  |
はてなキーワード: 企業自体とは
(どっちのうんちでSHOW!! Vol.28535)
1353年9月2日
文責:ちんちん
うんち vs うんち
対戦結果:
482948294820948 対 895で見事うんちの勝利
・就活とは、「良質な情報」を利用して「正しく動く」奴が勝つゲームやねんど。
a) 「良質な情報について」
「良質な情報」:内容の正確さ+自身のキャリア価値観の構成に影響を与える
インターンシップ:直接来社してオフィス・社員を見れるので雰囲気が直で知れるので一番会社のことを直で知れる。この雰囲気きっもと思ったらその直感は正解で、受けなければいいんだ。大体こーゆ感じの人とはうまくやてけるが、こーゆーのんはNGって嗅覚があると思うけど、それが一番わかるのは実際インターン行って雰囲気を知ることなんだ。あと他インターン生とのコネクションを作っておくことで就活情報を交換し合えるし、他インターン生のいいところをパクリまくって自分も優秀な人材になろ~とするインセンティブが生まれるンダ
OB訪問:社員の生の声を聴けるので裏表を聞き出すことができる。ただし特に気になる企業については特に複数人に聞いて確証性を上げること。
ちゃんとしたニュース:ニュースから企業の体質・雰囲気を垣間見れることができるっっちゃ
・仕事第一でプライベートで気晴らしをするなんてレベルじゃないほどのハードワーク、プレッシャー
・そーゆーどあほうなことするレベルの倫理観持った奴のあつまり。どんなけ仕事有能で社会的地位が高くても人間としてはどあほ~の集まりどあほオ
・そーゆーことがまかり通ってしまう社内環境/文化→相談できる環境・自浄作用がない、そしてヴォイスアウトは限りなく難しく、またしたとしても黙殺されてしまう雰囲気
まーこんな感じ。
まともな就活セミナー/説明会:セミナー形式になるといーことしか言わんけどまー社員もいるし雰囲気も垣間見れる。ごみみたいなマナー講座とか有料の奴に行くくらいならうんちぶりぶりしてたほうが有意義。ぶりッ貯
教授に聞く:先輩がどんな就活してたのかとかいろいろしってるはず。失敗例も含め聞き、自分ならどう乗り越えることができるか追体験すること
企業のHP(採用用のHPと普通のHP両方):見えない部分はあるにしろウソは載ってないので。もちろんよく映える部分しか載せてないのでそこには注意すること。
キャリアセンター:OB訪問先を知ったりES添削してもらったり面接練習してもらったり。ただし企業を紹介してもらうときはあまりあてにしない。人によって知識や相性にばらつきがあったり、しょーみキャリセン的には就活浪人さえせずに最悪就職さえすればいいだけなので自身の思い描くキャリアに沿った企業を提示してくれるとは限らない。
まともな口コミサイトや就活サイトなどのwebページ(詳細は後述):ごみサイトも多いので注意
・就活に関する情報は玉石混交すぎてぱっぱらぱ~って感じなので、なるべくインターンやOB訪問を重ねるなどして自身の「足」を動かした情報を最優先すること。
・ちなみになんでうんちみたいな情報があふれてるかってゆーと就活で儲けようとしてうんちマンがいっぱいおって、そいつらがインターネットにうんち情報を垂れ流しにしてるので良質な情報にアクセスするのは難易度が高い。「就活」でググってみるといかにパッと見有名でSEOに強いだけのすっかすかの情報がトップに表示されて時間の浪費かがわかる。まーじで小手先の就活マナー(笑)とかどーでもいいっつー乃
・結論:なのでうんちには触れないこと。くさいし
・おすすめサイト:まあまあ良質な情報があったり有意義なサイト
オファーボックス:自己prとか入力したら企業から選考オファーがクルド。企業自体はあんま大手どころはこないけど、ES書く練習になるから絶対利用するべき
外資就活:トップ大学がよく受ける外コン、外銀、日系大手などの企業情報やインターン情報、就活レポートがのってる。この辺常駐してる学生の雰囲気に慣れてついていける人材になれば、日本の企業ならどこでも内定とれるんだ。
Vowkers:社員の口コミサイトの中で比較的まともなとこ。
b) 「正しく動く」ことについて
・自身の思い描くキャリアに合ってるであろう企業に内定をもらうことがゴール。
それを成し遂げるために必要だと感じることだけをすればいい
