THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.

そんな OSS に対して、

「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」

といった上から目線のメールを開発者に送るというのは、IT 企業として無知にもほどがあるといったところ。加えて log4shell 問題、名前のとおり log4j の脆弱性なので Java でかつ log4j を使ってなければ影響はないのに、C言語でかかれた cURL に問い合わせているので問題を全く理解していない。(Java の j が消えるので log4shell という命名はどうなんだというのは個人的にある。つーか Poodle とか Spectre とかファンシーな名前つけてあそんでんじゃねーとも思う。)

しかも緊急性の高い脆弱性に今ごろ質問？って感じ。

なお cURL はどうやら開発者の Daniel Stenberg 氏が wolfSSL というところを通じて商用サポートを提供しているらしい。　https://curl.se/support.html]

ということで、「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」というのはネタでもなんでもなく、普通の対応。

でもこの返しかっこいいしあこがれちゃう。

そしてブログに書いてある2回目の返信で、David と名前を間違えられたのに対して、Fotune 500 の巨人ということで "Hi Goliath," と返しているのも最高にクールですね。

なんでこんなメールが送られてくるのか

あくまで経験＋想像だけど

今回のような脆弱性は CVE というデータベースに登録される
大企業（SIer などの開発会社だけでなく、銀行などのユーザ企業含む）は脆弱性などセキュリティに対応するための専門部門がある（情報セキュリティ部門、以下情セキ）
情セキは CVE などのセキュリティに関する情報を日々収集しており、log4shell のような重大な問題があると、関係部門にチェックを依頼する
大企業の場合、自社開発、ユーザとして使っている製品、その依存関係まで全部リスト化してチェックしていて、それに対して報告せよといってくる
緊急度の高い問題の場合、〇日以内に報告せよとかなり厳しい（今回の log4shell は特にやばく、情報流出やサーバ乗っ取りまであり得るのでかなり急いだ）
開発担当は情セキからの依頼を受けてとにかく情セキからきたリストに書かれている製品に対して、開発会社やサポートに大丈夫？って質問をする

こういうフローが事前に規定されていて CVE とか問題が検知されると発動する。このときに担当が大丈夫です！って回答するときにエビデンス（証拠）を求められるのだけど、クソな情セキは自社の担当の言葉を信用せず、開発会社からの言質をとれ！って命令するので、くそメールがスパムされるという背景があったりする。（担当が無知だったりイケイケだと、とにかく下請けにやらせればいいというパターンももちろんある）

そして情セキも経営層に報告するのに必要で、経営が0リスク信者だと報告が大変なのはわかる。わかるがそれを説得するのが情セキの仕事やで。

加えて担当レベルになると大手は「そんなん下請けにやらせればいいだろ」ってマインドのところが多く、上から目線かつ丸投げすることが多いように思う。

理由

大手ほど人件費の単価が高いから、大手のプロパ社員は手を動かさない（個人の感想です）
上流は下請けに金払っているから使えるだけ使ったほうが得じゃんというマインドがある（個人の感想です）
下請けも次の仕事が欲しいから下手にでて、くそ営業がなんか無料/格安で受けてきちゃう（個人の感想です）
上流の担当がコード書かずに Excel パワポとにらめっこがメインで、脆弱性の意味がわかってない（個人の感想です）
ユーザ企業含め上流工程に係る人は実装の細部を知らなかったりする（個人の感想です）

もちろん担当者はピンキリだからこうとは限らないけど比較的多い印象。

ま、これ今回 Daniel Stenberg 氏が公表したからばずってるだけで、日本でもしょっちゅう行われているし、Hacker News みると海外でも一般的なムーブのようです。 LogJ4 Security Inquiry – Response Required | Hacker News

ほんと IT 業界は地獄だな！

小さいところは

情セキないし脆弱性にあんまり詳しくないから気づいてない
やばいの？よしなにやっておいて？でおわる
技術力がちゃんとあって、自社で解決できる
わからないところがあっても、あんまり上から目線でこない

とかであんまり上から目線でこない感じはするけど、これはあくまで個人の資質なのでやべー人はやべーです。オラオラ系の中小とかやっぱいます。でもこんな細かいことはあんまり聞いてこない。（個人の感想です）

この手のメールになんでカチンとくるのかって言えば

そもそもウエメセがうざい
つーか契約がないのに何言ってんの？
でも今後の取引上断りにくい
ということで貴重な時間がとられる
そしてちょっと気を許すと、クソほど追加質問、クソExcel フォーマット埋め、製品に関係ない質問やら別件がついてくる
そんなクソムーブが年収5000兆円もらってるだろう大手からしれっとくる

