングしたいページへ遷移するまでの時間を取るとあまりに短すぎる、という話ならやれるかもしれないが……。
たとえKULASISが京都大学がオリジナルで開発した大学教務事務パッケージだとしてもそうだろうと考えている。
同様に日立や富士通も同じような大学教務事務パッケージがあるが、
基本ログ処理がザルでろくにuser-agentの確認もできない大学も多く存在したりすることを知ってる自分としては、
本当だろうか?嘘を書くのもいい加減にしろ? と思う。
UIが糞(システムのスマートフォン対応がノロい)だからアプリが流行るということに気づくべき。
富士通、日立にしてもそうだが、APIを提供したほうがいいのではなかろうか。
とくにKULASISだったか何だったは、京都大学謹製と聞いている(違ったら失礼
少なくとも他の大学教務事務パッケージではなかったと記憶している。
であれば、京都大学がAPIを提供し大学側で専門家を集めてOrarioを超えるものを作ってはどうか?
実際大学でこういうことをやろうにも、問題になってくるのは予算で。
教務、事務、学務、図書館、など様々な縦割りが存在し、それぞれがそれぞれの予算でそれぞれのシステムを入れている。
これが実に糞で。
一つの大きなシステムを入れ替えるとなると、横との連携をとって全ての組織の号令をとらなければならない。
ここまで問題になってくるとやはりその辺りの対応の遅さが問題なのではないかと考えている。
大学がアホ → 学生に良い物を提供したいという思いがあるならもっとフットワーク軽くしろ
教授がアホ → 曖昧な表現で、素人を先導しようとするのが見え見えで気に入らない
Orarioアホ → コメントにもあるけどやり方が汚いのは確かだから甘んじて受け入れろ
以上です
受けてきた。
覚えているうちにメモ。
午後Ⅰ
<問2>
設問1
……ユーザは正確な時刻は覚えていないものなので「日時」にしてみた。
担当者は、この時点では、XSRFでなく不正ログインを疑っている。
設問2
(1)a.クロスサイトリクエストフォージェリ
(2)b.3
(4)e.confirm f.submit
設問3
(1)イ、ウ
……適当。onmouseoverとかでもイケるらしい。ダメだこれは。
(2)g.セッションハイジャック
<問3>
設問1
設問2
(1)a.ウ b.エ c.ア d.イ
(2)e.1 f.3
(3)g.オ
(4)h.IdP i.改ざん
(5)事前にIdPとSP間で情報共有し、信頼関係を構築しているから。
ここだけ設問に『具体的に述べよ』って書いてないので、。
抽象的なやつかなと思ってこれに。
設問3
社外から社内IdPへの通信は、ファイアウォールで禁止されているから
接続元IPアドレスを制限する機能によって、社外からアクセスできないから
……地味にFWという略語はでてきていないので、ファイアウォールと記載。
ここの説明はすごく問題に出そうだったので、ぐりぐりとマークしていたからすぐに気づいた。
午後Ⅱ
<問2>
設問1
(2)b.ウ d.ア
設問2
(1)e.プロキシサーバ f.URLがC&Cサーバである通信
(2)g.外部メールサーバ h.外部サーバに転送が成功している通信
(3)外部DNS: 内部DNSサーバからの再帰問合わせを許可しない
……よく分からないけど、TXTレコードってSE作業とか以外で問い合わせあるの?
と思ったので、これを問い合わせるのはマルウェアYかなと。
設問3
(2)ウィルススキャンで異常が検出された場合に、システム部が即時検知できること
……「調査及び着手の早期化」の機能要件=システム部が迅速検知できる、かな。
A社の問題点として、セキュリティパッチ適用の遅さ(どこの会社でもあるよね~)も
あるけど、今回、社員PCのフルスキャン(毎日12:00。これは頻度高い。)から、
連絡受けてシステム部が検知する13:10まで時間かかっているのも問題かなと。
設問4
設問5
業務LANのサーバ間通信は、日次データ転送で用いるプロトコルのみを許可する
……『日次でデータ転送』もぐりぐりマークしていたので使ってみた。
以上
まんまkogaidanだしフフってなったよね。
うちの上司もディスプレイにパスワード書いた付箋とか貼ってるしおっちゃんはこんなものなんだろうな。
① 欲しいエディタアプリがあったのでAppStoreから購入しようと思った。
② iTunes カード3000円分を買って、アプリ購入のためApple idとパスワードを入力した(かなり久しぶりである)
③ iTunesカードを初めて使う際にはセキュリティ質問が必要なことがわかった。
④ Apple id作成は2、3年まえだから、当然セキュリティ質問を忘れていた。
⑤ 購入した3000円はアカウントに反映されているのでセキュリティ質問が思い出せないと無事3000円が死亡する。
とまあこういう経緯だ。たかが3000円と言われるかもしれないし、
そもそもセキュリティ質問のメモをとってないのが悪いといわれればそうだ。
しかし、どれくらいの人間がIDとパスワード以外の情報をマメに記録・記憶してるというんだ?
