  |
はてなキーワード: 既製品とは
はてななんでこれ消したんや!!! 誰直也さんとも言ってないやんけ
| 1番(右) | 五反田のデリヘル嬢に本番強要した挙句不倫関係に突入する。 |
| 2番(二) | 自分が技術顧問を務める会社の悪口を言う。 |
| 3番(一) | 年収2500万円、はてなの株で少なくとも1億円以上の資産があるにも関わらず、ブラックリスト入りしている嫁が浪費家のせいで金がない。そのせいで慰謝料が払えず離婚ができない。 |
| 4番(指) | 不倫相手に無修正ハメ撮り動画をネットに公開される。 |
| 5番(左) | あんなブログを公開されたにも関わらず、その5日後には不倫相手に会ってセックスする。 |
| 6番(中) | 不倫相手のLINEだけ通知オフ(仲がこじれる前)。 |
| 7番(三) | 手作りチョコをもらっておきながら「既製品の方が美味しい」。 |
| 8番(捕) | 不倫相手を雨の中40分間も放置した挙句に逆ギレ。メニューを放り投げて「腹減ってんだろ、好きに頼めよ。俺は食欲ない」。 |
| 9番(遊) | エレベーターでキスしたり不倫相手のパンツに手を入れたりする。雑居ビルの階段の途中で手マンする。ビルの階段の陰になったところでフェラさせる。 |
| 投手 | 無免許運転で箱根の温泉までドライブしてセックスする。 |
| 投手2 | 不倫相手に「妊娠したら責任取る」と言って中出しておきながら妊娠したら中絶させる。しかも中絶費用を払わないどころか謝罪もしない。さらに「4月になったらもう一度子供を作ろう」と言って、後に反故にする。 |
| 中継ぎ | 秒速アウトプット(早漏)過ぎて外出しできてない。不倫相手曰く「みこすり半という表現がまさに正しい」。それを棚に上げて「俺外に出したと思う」と無茶な言い逃れをする。 |
| 抑え | 助けを求めて叫ぶ不倫相手をアスファルトの上を引きずって交番に放り込む。 |
| 代打 | 不倫相手を雨の中40分間も放置した挙句に逆ギレ。メニューを放り投げて「腹減ってんだろ、好きに頼めよ。俺は食欲ない」。 |
| 代走 | 「別れる時は1,000万払う」と言っておきながら当然のごとく反故にする。 |
| 監督 | 「おまんこに、じゅぽじゅぽちんちん、こすりたい」(俳句) |
https://anond.hatelabo.jp/20170801235400
自分の場合は初Windousが初自作という無謀ぶりだった。
20年程前。懐かしいなあ。
あの頃はちょうどフロッピー→CDでないとインストールできなかったのがOEM版windows98だとCDから直接CDでインストール出来るようになってみんな「便利になったなぁ!」って感動してた頃。
ただ自分の数年前の人はフロッピー20枚だか30枚だかを延々入れてWin95インストールしてたらしいから、それに比べると十分ヌルいんだけど。
ま、昔話はそれくらいにして、自分の場合はその後10年以上仕事でも私用でも自作を使い続けてきたんだけど、段々自作のコストメリットや手間が割に合わなく感じるようになってきたので、
仕事用はDell・エプソンダイレクト・HP等の既製品、私用はノートPC+モニタに切り替えようとした。
…が、全く性に合わず数年で自作に戻した。
PCを新規導入する時の面倒さって
1.ハードを組み上げる
2.Windowをインストールする
3.自分の環境になるようソフトをインストールする
なんだけど、よくよく考えてみると1と2は大した事なくて(特に2は無茶苦茶簡単に素早くできるようになった)、ほとんどの手間は3である事に気付いてしまったのだった。
で、既成PCを買う事で省ける手間って1から2までなんだよね。だったら自作でいいやん…って感じで。
結局ゴチャゴチャソフトが入っているPCを使うのが嫌なので、素のWindowsが使える自作に戻っていった。
逆に言うと、現代における自作の一番のメリットと言うか魅力って「素のWindowsが使える」と言う一点にあると思う。
アンドロイドにおけるNexusみたいなもん。
一方自作PCを選ばない理由は多い。
自作しているとデカいケースに魅力を感じるようになるが、普段使うには邪魔に感じる事が多くなってきた。
昔に比べるとほとんど何でもUSBでつながるし、光学ドライブを使う機会は減ったし、拡張性はあまり要らなくなってきた。つまりデカくなくても良い。
CPUを変えたくなる頃には、他のパーツ(と言うかCPUとマザーとメモリの3点セットだけど)も変わっているため、新しいCPUに変えたいと思ったらマザーから変えてやらないといけない→結局一からやり直し
Dellはデスクトップ2台とノート1台を同時に買ったのだが、デスクトップは2年で3回くらい故障して(確かマザボ周りの故障だった)最後は電源がイカれて使える部品だけ自作PCに移植して退役してもらった。
Dellは一見BTO風なんだが独自規格が多くてパーツが使い回ししにくい。あと電源がダメで二度と買いたくない。
ちなみにもう一台のノートはデスクトップと違い優等生で、故障もなく元気に働いていたのだが3年経って保証が切れてすぐに(ホントにすぐに)画面がダメになったんで買い換えた。
絵に描いたような優等生だ。
エプソンはそれに比べるとずいぶんマトモだとは思うが、他の人も書いているようにBTOのPCはパーツを少し良いものに変えようと思うと、凄く高くなる。
メモリを通販で買う、HDDモデルを買ってSSDに換装するなどすればコスパは上がるが「それやったらBTO買う意味あんま無いやん?!」て気になるので、ここ数年はあまり買ってない。
あと、エプソンでは省スペースPC(一時はネットトップとか言ってたんだっけ?)も数台買ったが、こちらは寿命が同社の他のPCより短かかった。
で、今はと言うと、仕事用にインテルのNUCを買ってみたところ気に入ったので、仕事用に既に5,6台買って使っている。
今年からは私用にも使っている。
自作感はかなり薄いがこれだって一応自作…かな?