ということで、皆ちゃんと保守・サポート契約して、契約範囲で質問しような！

そして金払ってても相手は人間なんで、お互い敬意をもって接しような！

その他諸々

Public Key でこの件にからめて記載されている奴について

OSS「faker.js」と「colors.js」の開発者、自身でライブラリを意図的に改ざん　「ただ働きはもうしない」

https://www.itmedia.co.jp/news/articles/2201/11/news160.html]

ちな、これ詳しくないんだけど、OSS 作者が「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」というのもよくわからないんだよなぁ。

火事で財産失ってむしゃくしゃしてやったのかなんなのか。人気 OSS になったのに全然金にならんぜ！ってのが辛いのはわかる。が、OSS のライセンス的に支援を義務としてやる必要はないので、そんな義務的になってる報告は無視してええんちゃうんと思ってしまう。今回みたいにサポートフィーよこせみたいなスキームが必要だったのかもしれない。

あと個人開発で、善意でこれ便利だろ？って公開しているものに対して、辛辣な言葉の心ないバグ報告やら改善要望は心には刺さるので辛いのはある。それで辞めてしまう人も居る。

ブコメでフリーライドって書いている人が居るけど、MIT ライセンスでだしてんだから OSS の理念である自由なソフトウェアという意味で、再配布、改変、利用は自由でいいんだよ。イヤなら MIT 以外のライセンスでだせばよい。古くは MySQL の Dual ライセンス、最近の Redis とか Mongo みたいに。

ただ、金欲しいとか大体 Donation 募集したりするとかやってると思うんだけど、そういうのもあったのかなかったのかがよくわからにぃ。ポートフォリオになるので、採用にはつかえるんじゃないのかね？

じゃなきゃ GitHub に Public でコード公開しないと思うんだけどな。いまいちピンとこないのであんまり言及しない。

Redis、MongoDB、Kafkaらが相次いで商用サービスを制限するライセンス変更。AWSなどクラウド ベンダによる「オープンソースのいいとこ取り」に反発

https://www.publickey1.jp/blog/19/redismongodbkafkaaws.html]

で、商用ライセンスの問題。これ今回のくそムーブの問題じゃないのここに並べられるのに非常に違和感がある。なんか OSS と大企業の対立を煽るようなミスリードを誘っているように感じてしまう。

大手クラウドベンダは OSS のライセンスに則って利用・改変するのは問題がない。つーか儲かってるから金よこせっていうのはちょっと違うんじゃないかなと思う。

オリジナルを開発した会社がリスペクトされず、商業的に儲からないってのは、心情的、道義的、人気的にどうなの？クラウドベンダも金払ってあげれば良いんじゃないの？とは思うよ。（2社は協業したけど）

ただ、オープンソースで公開するということは次のような利点を求めてするこって、それがイヤならプロプラで良いわけさね。

自社の技術力の公表
無料で使えることでユーザの取り込み
自社以外のコミュニティによる要望の取り込み・開発力の強化

Apache License 2.0 とかのライセンスの OSS として公表しているものの利用をフリーライドと表現するのも、それがなんか嫌儲で Evil ってのはちょっと判断できないかなぁ。

