はてなキーワード: ブラウザとは
「これからはHTML5だ!」と、真っ先にflash対応を拒否った〝あのブラウザ〟が
よりにもよってHTML5のリッチコンテンツの表現力についてはIEと最下位争いをしてた、という事実を
俺は忘れんぞ絶対にだ。
結局は企業のやる事だ。
表現力豊かなコンテンツが自由に配信されるWebブラウザは、プラットフォーマーとして強くありたい企業にとっては、煩わしい存在だ。
ブラウザは貧弱なままにしておき、ストアのアプリばかりになって課金をコントロールしやすい方が、企業の利益になる。
あ~あ。
Smoozという国産ブラウザアプリがサービスを終了して、私はなんだか無性にイライラしてしまった。
WEBとセキュリティを専門としないので関連記事をざっと見た感じだと、
といった感じが主とした批判理由で、批判記事が書かれた数日後、アスツール社は利用規約を変えるでもなく、サービスの一時停止でもなく、サービスを終了させた。
Smoozを開発したアスツール社、
mala氏、
そしてお前ら
最初、あなたの記事を読んだとき、私は「こんな中華アプリみたいな情報ぶっこ抜きブラウザアプリを作るなんて、なんて腐った連中なんだ」と思いました。あなたの情報を小出しに勝負する様は見ていて気持ちよく、私が明るくないセキュリティに詳しいこともあって、あなたは正義の見方に見えたのです。
しかし、Smoozがサービスを終了させたと聞いて、私の態度は一変しました。もしアスツール社がmala氏の言うような"面の皮が厚い連中"であったなら、最初に取る一手は利用規約を変更して、なんだかんだ理由をつけてサービスを続けるだろうと思ったからです。しかしそうではなかった。
アスツール社は、アプリの使用者に「セキュリティの問題が起きたので使わないでください」というポップアップを表示する機能を実装させ、ストアから削除し、サービスを終了させました。
もしかして、邪悪な情報売買事業者は、存在しなかったのではないでしょうか?
なぜあなたはセキュリティに詳しいにもかかわらず、IPAに報告もせず(してたらごめんね)、アスツール社に報告をせず、初手でブログで開示という方法をとったのでしょう?
それはセキュリティ界隈のキャリアアップの方法が、既存のサービスの脆弱性を見つけて、それを指摘しSNSやブログでバズらせて名を上げるという戦国時代のそれだからでしょうか?(心あたり多すぎですね?)
それとも情報セキュリティマネジメント試験には、「問:脆弱性を発見した場合、これ以上被害がでないために何をすべきか」「答:SNSやブログでバズらせてサービスを停止させる」という問題が出題されているのでしょうか?
不思議なことに、私の怒りはアスツール社から一変、あなたに向けられることになりました。
私は、このmalaさんという方が「アスツール社に脆弱性報告をしている」というのを見て、正直感動しました。
なぜならセキュリティ界隈の人間は戦国時代の武将なので、脆弱性を見つけるや否や、スクショをとって「ここがまずい」「ここがやばい」とSNSに連投したり、なんの権限もないコールセンターとのやりとりをブログでバズらせる人ばかりだと思っていたからです。
しかし考えてもみれば、まじめに脆弱性報告をする人は目立たないのです。私はteraailでこまめに回答を書いている徳丸某氏の活動には目を向けないくせに、声のでかい戦国武将の活動ばかり目を向けて、セキュリティ界隈はクソだと思っていたことを恥ずかしく思いました。
しかしmalaさんの以下の文言を見て、私はそれどこらではなくなりました。
似たような要件で仕様が上がってきたら、多くの開発者が同じようなことをやるだろう。 上から目線で評論家気取りでこれは酷いなどとのたまうばかり、火事場を外から眺めて他人事で自分のことは棚に上げ、 人のふり見て我が振り直しもしない、お前もお前もお前も、漫然とインターネットをしている醜い卑しい下賤の生き物ばかり。なんとかしてくれ。
私はかつて「時間と金」を理由に、数年後に爆発する時限爆弾を見て見ぬ振りをして開発をしたことを思い出しました。そして爆発の火中に巻き込まれるのを恐れて転職しました。
そうです。私は自身の仕事ぶりには棚を上げるくせに、はてなブックマークであがってきたインシデントには人一倍敏感な棚上げクソ野郎だったのです。しかしmalaさん、毅然とインターネットをするには人生は短すぎて、人類は繁栄しすぎています。インターネットはビジネスチャンスの宝庫で、殆どの人類の関心事は他者を出し抜きそのチャンスを掴むことにあります。当然、注力すべきはビジネスロジックで、セキュリティは二の次になります。 あなたの記事をブクマして偉そうなこと書いてる技術的に聡明な人とは違って、私のような凡人は、 あなたの書かれている脆弱性の手法の意味をまったく理解できていないし、関係ない話ですが機械可読性に配慮して文章を紡ぐという必要性すらも感じていません。ただ1週間の残った2日でどう人生を輝かせるかで価値が決まる人生を歩いているのです。