・もっけー言うけどわけわかんねえビジネスマナー(ノックは2回?3回?はどっちでもいいんじゃしばくぞ)とかほんとに社員が書いてるのかあやc口コミサイトでその会社を推測したりとか、他就活生と比較して悩むとか、そんなことしてたら就活で儲けようとしてるどあほうのいいカモ。人の苦境につけこんで商売しようとしてるどあほうにはうんちを授けよう。(ペタッ
・業界や職業なんて今から決めたり悩む必要は全くない。インターン・選考時はおもろそ!って思ったところに受けまくって範囲を広げまくって、選考中/内定後に絞る作業に移ればいい。免許取る前にどんな車乗ろうかな!?。。って悩むのに時間かけんのってあほらしすぎ(面接時とかES時の業界志望理由とかはそれっぽい事言おう。どーせ企業側に就活生の将来の幅を狭める正当性なんてねえっちゃ。
・いろんな人の人生を追体験して、おもろそうな人生のイメージを膨らませる。本とかウェブインタビュー記事とかあるやろ。それを読んで自分はどのアンテナに反応する人間なのか知る。どんな仕事してる時が人生おもろそうか考える
日本では新卒一斉採用という謎方式がメジャー。まじ会社にとってのメリット謎。しかし凡人にとっては大変ありがたく、専門性が特になくても、新卒カードさえあり、その「会社」が必要としている専門的人材でなく、「社会」全般が必要としてそうな人に成りきれればてーげーの企業にいけるど。勝ち。(もちろん専門的スキルが必要な会社・部門も多々ある)
→「社会が必要としている人材」に思われる/見られるように意識
⇒じゃーそれってどんな人材だよ??
社会が必要としている人材=基礎学力+対人スキル+何かを成し遂げた実績(おれがかんがえたむてきのほ~て~しき)
・基礎学力
あほなやつは取りたくないもん。だからほとんどの企業ではWEBテストとかやってる。対策は容易。
↓
これが本当のSPI3だ!
ってゆー系のspi本3周くらいしたらよゆー。この努力を惜しんで内定ほしいとか言うてるどあほうは、筆記試験通ってないけど路上運転ばっちりやから免許ほpって言ってるどあほう。必要最低条件。
・対人スキル
円滑なコミュニケーションがとれるかどうか。TPOに応じた適切な言葉のキャッチボールがとれるか。
↓
まあこーゆーコミュニケーションとかマナーとかは、インターンとかOB訪問、なんなら本選考の面接を通してどんどん実践してミスして恥をかくことでじわじわうまくなっていくもの。わいは素をぶつけてみようという思いで臨んだ社長面接で落とされて、tシャツビーサンで面接行ったらあかんのか・・!!という大切な気付きを得た。感謝感謝ぐわあ~。とにかく失敗して恥をかいて内省することを繰り返す。
・実績
いかに崇高な入社後のビジョンとイケイケな自己PRとかしてても、でそれにたどり着くために在学中にあなたは何やってきたんすか?ってのを証明するために必要なのは何かしらの実績であったり結果がいる(体験だけではインパクトにかけるから何かしら外部のお墨付きがほしい)。
↓
じぶんでなんとかする。1から100レベルに盛るのはいーけど、0から1はシンプルな虚言癖マンになるので、小さくてもいいから使えそうなネタを集める。自分の好きな事を突き詰めてそれを外部に認めてもらう(表彰とか)だけでいいのさ
・就活とは
何かになりたいという単なる「手段」であって、「目的」であったり「ゴール」ではない。
→どんなことやりたいか?という理想イメージを膨らませまくり、それにたどり着くまでの道程でしかない。
→ただその道程にいろんな”気づき”であったり”出会い”がある。( ̄+ー ̄)
期限はあるものの引き返したりいろんな道をキープして楽しむことができるんだ!たのP!pppppppppppp
・どの軸が自分にとって適切か考えよ~
→ワークライフバランス・収入・働きがい・職種・業務内容・勤務地・潰しが効くかどうか・・・などいろんな軸があるので自己実現するために近そうなそれらの最大公約数となる企業からばしばし受けていく。べつにイチブジョジョーしてるからとか、ホワイティ~な会社っぽそうだからといって自分にとってよさげなんかとはなんら関係ない。世間のバイアスを一切排除し、自己実現するために使えそうで快適なハコ(会社)を見つけてそこに居座るための作業くらいのイメージ。ちなみにわおいは「おもろそうなとこ」っていう軸だけで就活してたら選択肢が3個くらいしかなかったんご
\\\\\\
あとがき1
みんなも頑張ってな!!