大手が自社でメンテできてしまう（できるようにする）というのは経営戦略であり、開発元がクローズにするってのも経営戦略。罵り合い合戦はちょっとなぁという感じ。

OSS の理念的に改修した分は元のソースにもっとフィードバックしろよってのはあるけど AGPL とかで出してないんだよなぁ。

この辺は賛否両論色々あるので気になったら調べてみて。

以上。ご査収ください。

Permalink | 記事への反応(1) | 14:41

2022-01-23

■

エビデンスは見つかりませんでした🦐

Permalink | 記事への反応(0) | 14:15

■フェミニストだけどツイフェミの人達が何を言っているかさっぱりわからない

多方面に誤解を与えない様なツイート。難解な言葉。間違えが許されない雰囲気。求められるエビデンス。過去の発言 etc……。

そこに絡んでくる言葉や思想のテクニックを披露している顕示欲が邪魔をして、シンプルに物事を語れる人が見当たらない。

訳がわからな過ぎる。

Permalink | 記事への反応(0) | 12:23

2022-01-21

■anond:20220121235305

女は下方婚するエビデンスきたな

Permalink | 記事への反応(1) | 23:55

2022-01-19

■anond:20220119234941

痩せぎすの方が小太りより子沢山というエビデンスはないだろ

むしろ逆のイメージすらある

Permalink | 記事への反応(1) | 23:53

■anond:20220119225200

やってる感出すと支持率が上がるというエビデンスはあるんでないの。

知らんけど。

Permalink | 記事への反応(0) | 22:55

■まんぼう出したら感染者減るっていう科学的エビデンスがないなら出すな

オミクロンが風邪と同レベルっていう信頼できるエビデンスがないなら言うな。

絶対的に正しいエビデンスが出ない限り何もするな

エビデンスエビデンスエビデンスエビデンス

Permalink | 記事への反応(1) | 22:52

■管理栄養士が馬鹿すぎて嫌になる

管理栄養士が国家資格だから給料上げろって言ってるけど管理栄養士がいるからってプラスに働くことあるのかよ

介護士や幼稚園の先生はいなきゃ困る人いるから給料あげるのは分かる

管理栄養士がいなきゃ困ることって何？

義務で置かなきゃいけないのは分かるけど、置くならもっとエビデンスがしっかりした食事提供してくれるかな

その辺の手料理出すくらいなら栄養士も調理師も管理栄養士も変わらないし、責任負える人って枠で管理栄養士置いてるだけ

本当は調理師の方が重宝してる

しかも特に27歳↑の管理栄養士ってなんで国家資格取ったくせに栄養について何も知らないの？

資格活かせないくせに持ってるだけで給料上げろとか図々しいだろ

今は変わって4年制でてもすぐには国家資格受けられないからその分合格率が下がったって聞くけど、変わる前の管理栄養士なのか？

4年間勉強だけして資格とって、現場きたら活かすどころか忘れていって、野菜切って異物混入ないか確かめるだけの馬鹿に成り下がってる

給料あげて欲しいなら実績くださいね〜バカ管理栄養士さん

Permalink | 記事への反応(0) | 18:41

■anond:20220119101024

そのどこにワーキングメモリの少なさと短絡思考の因果関係のエビデンスが示されてるの？

Permalink | 記事への反応(1) | 11:51

■anond:20220117131920

こんな独自研究にブクマが集まるなんて世も末だなあ

まず独自理論の前提となっているワーキングメモリの低さのエビデンス挙げてみて

Permalink | 記事への反応(2) | 06:57

2022-01-18

■エビデンスはこちら

《〈🦐〉》🎶

Permalink | 記事への反応(0) | 20:33

2022-01-15

■現代 ビジネスの記事は「オタクが経済を回している」論に言及している

anond:20220106222511

https://gendai.ismedia.jp/articles/-/90942?page=3

1990年代後半以降、日本経済がデフレに沈んでいくなかでも、秋葉原は流行の商品を次々と、また安価に送りだすことに成功した。テレビのクールや週刊マンガ誌のペースに合わせ、あらたな商品が目まぐるしく消費される。限定品のDVDやゲームなどたしかに高価な商品もあったが、他の街で売られるファッションやグルメ、自動車などと較べれば、それらの価格は高が知れていた。

ここで普通に秋葉原の商品（＝オタクグッズ）が他の街の価格より安いって書いてるよね。

だからこそ秋葉原は、デフレのなかで力を弱めた「消費社会」の希望の星になった。サブカルチャー的商品は、年少者向けという起源を持つために安価にとどまり、だからこそデフレのなかでも「大人買い」的に買われていく。他の街ではむずかしくなった、流行商品を好みにまかせ次々と買う楽しみを安価に経験させることで、秋葉原は「消費社会」を延命させる役割をはたしたのである。

秋葉原の商品が他の街の商品の価格より安いからこそ、全体の消費が弱くなっても秋葉原では弱くならなかった、だから経済発展の象徴になったとしていて、この記事の核心の部分になっている。これを「秋葉原の商品は安いので経済全体への影響は小さい」と読まないのは無理でしょ。

「オタクグッズの価格が比較的安い」とか、「経済的影響も小さい」ということに対するエビデンスが示されていないので、そこはこの記事の問題として指摘できるだろう（だから印象論扱いされてる）けど、オタクが経済を回している論に言及してないわけじゃない。

「オタクが経済を回」で全文検索してる場合じゃないぞ。

Permalink | 記事への反応(0) | 14:14

2022-01-14

■anond:20220114171723 anond:20220114173359

どう考えても元増田もこう言うの喜ぶ連中も

ネットde真実さんのお仲間でしょうよ。反対の主張してるだけですね

ダイプリ編
病院のベッドに空きがなくなるのを心配するのが、空が落ちてくるのを心配するレベル。
自粛不要
一斉休校は科学的根拠がない。子どもは感染しないし重症化しない
ドライブスルー検査は害悪
PCRは感度が低い
PCRは日本だけ疫学に使えない水準にある
検査は不要。院内感染起こしまくってるけど不要
集団免疫
肺炎になるまで家にいろ(でも俺は平熱でも病院へ行く by橋下氏)