ただし、コスパあんまり考えずに買ってるので普段は気にしてないが、冷静に考えてみると凄く割高かも…って気はしてる。後悔はしていない。
費用の事を全く無視して「とにかく自作やってみたい!」と言うのなら入門用には最適と言う気もするが、凄く的外れな事を言っているような気もする。
あと、こちらも省スペースPCであるので、寿命が短いのかもしれんなぁ…とは思っている(まだそれほど長期間使っていない)
とりとめもない上に、最初の数年は3Dゲームをしていたが、それ以降全くそっち方面への興味が無くなってしまった人間の話なので、元増田にはあんまり参考にならなさそうな話で申し訳ない。
別にせんとくんが登場したからというわけではなく、奈良のキャラは昔からだいたい鹿でだいたい鹿せんべいが好き。もちろん、雪丸(王寺町)、たけまるくん(生駒市)、蓮花ちゃん(葛城市)、よどりちゃん(大淀町)といった鹿キャラじゃないのもいるけれど、例えば大仏のキャラがやまとくん(わかくさ国体)、にこにこだいちゃん(奈良特産品)、みらいくん(JAならけん)くらいなのに対し、鹿は着ぐるみだけで40体ほど。
スライサーしてあくぬいて水きってオーブントースターでやってみた
出来はノンオイルでパリパリにできた
コツは途中で適宜裏返すこととアルミホイルを敷くことかな
でも正直、チップスというよりおかき、せんべいって感じの出来で、チップス求めて食べるとかなり物足りないバカ舌な私・・・
あとやっぱり焼くのがめんどくさい(途中で裏返したりとか)し時間かかる
スライサーしたじゃがいもを放射状に立てる器具(排水口裏返したみたいなやつ)でオーブンで焼いたらもうちょい手間は違うかな?
あっでも今調べたらチップすの厚さが2mmもいるらしい・・・それじゃスライサーだとだめだわ・・・
オリーブオイルを後からふりかけてみたら、といわれてやってみたけど、やっぱり冷えた油をまぶす程度じゃべとべとするだけで全然おいしくならなかった
健康的な油(?)使って一気に揚げたほうがいろいろとラクだしおいしいねやっぱり
フライパンに浅く油しいて揚げるのが一番だな
うーんなんとかあと1回くらいやりたいな・・・
スルーした方が良いかなと思ったんだけどすごく怒ってるみたいだからもし知らなかったら気の毒と思って追記するね
幅広甲高増田は、履き口(スロート)部分の革が柔らかい/履き口自体広く作られているものを選んでみてね
試着した時に小指と薬指の指の又部分が履き口から出ちゃうくらい先っちょ部分が少ないもの(=覆わないので甲に当たらない、横にも圧迫しづらい)もあるよ。安物で申し訳ないけど最近そういうパンプスと出会ったメーカーはルタロン。ランダもすごく幅広のラインやかなりのサイズ展開ある
あと、冬は微妙かもしれないけど甲高幅広の人にはサイドオープンタイプのパンプスもおすすめ革が伸びやすいし横向きの力が全然かからない。ついでに蒸れない
もちろん冠婚葬祭にしか履かないのであれば一足オーダーしておくのがいいと思う、なぜなら既製品の靴は日常的に履かないと足になじまないから
すてきな一足に出会えるといいですね
幅広甲高の足ナメんな
まず普通の既製品の靴はパンプスな時点で大多数が物理的に入らねえ
足先が靴の中に納まらねえんだよ
コンフォートシューズのメーカーで探しまくってやっと脱げない長さだけどまともに足先が入る靴が見つかる状態
それでもただでさえぎゅうぎゅうに詰め込んでるわけだから、ヒールが高くて足先に体重かかると痛くて歩けん
選ぶ楽しさ?そんなもんねえよ無難な形で履けさえすれば何でもいい状態だよそれでもなかなか見つからない
オーダーすりゃいいんだろうが高いしさ
キビラとかどうなんかな、でも安いけど見た目からして質悪いよなああれ
あの値段で質が良いもの出せる訳ないんだけど
まあ今後ビジネスシューズ履かなければならない仕事に就く予定なんかないから別にいいんだけど(つーか無理、万が一それを強いられたらオーダーするしかないわ)
冠婚葬祭が面倒過ぎる
それも滅多にないけどさ
茹でた羊の内臓(心臓、肝臓、肺)のミンチ、オート麦、たまねぎ、ハーブを刻み、牛脂とともに羊の胃袋に詰めて茹るか蒸した
プディング(詰め物料理)の一種である。さまざまなバリエーションが存在し、内臓は主として肝臓が使われるが、心臓や腎臓を
使う場合も多い。近年では胡椒などの香辛料を使うことが一般的となっている。
こってりしており、スコッチ・ウイスキーとともに供せられる。ウイスキーを振りかけて食べることも多い。
スコットランドでは一般的な食べ物で、既製品を肉屋で購入できる。
近年では動物の胃袋の代わりにビニールで包んだ商品や、缶詰などもあり、ベジタリアン用の野菜で作られたハギスも存在する。
但しハギスに限らず、動物の臓物料理は古今東西を問わず各民族において一般的であり、好悪は調理法・味付け(スパイスワーク)に
職場では、女子力のたかい女性社員によって手作りや、既製品のチョコレートが配られていた。
私はここで務めてから、初めての2月14日だったので、勝手がわからなかったがこの会社の女子力はたかいのだと思った(近くの席でチョコを持参していない女性社員は2割程度だった)
男女の友情は成立するかについて、
異性経験が乏しいため2人きりで夜食事にいくとなると「おっ?」と思ってしまう自分がいる。
好みでない異性と2人で食事に行くことはしないし、まず異性とここまでの関係になることもそんなにない。
今まで男女の友情は成立しないと思っていたし、2人で食事にいく仲になればそういう目で見ることも必ずあると思っていた。
しかし、最近そうでもない、相手がこちらを完全に恋愛なしで見ているパターンが多くなってきた。