あなたの文章を読んで、自分自身にも怒りが沸いてきました。真にクソなのは、棚上げ転職逃亡クソ野郎の自分自身だったからです。確かに私はインターネットも、人生も、漫然と惰性で生きている。しかしだからといって、どうすればいいのか。ビジネスの意思決定権は自分以外にあり、私にできることといったら、せいぜいが静観を決め込むぐらいだ。
残念だったのが、あなたが reliphoneに暴言を吐いたことです。セキュリティ界隈には強い言葉で反論をしずらくし周りを萎縮させる重鎮が鎮座していると思っていましたが、あなたもそれになっていることです。漫然とインターネットをしない先がそれなら、蛇の道ですね。
まず、私がアスツール社を知ったのは、はてブにSmoozの記事があがってからでした。
そこで私は「なんて非道いアプリだ。許しておけぬ」と思い、代表取締役の名前で検索し、クソ野郎の顔と名前を覚えたぞ、しししと、汚い笑みを浮かべました。
その数日後、Smoozがサービス終了したとアナウンスがあり、私は驚きました。それと同時に、貴社の情報ぶっこ抜きアプリが、果たして本当に悪意によってなされたものかと考えを改め始めました。
貴社のやりたかったことは、広告で収益をあげたかったので、そのために記事中からキーワードを引き抜いてユーザに合った広告を出したかっただけなのでしょう。すべてのユーザがハナから有料ユーザになってくれればこんなビジネスモデルにする必要はなかったのかもしれないが、そんなことは起こりうるはずもないので、無料ユーザからは本文テキストをぶっこ抜いて、DOMをいじって広告を挿入する。これはいいアイデアだと思ったのでしょう。
私も中小零細企業で働いたことのある身。凡人の自分が考えたアイデアなんて世の中にはたくさんあって、思いついたアイデアはどれもこれも上司にリジェクトされる、特許で押さえられていた、法律的にアウト寄りのグレー、なんてのはありふれた話だ。会社員歴十何年の人間が、赤字部署で一度も利益を上げたことがなく嫌気が差しついには退社し増田に入り浸る、というくらいありふれた話だ。
だから、多少の通信の秘密の暴露がなんだというのでしょう。これは開き直ったギャグでもなんでもなく、真面目にそう思います。
そうでもしないと大企業に勝てないし、潰される。あらゆることは大企業が占拠している。中小ベンチャー企業にとって、それをかいくぐったビジネスモデルは死活問題だ。たとえそれが法の穴でも……タックスヘイブンで何兆もの税金を現地に還元していない大企業の脱法行為に比べれば、可愛いものじゃないか!
私は、設立2016年、資本金1億の凡百弱小スタートアップ企業である貴社を応援したくなった。
ふてぶてしくサービスを続けてほしかった。私は クソ野郎なので、そのときはもちろん 貴社 を批判をしているだろうが、SmoozはかつてのLINEのように批判されながら成長する余地があったのではないか、という気がしました。
貴社のような弱小凡百無名スタートアップ企業がセキュリティ人材を雇うのは難しいでしょう。優秀なセキュリティ人材も、 貴社を目にも止めなかったでしょう。もしかしたら、国内ブラウザの開発という、一種のエンジニアの憧れを源泉にビジネスをスタートアップにした時点で、そのフロントエンドの複雑広大なドメイン知識をキャッチアップしきれるはずもなく、セキュリティを二の次にするスタートアップ企業である貴社は必敗が約束されていた……と考えるほど、私は人の夢を悲観的に捉えてたくないのですが、やはり生き残るには、批判を跳ね返す強靭なメンタルが必要なのでしょう。たとえ瑕疵が貴社にあったとしても。 "面の皮を厚く"せねば生き残れないなら。
それとも貴社は、本当は邪悪な情報売買事業者で、さっさとトンズラこいたのか?
「さっさとトンズラ」なんて簡単に言ってくれる。そうですよね?
どっかの誰かに「漫然とインターネットをしている」とキレられたお前らへ。
はてブに聡慧たるコメントを残している皆様におかれましては、Smoozとかいう弱小ブラウザが、他ブラウザであるSafari、Chrome、諸Microsoft製品、その他製品諸々と比較していかにevilであるかをご存知でしょう。
どんなページを見ているかがアスツール社に筒抜けであるのは嫌ですが、どんなページどころか年齢、性別、検索履歴、趣味嗜好、各サービスのアカウントとパスワードは大企業たるGAFAM様には筒抜けでも一向に構わない、という理由付けがあなたの中にあるということです。アスツール批判していてLINEやってる人はいないですよね?それとも最近のLINEはクリーンなイメージだからもう大丈夫、と自分を納得させましたか?