ここでいうネットde真実とは？
TwitterやヤフトピやYouTubeや週刊誌のみが真実で
文責のある海外メディアや論文や学会の見解や科学読み物や各国の政府のデータを意図的にシャットアウトして過ごす人たち
不思議と世界の動きとエビデンス以前の疫学的常識に逆張りする

あと下記も理解できないおつむだろうなって思ってる

インフルのワクチンは、ほぼ義務として看護師・介護士・関連職員はだいたい打つが、医師はそうでもない
なんなら予防接種後の副反応に詳しい医療機関を受診し、診察を受けるのが良いかと思いますと言っている
その意味をよくよく考えるこった

⭐️自衛隊が接種しなかったのはモデルナの金属混入知ってたのかもな。あと副反応が日本のみ酷かったのは人種や体格の問題ではなく異物だったのかもな⭐️
モデルナ製の新型コロナワクチン
　【パリ共同】米モデルナ製の新型コロナウイルスワクチンに異物の混入が見つかった問題で、製造に関わったスペインの製薬会社ロビは２６日、声明を発表し、異物が見つかったロットは日本のみに納入されたと明らかにした。
　ロビの製造ラインの一つが原因だった可能性があるとして、調査に協力し続けると表明した。
　ロビはモデルナと委託契約を結んでいる。米国以外へ納入されるワクチンについて、スイスの企業が製造した原料をスペインの首都マドリード郊外の工場で瓶に充填し、完成させる最終工程を担っている。
　
抗体依存性感染増強（ADE）についてはなんとも言えんかな。アメリカでも模範解答は、
"Current SARS-CoV-2 vaccines appear to be providing protection with high antibody titers; the possibility of ADE risks associated with waning titers of antibodies over time remains unknown. " だし
　
ただ過去にADE起こしたワクチンあったよね？については排除されてるよと書きつつ記載もしている
"A note for concerned parents: Zero vaccines given today cause ADE. An older measles vaccine and a respiratory syncytial virus (RSV) vaccine were removed from use after showing evidence of causing ADE. A dengue virus vaccine causing ADE was also discontinued for young children."

Permalink | 記事への反応(0) | 17:25

2022-01-13

■新変異株で重要なマスクは？マスク抜ける飛沫、理研が数える実験

呼吸から出る、飛沫（ひまつ）よりも小さな粒子はマスクをどのくらい通り抜けているのか。理化学研究所の研究チームが、マスクを通過する粒子の大きさと数を測る実験をしたところ、素材によって結果に大きな違いが出た。

新型コロナウイルスは、せきやくしゃみなどで出る飛沫や、おおむね5マイクロメートル（0・005ミリ）より小さな水滴が空気中にただよった状態のもの（エアロゾル）を吸い込むことで感染すると考えられている。

マスクが重要なのは、ウイルスを含む飛沫やエアロゾルを広げたり、吸い込んだりするのを防げるからだ。マスクがどのくらい小さな粒子まで防げるかを調べたものとしては、スーパーコンピューター「富岳」のシミュレーションが知られる。ただ、あくまで計算上のもので、実物のマスクがどのくらいの性能なのかを比べた研究は少ない。

理化学研究所光量子工学研究センターのチームは、微細な水滴をつくる噴霧器と微粒子カウンター（計測器）を組み合わせた装置で、マスクの種類によってどのくらい小さな粒子まで防げるのかを比べた。

噴霧器でつくった微小な水滴をウイルスが含まれた粒子にみたてて、プラスチック製のケースに充満させた。ケースには10 センチ四方ほどの穴があけられている。この穴を、さまざまな素材のマスクのフィルター部分の生地で、隙間ができないように塞ぎ、その先にある微粒子カウンターで、マスクの生地を通り抜けた粒子の大きさや数を計測した。

マスクはウレタン製（2種類）、医療用マスク（2種類）、不織布、布製の計6種類を試した。最も性能がよいのは医療用マスクで、0・5～5マイクロの粒子をほとんど通過させなかった。さらに小さな0・3マイクロ以下の粒子についても、通過する量は約1千分の1に減っていた。不織布や布製マスクもほぼ同様の性能を示した。

一方で、ウレタン製のうち一つでは、生地を通過する5マイクロの粒子数を約10分の1に、2.5マイクロの粒子数を約半分にできたものの、それよりも小さな粒子はほとんど防げなかった。もう一つのウレタン製は、通過する小さな粒子を数百分の1ほどに減らしていたが、不織布ほどの性能ではなかった。