今日の相手(夜2人で飲むのは初めて)は、前から気になっていた存在でもあった。が、今のところ、恋愛対象としては見られていないように思える。
相手の態度を見ていると、男女の友情も良いんじゃないか?と思えてきた。
セックスという快楽抜きで語らえる、寂しさを共有できる友という存在は大切である。性別がどうであろうが。
私にとってセックスは、とても大事だけれども、そのリターンもリスクも高い行為で寂しさを紛らわすことは、失うものも多いのだよなあと改めて思った。
スペックとしては身長は183センチ/108キロ体脂肪率36%から183センチ/73キロ体脂肪率12%になった。
まずどのタイミングで食事をしようと太る量は変わらない。重要なのは「いつ」食べたかよりも「どれだけ」食べたか。
1日の消費カロリーを1800calとして、朝に1000cal、昼に600cal、夜に400cal摂取するのと朝400cal、昼に600cal、夜に1000cal摂取するのでは太る量は変わらない。
そもそも有酸素運動自体が時間効率が悪く30分走ったてたった300キロカロリー程度しか消費されない。
1キロ脂肪を消費するのに約7200キロカロリー必要だから、12時間も走らないといけない。
そんな事するなら毎食ご飯半膳減らして余った時間を別の事に使った方がいい。
じゃあなんでこんなにも有酸素運動信仰が強のかというと誰にでも出来て簡単にやった感が出るからだ。
誰でも走る事位出来るだろ?汗かくとやった感出るだろ?そういう事だ。
朝起きてトイレいった後体重計に乗りその体重を「今日の体重」にする。
次は食事の事だが、野菜を「多く」食べるとか曖昧な考えじゃダメ。
多くとるとか曖昧な言葉で考えてるとキャベツの千切りで腹を膨らまそうとしたりしてろくな結果にならない。
ダイエットに食事は切っても切れない関係だからキッチンが汚れるのが嫌だとか考えてる人はこれを気に料理を覚えろ。
最初は汚れるかもしれないが次第に上手くなって効率よく作れるようになる。
手入れも楽とか直鍋で食えるとかのデブ思考は捨てまともな思考へ変えていこう。
体重管理は一生続けるものだからその場しのぎは帰って効率が悪い。
今は24時間やってるジムが多数あり安く通えるから水泳よりも筋トレをしよう。
当然ジムにシャワー設備もあるから汗をかいた後は気持ちよく帰れる。
服を着てるので体型も隠せる。
ジムはロッカーもあるから好きなシャンプーやボディーソープも使え手ぶらで行く事ができる。
食事は自分の1日の摂取カロリーを計算して消費カロリーよりも低くすればいいだけ。
今はコンビニがどこでもあるし殆どのものにカロリーが書いてあるのでそれをスマホなりにメモして計算しよう。
はじめは食事を既製品のもの(カロリーが記載してあるもの)を摂取する方がいい。
そのうちどの食品をどの位食べると何カロリー位というのが感覚で分かってくるからそうなれば早い。
朝は何食べてもいいとか夜は少しだけとかいう考えを捨てましょう。
何度も言いますがいつ食べたかよりもどの位食べたかの方が重要です。
体を温めても痩せません。
風呂出た後に体重が減るのは水分がなくなっただけなので水を飲めばすぐ戻ります。
体温めるのに労力使うくらいなら摂取カロリーを気にしましょう。
部分痩せなんてしないので腹を温めても腹は凹みません。
暖かい200kcalのものと冷たい100kcalだと後者の方が痩せます。
以上です。
長文乱文失礼致しました。
では、また。
ちがうよ、全然違うよ。あんたの服選びじゃ救われない人が多すぎる。本当に服装で悩んで試行錯誤したことがあるやつなら絶対そんな答えは出てこない。元記事の最大の欠点、それは「標準よりやせ形であまり汗をかかない」人しか想定していないこと。ここ10年くらい、日本の男性ファッションは『細身できれいめ』のトレンドに縛られている。だから初対面の人から、「柔道部かアメフト部、それとも砲丸投げとかやっていた?」と聞かれる俺みたいながっちり目で汗かきな人間には選択肢がなかった。元記事のような格好をしよものなら、ピチピチの服が汗でビショビショになってすごく悲惨だった。じゃあどうすればいいかって?答えはこうだ。
「ユナイテッドアローズ」や「ジャーナルスタンダード」のスーツを買う金があれば「麻布テーラー」で仕立てられる。費用を抑えたければ「PSFA」のイージーオーダーもあり。
伊勢丹や高島屋に入っているようなメンズブランドは大抵サイズ直しのサービスをやっている。肩幅や手の長さに合わせてサイズを直しても、2〜3000の出費で収まる。サイズが合うものを探して何軒もさまようよりも選択肢が一気に増える。ゆったりサイズと揶揄されるユニクロだって、洋服のお直し屋さん的な店でで直せば驚くほど見栄えが良くなる。
3) 髪型
くせ毛だったり、汗っかきだったらワックスつけてセットしても、溶けたり崩れたりするので基本短髪に保つ。店は1000円カットでいいから最低月一通うこと。気になるなら2週間に1度でも良い。
4) 汗対策
下着は綿一択。ユニクロのAIRismみたいな化繊だと大量に汗をかいた時に吸収しなくて臭いの元になる。あとは腋にはデオナチュレつけとけ。まじこれ最強。
以上、元記事で救われない人向けの修正版を書いてみたが、いかがだろうか。特に、サイズをなんとかするには仕立てるか、直すしかない。今の日本のメンズファッションはマジで細身が多すぎるから。
■追記
元記事に違和感を覚えたので少し気合い入れて書いたら何人かからブコメをもらえてうれしい。
いろいろ思うところがあるのでいくつか返信を書いてみる。
・悲しいけど、標準体重まで痩せるのは前提条件だと思うんだよね。綿素材最高なのは完全に同意だが、そんなに元増田と違うこと言ってる?