あとがき2
ここに書いてることが使えるかどうか、自分のドタマでかんがえよ〜。使えそうなとこだけ切り取って、違うよなあっとことはボコボコに叩いて議論すればいいじゃん?
だがしかし、これは英国の問題ではなく日本も関係する風評被害を喰らったような事態である。
これにより日本株価の急激な暴落が発生。リーマンショック以来の世界恐慌らしい。
自分も現在学生ではあるが、売り手市場となった就活現場にこれが上乗せされるとなると、成績優秀者及び学歴のレベルが高い者だけが生き残る社会になるのかもしれない。
こういった危機感を持っただけでは危ういが、それよりも心配になるのは特に就職率が高いことを公言していた大学であろう。
中小、零細企業がどこまで生存できるのか分からないが、今後企業自体の存続危機も見込まれるはずだ。
採用基準のベースとされていた大卒、そしてその大卒の大半が大学のキャリアセンターなどを利用して就活していたに違いない。
もし今後本格的に就職難で売り手から買い手市場へと変化してしまったら、困るのは学生などの若い人材である。
昔のように資格がなくても働けるわけでもなく、実力+有力な資格が必要とされるだろう。
そこから考えるとすれば、日本では中学生や高校生の進路先として普通科の学校ではなく、高専のような職業に直結したカリキュラムに基づいた教育に流れてもおかしくない。
将来的には学校の授業で早い段階から自分の人生設計について考えさせるようになり、その職に就くための具体的な教育が徹底されると予想できる。
OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324
http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html
認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。
OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。
前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法で OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。
言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたのお気に入りの OAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。
また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法で OAuth を使っているサービスの利用者であっても、また自ら OAuth ベースのサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。
この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。
この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。
この前書きのあとは、まず OAuth のセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティのコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。
その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。
最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。
いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーが OAuth ベースのサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースのシステムの主要なセキュリティ欠陥は非常に蔓延しています。
筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。
というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。
ここで言及されている情報やリンクされている情報は今のところ既存のサービスに悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のものを破壊するのではなく改善することを目指してください。この記事は、自社サービスを不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。
この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。
まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。
ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッション・グループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。
ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザがビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。
ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的に営業部門のメンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。
トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティのアプリやサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:
上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。
さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:
このトークンはユーザの認証情報ではありませんから、そしてひとりのユーザとひとつのアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。
この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。
(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)
(略: そうした詐欺を企業自体が後押ししているような風潮もある)
(略: スタンドアロンのアプリなら、ログインを詐称する必要すらない)
この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザや組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?
クライアントアプリがユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザはフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザはインストールするネイティブアプリすべての信頼性に自分で責任を負う。
さらに
クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。
基本的に言って、OAuth のセキュリティガイドラインは、OAuth を利用する開発者がユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。
私の知る主要な OAuth ベースのサービスはほぼすべて、ここに概説した手法で攻撃可能です。
OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者や管理者に「OAuth はもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。
OAuth ベースのサービス設計でよく見かける間違いは、ブラウザ用に、パラメータのひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティのプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザのブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリやサービスのユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローを OAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。
「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつのサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザがブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。
EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に Facebook が GMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebook のユーザは全員 GMail に対して Facebook そのもののふりをすることができてしまうということです。
この問題は、OAuth エンドポイントがユーザのウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザをログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザのブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。
ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。Google は OAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローがひとつあります:
client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)
Citrix もこんな間違いをしています:
(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)
Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータをリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースのサービス開発者でさえも似たような状況で潜在的にヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。
サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービスは一般的にいって独自の「SDK」を提供しており、サードパーティの開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。
この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアントの機密情報を取得する脅威」に分類されています。しかしサーバがウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者は OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームが OAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレードの参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
弊社の定時は8:30で、フロア60人くらいの社員は全員7:30くらいに出社してる。おじいちゃんは朝早い。
企業自体はすごく大きいので、若い人とか外国人とかまあいろんな人がいます。
それで、最近一部の若い人が9:30くらいに出社するようになったの。
それ自体は既に裁量制労働だからいつ働いても制度的には問題なし。
ただやっぱり心情的に嫌な人がいるみたいでそれが鬱陶しい。
会社についたら、「私の若いころは定時前に来るのが当たり前だったのよー」とか
「事故にでも遭ったのかと思ったー」とか、もともと10時出社って宣言してあるのに。
もうねー、ほっといて欲しい。
いつ来てもいいって部長も言ってるじゃん。
毎朝うるさい!
http://anond.hatelabo.jp/20130220004202
の続き
ここはぼくが今までの経験から進路について思うことをQ&A方式で書いておくね。
もちろんぼくの個人的な意見だから絶対に正しいとは言い切れないけど、結構参考になると思うよ。
少なくとも、単に合格実績を上げたいだけの予備校や進学校の進路指導よりは何倍もいいと自負しているよ(笑)。
A.バイオ系は広い。
対象は野山に出て動物植物を追いかける研究もあれば、研究室で毎日細菌相手に実験ってのもある。
一方、応用研究とは、「基礎研究で得られたものを利用して人類に利益をもたらすための研究」のこと。
応用研究をメインにしているのは、医療系(医学部・保健学部・薬学部・歯学部)・農学系・工学のバイオ系。
基礎研究をやっているのは主に理学部だけど、理学部だけってわけじゃなくて、応用系の学部でもそれに近い研究室はある。
だから基礎は応用系の学部・学科に行っても学ぶことは可能だよ。
また、よく基礎研究を高校の勉強で言うところの「基本」と勘違いしている人がいるけど全然違う!