ほとんどの人間がそれをできてるんだったら、おれは全世界に謝罪しよう。今、約束しようじゃないか。
さて、おれは困ったのでAppleのサポートに電話した。サポートの指示通りにやったが
>セキュリティ質問をリセットできません 必要な情報が不足しているため、セキュリティ質問をリセットできません。
などというクソみたいな文言と何度もご対面することとなった。WTF!!!!!!
困り果てたサポートは、とうとうこんなことを言い出した。
「セキュリティ質問、なんとなくでもいいので思い出せませんか?ペットで心当たりは?過去にかっていたペットは?」
だーかーらーさ!なんもわかんねーからセキュリティ質問をリセットしたいわけよ!
でもサポートは本人確認が大切だといい、なんどもセキュリティ質問について質問してきた。
考えてほしい。セキュリティ質問リセットのために、セキュリティ質問に答えなければいけない状況を。
カフカ的世界だ。トランプ、安倍、ルペン、はてぶ、Appleサポート、そう世界はとっくにクソさ。クソにクソのレイヤーが重なってるわけなんだな。
さあ、最後に5分ほどの待ち時間だ。上司といっしょにセキュリティ質問もわからねえマヌケ野郎のことを笑ってたんだろう。
そしておれは、セキュリティ質問をサポートと協力して思い出していきましょうという謎の結論をつきつけられた。
おいおいおいおいおいおいおい、さっきまでのおれとサポートの心温まる共同作業(ブラウザ上での操作)の記憶はどこいったんだ?
なんの時間だったんだ?記憶消去か?すげーなカフカだけじゃなくP.K.ディックってわけだ。最高だよ、おれは最高の世界に生きてる。
でもさ、おれは思い出せないからセキュリティ質問をリセットしたいんだ、わかる?うーんとか、うなって思い出せるなら苦労しねーのよ。
しかもなんだ、アカウントの引き継ぎもできないときている。なんたるクソ。腐ったリンゴだよ。
鼻持ちならない現代の王族たるApple社員のケツのアナに変換アダプタでもぶち込んで
美術館にメディアアートでぇす!とかいって展示なんてした日にゃあ気持ちよくて素晴らしいだろうが
現実のおれはただ「もうあきらめます、ありがとうございます」ってひとこと。それ以降はもうなにもない。
結局おれは新しいApple idをつくって、またローソンにiTunesカードを買いにいくわけ。
補足:
4行にまとめました
・コミュニケーションが少ない
・他にも色々ヤバイ
他のIT会社がこんな感じと違っていたら申し訳ないです。それと読みづらかったらすみません。
当方19歳。お金をもらいながらスキルの得られる「有給インターン」に申し込みました。
今から書くのはそこでの話です。
IT系のバイトは基本実務経験がないと受けられないので、僕は「未経験歓迎」というところを探していました。
大阪は都会といえど、東京の1/4程度しかIT系の求人はありません。
そこは未経験歓迎で、土日もやっているところでした。
早速応募して、いざ面接。履歴書書いているときや、会社に行くまではすごく緊張しました。
そして面接が始まったのですが、なぜここを受けたのか、やりたい業種は何か。という話になり、話の感じからもう入って何かをするテイで進んでいるのだと思いました。
ありがたいことに、トントン拍子で採用され、数日後から勤務することになりました。
(サイトで書かれていた、”研修期間あり”がここで完全無給だと知らされたのは引っかかりましたが…)
それからしばらく経ち、会社に行って挨拶をし、何かすることはないか(パソコンのパスワードすら知らない状態なので)聞きました。
挨拶への反応も、業務に関しての回答もないので戸惑いましたが、社員さんにパスを打ってもらい、ログインしました。
ここまで数分の出来事ですが、アルバイトで見てきた他の業種とは雰囲気が違うな と思いました。他の会社よりコミュニケーションが控えめな印象でした。