サイズが重要だっていうのは元増田に同意。ただし、努力で何とかなる部分(腹をへこめるとか)とどうにもならない部分(骨格や汗かき、くせ毛等の体質)は分けて考えないといけない。どうにもならない部分が足を引っ張ってる人にはなんで最低限のことすらやらないのと小ばかにするのではなくて、別の解決策を提示することが必要なんじゃなかろうか?
そう、それこそが問題。平均からやや痩せ気味の人なら10の労力で手に入る清潔感も、標準から外れた体型、体質だと100の労力が必要だったりする。そして平均的な人から見れば必要な労力が全く見えないので無邪気な悪意をガンガンぶつけられる。そんなのおかしいと思わないかい?
ダサい人たちを救うべく脱オタテクニックが提唱されてから10年超。それからというもの、元記事のように数か月周期でわいてくるどこかで見た上から目線のファッション指南。そろそろ俺たちはこのループを抜けて次の段階へ進むべきじゃないのだろうか?
貧乳なのはただの事実である。カップサイズが物語っている。そんなことはどうでもいい。『だから』『似合うドレスがなかなかない』と言っている。
お前が乳にコンプレックスを持っていて「大丈夫だよ」と言われたいなら言ってやる、別にそれはいい。だが今は私の話だ。
貧乳という事実を「そんなことないよ」と否定して、で?どうするんだ。そこ否定したら似合うドレスが増えるのか。
違うだろ。
世のパーティドレスのほとんどは胸があった方が綺麗に見える。女性らしい膨らみを計算に入れて設計されている。
そんなのただの事実だ。いいと思う。私自身ドレスとはそういうものであるべきだと思っている。そこに憎いとか悔しいとかそういう感情はない。訂正、やや寂しい気持ちはあるものの。
私の胸が単純に既製品向けのサイズではないという、ただそれだけの事実を『述べている』。否定も肯定も求めていない。
確かに既製品では合わないというのはマイノリティである証拠であり逸脱した個性だ。特に劣化方向に逸脱したものは哀みが湧いてくるのも分からなくはない。
だが別に着られるものが皆無な訳ではない。この世で最も全ての人間に優しくあろうとするのがアパレル業界だと思う。ある基準以下の人間は裸でよろしいなどと切り捨てたりはしない。大変ありがたい。
だからどんな体型でも探せばある。ただ、少ない。
その事実をもってして、『購入を検討できるものが少ない』から『探すのが大変』であり、ギリギリでは間に合わないだろうから『前々から探してる』のである。そういう話をしてる。それに「大変だね」と共感してくれのであれば嬉しく、であるからこそその予定をあまり奪わないで欲しいと思う。
別に貧乳に限らず、フリーサイズではうまく収まらない体の部位を持つ全ての人々(無論巨乳を含む)が同じような事態に直面し、それぞれに対応しているだろう。根は同じである。
私個人は服屋へ赴く度に己の貧乳に向き合い悩むなど時間の無駄の極地であると思っているので、前提条件として受け入れておかないと話が始まらない。特に哀れまれるような悲しみを与えられた記憶もないのに、何故こうも尽く貧乳であることを哀れまれねばならないのか、憤懣やるかたない。
貧乳の話に関わらず、本人が気にしてないことを相手がコンプレックス扱いしてやるのは親切なのかどうなのか。大きなお世話じゃないのか。
一応善意は受け止めて「ありがとう」と言っておくけれど。思ってもないこと言うお前のストレスってどれくらい?win-winに対するlose-loseみたいな単語を心の底から掲げたくて仕方ない。
しかしこれ、私が言えば『ドレスが見つからないことに対する不満』100%だけど、普通サイズの胸の人が言ったら『優越感くすぐれ要望』(別名:謙遜)の場合もあって見分けつかないんだろうな。
というか多分事実を述べるような人より謙遜する人の方が多いんだろう。特にこういう反応返す人は。
でも、でもだ。割合の話ではなく、私を見て欲しい。よく見て欲しい。謙遜で済む話ではないだろう。否定してどうなる。何度でも言う。否定してどうなるって言うんだ。現実の話をさせろ。
そういう、謙遜に対して否定という形で優越感をくすぐってやるテンプレのせいですぐ「そんなことないよ」と言われてしまうのにイライラする。
そもそもへりくだった状態ではないし、話の腰を折られた意味も理解できない。
仮に説明しようとしたとしても途中経過で毎度「そんなことないよ」と言われるのだろうし(貧乳向けのドレスが少ないことに対して「そんなことないよ」と言うなら首都圏のドレスの入荷点数カップ別のデータ提示して欲しい、もしくは店舗教えろ)、そう想像すると更に苛立ちが増す。そんな非生産的なやり取りに時間や気力を割く未来を可能な限り避けたいのでやはり説明などという手段は選ばず、
「んーでも私が嫌なんだ」
という主観100%の感情論で終了させる事にしているんだけど。
毎度それだとそれはそれで向こうは相手にされてない感じがして嫌だろうなと思いはする。私に話す意味あるの?みたいな。
まぁ……ないといえばない、かな……。あえて言えば気持ちよく会話がしたい。
anond:20160426124418 と anond:20160426145507 の続きだゾ。てか長えよ
(略: トークンが定期的に期限切れになるので可用性が下がる。たとえばビデオカメラから複数の動画をアップロードしている途中で切れたらムキーってなる。再認証して途中からできるのもそれはそれで CSRF の温床。AFCP のような場合は期限切れがあってはならないので、パスワード等を預かる認証プロキシの SaaS アプリを筆者は作った。好評だったが、これはもちろん本来あるべきでない欠陥のexploitのはず。)
(略: 個人ユーザ向けのAPI設計ばかりで、雇用者や上司がアカウントを管理するという観点がない。SAMLでは普通にできるのに、OAuthとなるとセキュリティ的に云々と言って拒むサービスばかり。別のUIで既にできてることをAPIにしても意味がない。これまでできなかったことをAPIで可能にするのではなく、単なるシングルサインオンでよければ他にある。実際Googleは個人向けにはOAuthを活用しているが、Google Apps for BusinessはOAuth以外のシステムを使っている。)
(略: 主要な設計ミスは、外部サービスすべてを同等に疑うところ。管理者が各サービスの信用性を判断して権限を調節できるようにしないところ。これまでどれほど多くの製品がOAuthの面倒さのために失敗してきたことか。)
ここまでで「普通の実装における」OAuth がまったくおかしいということはわかりましたが、OAuth が実際うまくいくのはどういうときでしょうか。
初期の OAuth 規格および概念におおよそ付き従っているシステムは一般的に言って、新しい規格ベースのよりもセキュアで、マシです。OAuth 1.0 の実装がすべてセキュアだというのではありませんが、たいてい問題は少ないです。こうしたシステムは通常、次のふたつのアプローチのどちらかに従っています:
とはいえ、このように設計されている OAuth ベースのシステムはごくごく希少で、しかも一般的にこうしたシステムは、他のところで使われている OAuth とは似ても似つかぬものです。OAuth 1.0 規格の方に寄って頑張っていますが、公式には 1.0 は非推奨ですから、こうしたアプローチを使っているシステムはそのうち「アップデート」されて OAuth 2.0 の概念や追加機能すべてを加えて再構築され、セキュリティやユーザビリティをだめにしてしまうことになります。これこそ筆者があらゆる OAuth ベースのものを見逃したくない理由です。もっと古く、もっと機能的な形式の OAuth を使っていても、システムに「改善」が必要だという素敵な考えを管理者のだれかが閃いて台無しにしてしまうからです。ご迷惑をおかけしてすみませんと言うぐらいなら、まったく別のものを使うほうが良いですよね。