高校の教科書に出てくる練習問題の基本問題ってのは単に簡単な問題ってこと。
一方、基礎研究とは応用研究に比べて簡単ってわけじゃなくて応用性を持たないってこと。
応用性がある方がおもしろいと思うか、ない方がおもしろいと思うかは人それぞれだからそのあたりは
きちっと考えた方がいいよ。
文句を言ってもそれはきちんと選ばなかった自分が悪いわけだからね。
あと思うのは、最近では「環境」って名の付く学部や学科が結構あるけど、ぼくはそこには行かない方がいいと思う。
18歳人口が減っているのに、大学で学部・学科が増えているのは単純に収入源を確保したいだけなんだ。
だからそういう新設学部に行ってもきちんとしたことを体系立てて勉強するのは難しいし、就職でも企業は判断が
きちんと環境について学びたいなら、工学部や農学部のような100年以上の学問体系を持った学部に入ってそこで
きっちりと勉強すべきだよ。
そしてそういったことができる企業や官庁に入って仕事として環境をよくする方向を目指すべきだと思うよ。
A.医学部以外は基本的には大学4年生になると研究室に配属になってそこで卒業研究をやるよね。
たいていの場合は学生は一人では何もできないから先輩から教わりながら研究をやる。
就職活動時期は3年生の後半~4年生の前半だよ。
高校生の中には「そこそこ以上の大学なら、理系の就職は推薦制度があって特に就職活動をしなくてもあっさりと
有名企業に決まってしまう」と思っている人がいると思うけど、それは主に工学部の電気電子機械系で
バイオ系は基本的に推薦制度がないから自分で探さないといけないんだ。
しかも大卒(学部卒)の場合はバイオの企業の理系職(研究開発職)に就くのはまず無理だから、文系的な職種や
公務員・教員に行く人だけが大学院に進学せずに就職活動をしているね。
一方、バイオの企業の理系職(研究開発職)や国公立の研究所の研究者を目指す人は大学院に進学する。
このときの就職希望者は大学院の最初の2年だけ大学院に行って(修士課程という)、就職していくのが一般的。
このときの就職活動時期は修士1年の10月~修士2年の夏くらいまで。
じゃあ、肝心の就職実績はどうかと言えば、これがかなり厳しい・・・。
バイオ系の企業って主に製薬系と食品系に別れるけど理系職の採用なんて1社あたりせいぜい
15人程度しかないんだ・・。
そのたった15人の採用枠を巡って数千人が応募するわけだからかなりの激戦だよね。
せっかく高校時代に夢を持ってバイオ系に進学したのに6年も経ってから希望が叶わなかったなんてそれはないよね・・。
ほんと厳しい・・・。
じゃあ、希望の就職ができなかった人はどうするかってことなんだけど、人それぞれだよね。
希望じゃない職種で就職する人や無職になる人、仕方なく博士課程まで進学する人。
バイオ系の学部・学科のHPで就職先をきちんと書いていないHPが多いのはこういう理由なんだろうね・・・(汗)。
3年で卒業(修了)できる場合はかなりのやり手であって、+1~2年くらいは修了は遅れることは
当たり前だと思った方がいい。博士課程はきちんとした研究成果を上げないと修了できない制度だから、
博士に上がる前に自分の力量をきちんとわきまえておかないと何年経っても修了できなくて
ドロップアウトってことはよくあるんだ・・・(汗)。で、めでたく修了できても就職先はないことが多い。
研究所に就職できたとしても、ふつうポスドクって身分になるんだけど、そのポスドクになるのはかなり難関で、
なれたとしてもポスドクは2~3年の任期制だからその間にきちんとした研究実績を上げられないと
あっさりクビになってしまうんだ。もちろんそこでクビになったら別の就職先なんて見つけられるわけない!
だって30歳近くになって会社勤めしたことない人を雇いたいって思う会社なんてあるわけないでしょ・・・。
基本的に研究者の世界は芸能界やスポーツ選手の世界だと思った方がいい。
ほんの一握りのできる人だけがのし上がっていけて、他の能力のない人は消されていくんだ・・・。
A.バイオ系の場合、大学院入試(院試)は大学入試と比べるとものすごく簡単。
そのまま同じ研究室で上に上がるだけなら、院試前に1~2ヶ月勉強すればあっさりと受かってしまうものだよ。
同じ研究室にそのまま上がっても入学後の1日の生活は基本的には変わらないよ。
だから、同じ研究室に大学生と大学院生という身分の違う学生が2種類いることになるんだ。
おもしろいでしょ?