それから何をすれば良いのか社員さんに訪ねたのですが、それはSkypeで話すとのことでした。
本来送るべき内容のメールの送信を忘れていたのか、そこでSkypeの登録と、登録に使う会社用のメールアドレスを送っていただけました。
先程ログインしてもらったパソコンを使い、Skypeの登録をしようとしたのですが、ここでかなり記憶に残る出来事がありました。
クラックされているのか、定かじゃないのですが、少なくともライセンス認証されていなくて、あのデスクトップの背景が真っ黒のやつでした。
気になって、コントロールパネルからOSは何なのか見たのですが、Windows7のUltimateでした。
僕はPCを組んだことはありますが、OSのこだわりはないので、一番安いHOMEにしていました。会社のパソコン事情はわからないのですが、一般的なIT会社はUltimateを始め、HOME以上のエディションを使うのでしょうか?
面接の時に、「在宅でできるから、やれるなら在宅が良いよ」と言われたのを思い出しました。社員さんの理由は、「パソコンが古い」だったので、7を見たとき新しいじゃんと思いました。
僕は実際に相談して、作業の流れが把握できたほうがよいので本社で初めは仕事をしようとしたのですが……
アカウントを作成しようと思い、デスクトップにあるブラウザーを使いました。
Chromeは開発用に使われているのか、ショートカットの名前がイジられているので使いませんでした。そして、IEもアイコンからしてめっちゃ古いので、不具合を避けるためにやめました。
他にあったのが、FireFox。それを使いました。
もう使いものにならないです。動いてるアプリケーションはFireFoxぐらい。通知センターなどを見てもIMEすら切られているのか、漢字も打てない。
開いた瞬間、アジア系無修正ビデオの画面が別ウインドウで出るのは、控えめに言って泣きそうでした。
自分もこういう汚染は経験があったので、ショートカットのプロパティを開き、追加で書かれているURLなどを削除しました。開発で使っていたら申し訳ないのですが、凄い重かったのでごめんなさい。
Skypeを登録し、それでチャットを始めるのですが、IMEが効いてないのでひらがなをで検索してメモ帳を駆使して、半ば怪文書を作る形で連絡を取ることになりました。
社員さんに「個チャはやめて」と、グループの方へ回されました。
そこで挨拶をして自分の素性を話し、送られてきたDropboxのファイルを見ながら作業をしました。
というのも、会社のサイトに登録するのです。そこに登録するメアドを書いてたらニコニコ動画の広告や、DMMの広告に飛ばされることが多々あり、悲しくなりました。
自分のプロフィールを書くと本登録ができるのですが、そのときにされるとマジで死にたくなります。
そもそもメアドを送って仮登録した返信メールが、迷惑メールに送り込まれているところが面白かったです。探すのに10分かかりました。
課題をもらって、それを達成していくのですが、課題を保存するためのクラウドはどうするのだろう?というのが今でもずっと心に残っています。
配布されたメアドで登録するのは良いものの、メールボックスが開けないので認証ができません。
こんなに重いので、Dropboxのテキストを読むのですら大変で作業なんてできる状況じゃありませんでした。
次の日から在宅をしようと、配布されたメアドで自宅のパソコンでSkypeログインしようとしたのですが、エラーで入れません。
調べたら、迷惑メールの送りすぎか何かでメールアカウントが凍結されたそうです。
そのまま今に至るのですが、どうすりゃ良いんだろう。。
IT業界がこんな感じ、というなら夢半ばで他の道を探すしか無いし、働けないにしても「作りたいものがないから、プログラミングの勉強できない」という自分のために課題を出してもらった以上、それは達成してみたかったです。
友達にもこの会社を勧めたのが申し訳ないし、連絡が有耶無耶で社員さんにも申し訳ない。