他に手はないかと探すとき、人々はよく他の「フレームワーク」にはどんなものがあるかを知ろうとします。しかし、考え抜かれたセキュアな設計を実現するためには必ずしもフレームワークが必要というわけではありません。現状、OAuth とはどのようなものかについての意見はサービスごとに異なっていますので、承認の具体的な動作の仕組みもまったく一定ではありません。そんな中でフレームワークを探しまわるのは、簡単にできることをいたずらに複雑化しているだけのことが多いです。唯一ほんとうに難しい要素、しっかりした規格の必要な要素は、使用する鍵パラメータの改竄を防ぐため変数に署名する方法だけであり、この点に関して、ほとんどの OAuth ベースの実装は一切何もしてくれません。
ウェブサービスの最大手である Amazon は、世界中の企業にサービスを提供する一流プロバイダで、合計 30% 以上という途方もない市場シェアは他者を圧倒しています。Amazon のアプローチは、自分でアプリの認証情報を生成できるコントロールパネルへのアクセスを、すべてのアカウントおよびアカウント管理者に提供することです。この認証情報で、どの Amazon サービスで作業できるか、そのサービスでどの操作を実行できるか、どの権限で作業しなければいけないかを指定できます。この認証情報は必要に応じて「アカウントホルダ」の人が破棄することもできます。
Amazon の API における認証や承認技術には、本質的に制限が多く潜在的に危険性のあるリダイレクトを一切必要としません。Amazon のプロトコルで認証情報は、直接送ることは一切なく、データの署名に使うのであって、これでブラウザを通してパラメータを送る必要のあるときにも改竄不可能にすることができるのです。
Amazon の設計はアカウントの利用状況を API の利用まで適切に把握できますし、API の認証も承認もすべて Amazon 側からスタートし、その際のアプリ認証情報も「Amazon の」コントロールパネルから生成されます。この認証情報はその後、いかなるトークン交換システムも使わず直接 API プロセスで使われます。この設計なら「普通の実装における」OAuth が達成している真のセキュリティ目標をすべて達成し、かつ前述したセキュリティ上およびユーザビリティ上の問題をすべて回避しています。
ひとつ言及せざるをえない短所は、Amazon の権限システムが幾分わかりにくく、あまりユーザに優しくないということです。ただし、このことは何故かほとんどのコントロールパネルにも言えることで、いずれにせよ UI 設計の問題であって、承認プロセス自体の失点ではありません。さらに、Amazon のコントロールパネルはかなりキビキビ使えて、それ自体の API でも使えます。この点たとえば Google の場合のように、筆者の知る限りメタ API もなく、何をするにも何十もの手順が必要なのとは大違いです。
Amazon の認証および承認メソッドは他のサービスプロバイダにも幾つかコピーされています。Google 自身も企業向け製品の一部でこれを利用できるようにしています。Google 自身、純粋な OAuth 設計は企業サービスに向いていないことを認めており、企業サービスには JSON Web Tokens (JWT) の利用を推奨しています。
JWT はサービス間の SSO や API 利用を可能にする規格です。多くの点で JWT は SAML に似ていますが、SAML はややこしくて、XML Security (名前と違って、まったくセキュアではない) の上に構築され、API 利用に向いていないのに比べ、JWT は SAML の主要な目標を、単純かつ使いやすい方法で一切の面倒なく達成しています。HMAC 実装をひとつ用意し、JSON の構築と解析の方法を知っておけば JWT は使えます。既製品をお求めでしたら、膨大な JWT ライブラリが既に存在していますよ。
ただ Google の場合、典型的な JWT 利用法よりも高度で、HMAC のかわりに、もっと高度ですがこの分野では人気の低い RSA デジタル署名を利用するよう要求しています。Google のコントロールパネルではアカウント管理者が自分の企業サービス用に新しい鍵ペアを生成でき、API ログインを署名するために使う秘密鍵をダウンロードできます。こちらのほうが HMAC よりセキュリティは高いですが、Google はプロセス全体を本当に無駄に複雑化しています。コントロールパネルをしょっちゅう完全に再設計して、前と同じことをしたいのに使い方が違っていて混乱する点は言うまでもありません。JWT 利用の実例が必要なら他をあたるようお勧めします。
他に使われている技術は、サードパーティがどんな権限を必要としているかをある種の XML や JSON ファイルで定義してウェブサイトに送信できるようにするサービスのものです。ユーザがあるページを自分のアカウントで訪問し、ファイルの URL (あるいは中身) をそこに貼り付けると、その外部サービスあるいはアプリが求めている権限の一覧やそこに含まれる説明などが表示されるようになっています。それを見て認可したいと思うユーザは、認証情報を生成してそのサードパーティのアプリあるいはサービスに貼り付けます。ユーザは後で無効にしたくなったら認証情報を破棄することができます。これも、開発者におかしな負担を強いることなく、すべてのアカウントに API サービスがあり、権限管理を備え、サービス自体からフローが始まる、実にセキュアな設計です。
承認管理のためにサービス側から提供してもらう必要が本当にあるのは、適切な役職 (管理者やアカウント所有者など) を持つユーザが自分に割り当てられた権限や (望むなら) 期限を持つ認証情報を API 利用のために生成できる何らかのパネルだけです。こうした認証情報はその後、お好みのセキュアな認証システムを通して利用することができます。たとえば HTTP Basic Authentication over HTTPS のような単純なもの、これは事実上どの HTTP ライブラリにも入っていますし、HTTP Digest Authentication、これはもっとセキュアでありながらほとんどの良質なライブラリでサポートされていますし、その他 HMAC, RSA, 楕円関数など認証情報をネットに通す必要のない暗号学的テクノロジーを活用した認証プログラムに基づくものなら何でも使えます。特に HMAC は、承認や認証を実装するほとんどすべての人 (Amazon や、一部の OAuth 実装も含む) によって既に使われています。