別な大学院に行きたい場合は、行きたい研究室の先生と事前にメールとかで連絡を取ってその研究室に挨拶に行こうね。
院試も外部受験だと内部で受けるよりハンディはあるけど、研究室訪問をしたときに何とか院試の情報を先輩から
聞き出して(先生からは聞かない方がいい)、有利に受験を進められるようにしようね。
注意しないといけないのは、大学院には2種類あって『研究大学院』と『専門職大学院』があるんだけど、
バイオ系の学生が行く大学院はふつう研究大学院。研究大学院は「単に研究をのみするところ」なんだ。
一方、専門職大学院とは、最近注目されている法科大学院や会計学大学院のように「特定の専門職に就くために
法科大学院は司法を目指す人を養成するところだし、会計学大学院は会計士を目指す人のために大学院だよね。
よくある勘違いは、研究大学院なのに専門職大学院のような期待をして進学することがあるんだけど、
これは大きな間違いだよね、研究大学院ではいろいろなことは学べないよ!普通は特に資格も取れないよ。
A.悲しいけど、ただの「使いっパシリ」としか思っていない先生が多い。
大学の先生ってのは自分の研究室の研究業績が上がることで、自分の名声もあがるシステムになっているから、
できるだけ多くの学生を研究室に所属させて、その学生にいろいろ研究させたいと思っているんだ。
研究室の基本的な生活って、毎日に朝9~10時くらいから夜11~12時まで実験ってことが多いから、
人を雇おうとしても激務すぎて労働者は寄りつかないし、先生も給料を払わなければならいから、
タダで使える学生に研究をさせて研究室の名声を上げようと考えている先生が多いよ。
先生も安定している職業じゃないから、いい研究成果を出せないとクビになってしまうこともあるからね。
もちろんすべての先生がそういうわけじゃないから、どの先生につくかはきちんと噂などをゲットして考えた方がいいよ。
A.こういう質問が出るのは将来のことをあまり考えていないからだよね。
そういう場合はまず自分がどういうことをしたいのか、あるいはどういうことをしたくないのかを
きちんと考えるようにすることが先決だよ。もちろん、一人で机に向かって考えるだけじゃ答えは出ないから、
いろいろな人と話したり、バイトをして職業について考えてみたり、ネットでいろいろな噂を見て判断してみるのがいいよね。
それでも決められない場合、あるいは同じくらい魅力があると思える場合は、ぼくだったら次のようにするよ。
まず、医療の研究がしたいなら、医療系の学部(医学部・保健学部・歯学部・薬学部)に進む。
どれも難関だけどね。
それ以外のバイオ系の学部では人を対象にした研究は基本的にはできないから、入学後
フラストレーションがたまるだけだよ。もちろん医療系の学部と言ってもいろいろあるし、学部や大学に
よってもやっていることが全然違うから自分のやってみたいことができるような大学・学部を選んでね。
そのための情報集めは怠らないように!!
医療の研究に直接興味がないなくて、バイオ系と電気電子機械系を天秤にかけるなら、
やはり日本は電子立国だからこれらの学科だったら就職に困ることはまずないからね。
学生1人に対して求人企業が10~50社くらいあるから引く手あまただし、この系統だったら
確かに最近は推薦制度でも絶対に採用されるわけではなくなりつつあるけど、それでも普通に就職するよりも
ついでに書くと、機械メーカーへは機械系よりも電気系の方が入りやすいし、
一番悲惨だと思うのは、基礎研究に興味がないのに理学部に進んでしまう人・・・。
別に生物学科に限らず理学部は基礎研究しかしないから、「人の役に立ってこそ研究」と考えている人は
理学部には絶対に行ってはいけない!間違って入ってしまった人は再度大学受験をやり直して応用系の学部に行くか、
大学院で応用に移ろうとする人がいるけど、院試の科目が違いすぎてなかなか受からないし、受かっても
就職では企業は学部時代にどんな勉強をしていたかを大事にするから、かなり不利になってしまうよ。
ぼくの個人的見解としては、基礎研究に興味があっても、学部はとりあえず応用系に進んで、
きちっと技術や資格や免許を取得したうえで、同じ学部にある基礎の研究室に行くか、理学系に進学するのが
いいだろうね。
基礎しかやらない理学部に入ってしまうと技能とか資格・免許は取れないものだから(教員免許以外)、
以上