新変異株で重要なマスクは？　マスク抜ける飛沫、理研が数える実験 [オミクロン株] [新型コロナウイルス]：朝日新聞デジタル
https://www.asahi.com/articles/ASQ1D33SZPDSULBJ001.html

みんな大好き、「エビデンス」だよー。

Permalink | 記事への反応(3) | 17:55

■

そういえば、夏ぐらいに「副反応辛かったけどワクチン2回打ったからこれで終わり」って言っていた人おったよな。

冬から春には3回目だよと言ったら、「デマだ！陰謀論だ！」とか言っていた人いたけど、あの人はどうすんだろ。

心臓チクチクするって言ったら、心筋炎かもよって言ったら、「デマだ陰謀論だ！」とか言ってたけど、厚労省から心筋炎のリスクが公表された時どんな気分やったんやろ。

エビデンスに基づいた判断ができている人は、ブースターも心筋炎もエビデンス通りやけど、そうじゃない人もいたやろし。

Permalink | 記事への反応(1) | 11:28

■

結局のところ反ワクチンの中でも一番頭の悪い雑魚を狩って良い気になってるだけでエビデンスに基づく批判にはダンマリなんですよね

Permalink | 記事への反応(0) | 11:19

2022-01-12

■

https://b.hatena.ne.jp/entry/4713879839131729058/comment/cript

表現の自由は絶対守らなきゃいけない。キモいもんはきもいのよ。公共の場に出さないでくれ。と言うのも立派な表現なので。

また議論のスジが分かってないブクマカが１名。

①キモい、公共の場で見たくないと表明するのは自由。理由も要らない。

お前の主観だからな。

ただし、②性犯罪を誘発とか偏見を助長するなど、客観性を謳った主張なら、当然エビデンスを出せや、という話になる。

何でこんな簡単なことが分からないの？

Permalink | 記事への反応(0) | 14:00

■はてな フェミってquick_pastがコメントし始めると一斉に下僕が追従するよね。なんか弱みでも握られてるの？

https://b.hatena.ne.jp/entry/s/twitter.com/kayuumaatsui/status/1480342841734070274

quick_past で、ルールだの法だのは、決めるために「多数」が必要だけど、それは自分たちが握ってる。と確信してるからな。民主主義を単純な多数決で語り始めるのも同じ理由。強い側が弱い側を従わせる。って発想。
rci エビデンスがなくても通用している決まりなんて多々あるのにね。たとえば現行の死刑制度がいったい何の「エビデンス」に基づいているとお考え？
cleome088 犯罪につながるじゃなくて既に今の状況が犯罪行為に対して甘々だから厳しくされてんだよな。性暴力を面白がって許して男はそんなモンとか言ってるから女は男を簡単にほぼ人殺しの犯罪者になると思って接してるのよ
zyzy 殺人含めてこの世の犯罪に認定されてる行為ほぼ全ての理由にもエビデンスなんてないのに選択的発狂してる人がわいてて語るに落ちてるな。エビデンスを呪文としか思ってなくて、論理的思考が本当は出来てない証拠。
hate_flag 証拠が出ないことを承知で「証拠を出せ」って言ってるんだよな。でも数値には出ない小さなところから悪影響は必ず受けてるはずなのでそういう小さいとこから直していこうぜ

cinefuk すももアンケートなんか、その典型なんだよな（表示戦士と層がかぶる）『与党自民党がスパコン富嶽に「五輪開催に都合が良いデータ」を出させたように、数値やデータってのは誠実でない人が扱えば簡単に歪められる』
HanPanna 犯罪率増加の影響があっても犯罪予防に有効的でも「明白かつ現在の危機」がなければ規制しちゃいけない。但しそれは対国家の話であって、悪表現は市場(国民間)淘汰しようというのが市場論。奴ら全然分かってない。
rgfx データの根拠・解釈にもジェンダーが入ってくるんで「数字があるから論理的！」じゃないんだよなあ…
Domino-R 表現自衛隊？？/言い方はともかく正しい指摘ではある。人の尊厳なり自由なり思想なりは法を超えて思考される必要がある。逆に言えばそれを現行法において考えるのは問題の矮小化なのよ。
white_rose “それは、【思考停止】の【口実】が欲しいだけで、科学的態度ではないね。” “こうした諸々を無視して、数値やデータに盲目的に従うのは、要はマチズモの一種だよ。”
worris 「権威主義」の一言で説明可能。中野まんだらけの件でも顕著だったし、松戸警察署にはクレームしないのも同様。キクマコや知念実希人の言動もこれで納得できる。