こういった種々の実績あるテクニックは、セキュアなプラットフォームを作るために CSRF 対策など複数のフレームワーク同士の相性を勉強する必要があるという重荷を軽くしてくれますし、一般的に、既存アーキテクチャにワンタッチで装着できるようなモジュール化の実装が可能です。ユーザやアプリの認証情報が盗まれる可能性をなくしてくれます。ややこしい CSPRNG を常に使用する必要もありません。このようなシステムは OAuth の生まれるずっと前から存在しており、現在でも一般的です。OAuth は、ユーザの認証情報を要求したり他に弱点があったりするような一部の劣悪な設計のシステムよりはセキュリティが良いかもしれませんが、既にある真の設計を置き換えるものではありません。OAuth が解決すると主張する問題点は実のところ、既存の良く設計されたシステムには存在していませんし、「普通の実装における」OAuth は実のところ、解決すると主張する問題の多くを招き入れるばかりか、最初は存在していなかった問題まで生じさせています。宣伝文句と違って、OAuth にすれば自然と驚くほどセキュアになるというわけではなく、むしろ数々の短所や実装の困難さを考えれば、他の考え抜かれた選択肢のほうがはるかに優れています。
これからサービス設計をして API アクセスを提供することになっている方はどうか、ご自分が実現しようとなさっているのが何なのかを本当に考えてください。他の人がやっていることをコピーするだけで済ませたり宣伝を丸呑みしたりしないでください。どうしてもコピーしなければいけないなら、Amazon (これが最善です) や Rackspace, IBM SoftLayer, Linode, VULTR, Zoho, Zoom ほか、API の素直で健全な認証システムを構築する方法について現時点で多少なりとも理解のあるところをコピーするようにしてください。
2016 年 4月 Insane Coder
OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324
http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html
認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。
OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。
前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法で OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。
言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたのお気に入りの OAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。
また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法で OAuth を使っているサービスの利用者であっても、また自ら OAuth ベースのサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。
この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。
この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。
この前書きのあとは、まず OAuth のセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティのコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。
その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。
最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。
いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーが OAuth ベースのサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースのシステムの主要なセキュリティ欠陥は非常に蔓延しています。
筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。
というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。
ここで言及されている情報やリンクされている情報は今のところ既存のサービスに悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のものを破壊するのではなく改善することを目指してください。この記事は、自社サービスを不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。
この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。
まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。
ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッション・グループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。
ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザがビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。
ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的に営業部門のメンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。
トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティのアプリやサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:
上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。
さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:
このトークンはユーザの認証情報ではありませんから、そしてひとりのユーザとひとつのアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。
この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。
(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)
(略: そうした詐欺を企業自体が後押ししているような風潮もある)
(略: スタンドアロンのアプリなら、ログインを詐称する必要すらない)
この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザや組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?
クライアントアプリがユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザはフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザはインストールするネイティブアプリすべての信頼性に自分で責任を負う。
さらに
クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。
基本的に言って、OAuth のセキュリティガイドラインは、OAuth を利用する開発者がユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。
私の知る主要な OAuth ベースのサービスはほぼすべて、ここに概説した手法で攻撃可能です。
OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者や管理者に「OAuth はもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。
OAuth ベースのサービス設計でよく見かける間違いは、ブラウザ用に、パラメータのひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティのプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザのブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリやサービスのユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローを OAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。
「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつのサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザがブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。
EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に Facebook が GMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebook のユーザは全員 GMail に対して Facebook そのもののふりをすることができてしまうということです。
この問題は、OAuth エンドポイントがユーザのウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザをログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザのブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。
ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。Google は OAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローがひとつあります:
client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)
Citrix もこんな間違いをしています:
(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)
Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータをリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースのサービス開発者でさえも似たような状況で潜在的にヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。
サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービスは一般的にいって独自の「SDK」を提供しており、サードパーティの開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。
この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアントの機密情報を取得する脅威」に分類されています。しかしサーバがウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者は OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームが OAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレードの参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
「富士通を退職した話」を読んで、20年近く努めている側からの感想と疑問について書いてみたいと思います。
私も、情報科学を大学時代専攻した後、新人で山奥というかむしろ雲の上にある天空の工場に勤務してメインフレーム関連の仕事をしていました。
その工場に配属される新人は(希望すれば)寮に入るわけですが、高専卒は工場の敷地内にある山頂の寮で二人部屋、学士卒は山の5合目にあるアパートの一人部屋、修士とドクターは街中にあるマンションという感じでした。
街中の下界から工場がある天上界への通勤はバスで移動することになるのですが、わたしは、バスのディーゼルエンジンの排気ガスが苦手なので、頼み込んで工場の敷地内にある寮にしてほしいと願い出て、山頂の寮に特別に入れてもらいました。そもそもが2人で一部屋なのですが、学歴の関係か私は一人で2人部屋を使わせてもらっていたため、ものすごく広々と部屋が使えました。
わりと頼み込めば、人事や勤労も柔軟に対応してくれる会社という印象です。
20年前でさえ、メインフレームは古いというイメージがありました。
ただ、私は古臭い部署に配属されたことは不幸とは思いませんでした。電話からスーパーコンピュータまで幅広く扱っている世界でも稀な会社に入ったからには、いろんなことを経験してみたい。
そのためには、そろそろ絶滅してしまいそうなメインフレームを今経験せずにいつ経験出来るのか?くらいな感じでむしろラッキーくらいに考えていました。
最新の流行を追いかけるのもそれはそれで面白いが、そういったものは出来合いのライブラリを組み合わせて流行を少し遅れて追っていく2位集団であるし、やりたければ個人で家でも出来るじゃないか程度の感覚です。
ただ、せっかくメインフレームの部署に来たのですが、私の担当はワークステーションで動作するUNIXやPCでの開発が主体でした。
そもそもが、メインフレームを扱っていた部署ですから、先輩の人達はあまりUNIXやPCに詳しくなかったので、大学でUNIXやPCを経験した新人が入ってきたことは非常に重宝されました。
その部署では開発言語は、社内の独自の言語(Cよりもさらに機械語に近い言語をマウスでグラフィカルに操作してコーディングする言語)を使っていました。もともとはメインフレーム用の言語なのですが、UNIXワークステーションやPC用にも
その言語コンパイラはあり、あわやその言語でUNIXの開発する羽目になりそうだったのですが、私は猛烈に反対して自分の意見を通しました。当時はJavaやRubyなどの言語は無くCが全盛でしたが、
その部署の開発メンバーはCをほとんど知らなかったのです。そこで、社内のカイゼン活動として、C言語の勉強会を開くことを提案し私が講師になってC言語をメンバーに習得してもらい、
PCやUNIXでの開発は独自言語ではなくC言語を利用することを認めさせました。
元の増田の方は、自分はエクセルのVBAソースが見れない立場のようだと言っていましたが、ソースをみようとしたらシートにロックがかかっていたのを見て諦めてしまったのではないでしょうか?
元のEXCELを使った業務が非効率であるならば、業務の改善活動として提案すれば、それを拒む上司というのはちょっと考えにくいです。
忙しい部署にも、改善活動のノルマが課せられるのですが、先輩はそういったことに関わっている時間が中々取れないので新人がそういった仕事をやると宣言しても拒むのはまずありえません。
下請けのプログラマーからみると富士通のような会社は中間搾取していて高給をとっているのに、仕事は丸投げという印象があるでしょうが、実際やってみると案外大変です。
私は、富士通本社のSE的な立場、グループ孫会社に出向して、そこから顧客先に派遣される4次受け5次受けのプログラマ両方を経験しましたが、はっきりと下請けの方が精神的に楽と感じました。
客商売や、自分でやっているわけではない人に依頼した仕事について、責任をとるのは非常に苦しいものがあります。そもそもプログラミングはとても楽しいというのもありますが。
私見ている範囲では違う部署に異動したいという希望は100%通りました。異動を希望しているのにその部が解散するまでその部署にいる羽目になった人など見たことがないです。
もちろん、「プロジェクトが佳境で君に今抜けてしまわれては困る」というケースはあるのですが、IT業界のプロジェクトの開発周期は年々短くなる一方ですから、割と早い段階で異動の希望は通る感じです。
もとの増田の方は巨大プロジェクトだったので大量の人がいるわけですが、こういった部署は異動の希望は通りやすいです。
なぜなら、新規プロジェクトで最も忙しいときは大量の人員を動員しているわけですが、バージョン2、バージョン3あるいはメンテナンスのフェーズに入ればそんなに大量の人員は必要がないので、会社としてもその部署の人員を異動させたいわけです。
けれど、プロジェクトで中核の技術を担っているようなメンバー、マイホームを天上界に立ててしまったメンバー、新しい仕事に対応しにくい高齢のメンバーは異動させにくいので、
EXCELをいじっているだけのような新人は異動の希望が通りやすいのです。
もとの増田も、もう少し我慢していれば希望が通った可能性は極めて高いですが、プロジェクトが佳境でまだ新人で入ったばかりといった状態では、もう少しその部署で頑張れと言われるだろうと思います。
ただし、異動先の都合もありますので、ここから出たいはほぼ100%通りますが、あそこに行きたいは必ずしも通りません。
今更「京」のスーパーコンピュータをやりたいといっても、人気部署ですし、プロジェクトの最盛期は過ぎているのでその希望が通る可能性は低いでしょう。
色々な部署がある大きな会社では、管理職クラスは頻繁に異動が起こりますから、嫌いな上司はわりと直ぐにいなくなります。小さい会社だとそもそも部署が開発部と人事部と営業部しかないというかんじなので、上司がやめるか自分が辞めるまで、嫌な上司と付き合う羽目になりがちです。
新人研修期間が終わった後、人事の面談のチャンスがあるのですが、そこにはコツがあります。
「おおざっぱにはっきりと希望を言うこと」です。
いちばん最悪なのが、大学での研究を話し、それを活かせる部署に行きたいと話すことです。
人事の人は技術には詳しくないですから、研究内容が最先端であればあるほど、人事の人には通じないです。
キャッシュコヒーレンシが。。とか話すと、「よくわからないけどこの人は基本ソフトウェアに向いているのかな?だったら、自社でOSを開発しているメインフレーム回そう」という感じになってしまいます。
それよりは、人事の人が、会社組織のどの部署に配属すればいいかわかりやすいように、おおざっぱに希望をいうことです。
例えば、
上記のことを強い口調ではっきりというのが良いと思います。
そのうえで、できれば○○製品をやりたいだとか、こういった業種のSEをやりたい等の希望だすと、どの部署に配属すればいいか相手にも伝わり希望が通りやすくなります。
私の同期で入社して新人研修で山奥に配属されたバブル時代の末裔のようなおねーちゃんとか、数人は、割とはっきり希望をいって、下界に戻っていきました。
ブラジャー選びは
①アンダーバスト
だけで決めるものかと思ってたら、
③バージスライン
http://allabout.co.jp/gm/gc/44289/2/?FM=compi_linkitem-2
①アンダーバスト : 67
http://www.wacoal.jp/top/sagasu/knowledge/index01-01.html
すぐに上にずれて不快なことこの上ない。
ので長年ブラキャミソールを愛用してきたけれども、
そこで、某下着メーカーのセミオーダーブラを作ってもらおうと測定に行ったら、
③バージスライン : 4
既製品の場合「B70」はバージスライン「2」に該当するため、
わたしの身体にまったく合っていなかったのだ!
既製品は
①アンダーバスト
で選ぶか、
①アンダーバスト
③バージスライン
で選ぶかのいずれかしかない。
たまに「下着屋さんでちゃんと測ってもらったらサイズアップした~!」というカラクリは
これまで①②で下着を選んでいた人が、①③で選んだことが理由じゃないかと思う。
わたしだって①③で既製品を選んだら「E70」が妥当だって言われたからな…!
(そのかわりトップバストが全然足りないからパッド詰めまくらないといけない)
多くの人が価値を感じているし、歳をとってから価値が最大化する。
歳をとってから欲しいと思っても手に入らない。産むリスクは上がるし、産めなくなる。
手に入れてもランニングコストが高くつく。主に体力がついていかない。
あえて物として語るならそれは既製品でオーダーメイドじゃない。
少なくとも、子育てには永遠に終わらない社会的価値のあるプロジェクトという側面がある。
そこから得られる充実感や満足感はなかなか代替のきくものではない。
継続して運営するコミュニティーとしての側面もある。気に入ったメンバーで快適に過ごせるコミュニティーには価値がある。
でも事業の永続性は疑わしい。また多くの人は事業なんてやってない。
その人が後になって子供を作れば良かったと思うのではないか、
今回の機会損失は実はとても重大なのではないか、と危惧するからである。
18年前、エロ同人サイトを作りたくてなんの知識もない自分は出会い系広告などひしめくパソコン系雑誌をあさったりして必死でホームページを作ろうとしていた。
ただ単に、承認欲求が先走った行動だった。
ウィンドウズ?なにそれ窓?そういえば、あのとき、なんであんな並んで買ってたんだみんな。ドラクエくらいしか並ばないでしょ
とか思いながら初めて買ったFMVでダイヤルアップ接続して、エロサイトをテレホーダイ時代に必死で見ていた。
やがて、毎晩徹夜してエロ小説を書いては厨専用ヤフージオシティーズ(無料でHP作れるやつ)のどっかの町におんぼろ小屋をたてていた。
あそこは、初心者用エディタがあってタグの知識が不完全な俺でもなんとか必死でコピペして打ち込んで更新更新。
週1でエロ小説を更新して週2で触手記念日とか勝手に盛り上がって月一でかならず連載を終了しては凌辱のかぎりをつくし、T-Cup掲示板という無料レンタルBBSを使ってマニア達の要望に応えていた。
テレホーダイ時間になると必ず接続して今日のエロはとか語りだす。
IRCだっけ?なんかその手のチャットツールがあってな、ある日、触手愛好会のメンバーがどうやってサイト作ってるって話になった。
「ネスケ」がどうのこうの、「ホームページビルダー」で作れるよなどいろんな知識を自分はメモりながらエロ小説を必死で作り上げていた。
それから大学に進学してしばらく忙しくなってネット同人エロサイトからいったん離れた。
放置してたジオシティーズはいつのまにかなくなっていた。つうか、IDとパスワードわからんくなって放置して、問い合わせ先もわからなくなってしまった。
とかね。
そんで、最近になってまたエロ変態小説を作って当時のようにサイトを作ってみたいと思ったんだが、、、
HTML5になっていた。
そこまでにはXHTML1.0とか2.0などで、厳格にHTMLの曖昧さが砕かれてしまって
俺の好きな・・・
center,blinkも色もpinkとかも・・・・・・・なにもかもが否定されていた。
なんで?って一瞬思った。
そしたらWeb Application1.0とかになって今やHTML5。ついていけなかった。
つか、
エロ同人サイトをやっていた頃から、、、そういえばもう17年以上たつし・・・生物系大学院でて必死こいてPCRやって電気泳動して毎日ピペット奴隷大学で獄卒をしている間にこんなに変化するとは。
と、かなりおいてけぼりを食らった感がはんぱない。
あのDNA増幅するPCR装置がすごくスマートで簡単になったし、貧乏ラボ特有の培養液を粉から混ぜて作る面倒さがなくなって今は既製品培養液もある。
調整なんてしなくていいものが多い。
似たような進化なんだろうか。でも、バイオ系は手探りの日常空間で科学してるだけでなんていうのか、履歴があいまいに残ってるくらいで大きな変革を感じない。
生物系は日に日にシコシコと飼育当番しながら小銭をもらって生きていてるけど、プログラミングはそれ以上の進化を感じる。
これは、自分がエロ同人にのめりこまなかった17、18年ほどで、ネットの中で何かでかい革命が起きたんだろうかとか・・・1か月ほどショックが否めなかった。
もっとエロ同人で週一で触手しとけばよかった。続けてればこんな置いてけぼり感味わうこともなかったんだろうか・・・。
ネスケも終わっているし、ホームページビルダーとか当時高くて買うのに涙を呑んでた時代がものすごく遠い。