ところでChromeのパスワード管理機能はすごくて、どの端末で開いても、Chromeに自身のアカウントでログインすればその機能が使える。つまりパスワードはサーバで管理されているというわけです。たとえ同期パスフレーズがデフォルトで有効ではなくても、Googleはグローバルビッグカンパニーでnot evilなので、情報を売るなんてセコい商売をするわけがないとハナから信頼されているからこそ許される行為なのです。
「Googleは閲覧履歴を少しずつわからないように販売している 」という発想に私たちがならないのは、Googleはそんなことしなくても事業で成功しているからなのですが、「実はその心理的死角をついて」「裏をかいて」という発想すらもならないのは、やはり単純にGoogleがビッグすぎるからでしょう。一方、弱小貧弱キングボンビーである中小零細企業は、少しでも怪しい所があれば、単純な知識・技術不足 というよりも (弱小企業ゆえにこっちのほうがありえそうな話だとしても)、「あたりまえのように」悪意を疑われてしまいます。
結局、Googleは邪悪な情報売買事業者ではなく、アスツール社は邪悪な情報売買事業者で"ありうる"、という判断があなたの脳内で線引きされるのは、単にアスツール社が弱小凡百零細の聞いたこと無い企業であり信頼が足りない、ということ以外に理由はなく、Googleがやっている「検索履歴やキーワードから適切な広告を表示している」というのが想像以上にドラスティックで大規模にもかかわらずグローバルスタンダードになっているので、それに比較して アスツール社が「本文をぶっこぬいて送信しているから怪しい」というのは、「やり方がせこくて本流ではなく、マナーがなっていない」程度のものでしかないわけです。つまり私はマナー講師が嫌いなので、マナー講師たるお前らに腹が立っているわけです。
四者四様、いや自分を含めたら五者五様に怒りが沸いてくる。これは理不尽な、行き場のない怒りだ。大企業の不祥事は書類送検だが弱小企業の社長は懲役刑になるような理不尽さを見たときの怒り、自身の棚上げ癖と、過去の爆弾を思い出したこと、それを指摘されたように感じた羞恥に似た怒り。界隈のキャリアアップの方法が、受け入れがたいにも関わらず常識になっていることへの怒り、自己矛盾、考えがまとまらない怒り……私には世界がわからない。ビジネスに成功したためしがない。セキュリティもわからないし、なんなら上手な人間関係もわからない。アスツール社が邪悪かどうかの真実もわからない。ただ開発者の気持ちはわかる。あの頃、やばいね、ああやばいねと隣の同僚と話していた頃を思い出す。今、Smoozの開発者の席に、私がいるような気がして、それを考えると、全ての善悪を超えて、みんな許してやってくれんかね、と思うけれど、そういうわけにはいかないだろ、とイライラが一向に収まらないんだ。
あれを一番簡単に実現するのはソース送信だけどそれは無しとして他の方法を模索してみる。ちなみに解は出てない。
※想定問答 Q「サーバサイドでやれ」 A「石油王連れてきて」
レコメンド対象にしたいキーワード辞書をアプリに同梱してマッチした単語だけ送る。
本文丸ごとでは無いんで多少は忌避感下がるけど、いつ・誰が・どのURLでそのキーワードをブラウザで見たかは伝わっちゃう。
パーソナライズ不要なら「誰が」も落とせるけどそれだと精度出なかったからあの仕組みにしたんだろうしねぇ…
あと本当に本文だけ使ったレコメンド目的ならURLも不要だけどwww.muji.com→オサレみたいな特徴を加えたかったのかな。
--
最近はiOS(CoreML)にもAndroid(NNAPI)にも機械学習機能あるようで、
ネイティブアプリなんだからその辺触れるんだしクライアント側で完結しちゃえば?という発想。
レコメンド先のコンテンツ丸ごとスマホに持つわけにはいかんから、
コンテンツID?カテゴリ?的なものを出すとこまでやって中身はサーバに取りに行くんで本当にクライアントだけで閉じるわけじゃ無い。
パーソナライズ観点で一人一人特注のモデル作って配るとかはしんどそうだけど、
ある程度セグメント切った層ごとに事前にモデル作るぐらいなら何とかなるんでは。
ああでもレコメンド対象が日々増えるWeb記事だとモデル頻繁に更新するからデプロイが辛いか。
スペックもりもりのサーバでやる推薦が現代のスマホでそもそも代替出来るのかはわからん。
エッジAIなる名目で各社頑張ってて目的の一つはセキュリティだから、今は無理でも将来に期待?
--
分類にしろ推薦にしろ元データそのものをダイレクトに結果に変換するんじゃ無くて一度単なる数値の配列(特徴ベクトル)に変換して、
そのあとモデルに突っ込んだら中でこねこねヘイお待ち!と出てくるんだよね?
その特徴ベクトルに変換のとこだけクライアントでやってそれ送れば?という発想。
スペック問題はあるけどレコメンド全部やるよりはマシだよねと淡い期待を抱いている。
特徴ベクトルから元のデータに戻せるとアウトだけど可能なのかね。
文字列を数値にしててかつ情報量が落ちて結果が1対1にならないから、完全な復元は無理だと思うけどどうだろう。
ありとあらゆるキーワードを事前に変換しといて結果から逆引きすれば変換元候補を出すくらいはできるんかな。
--
いろいろ考えたけどソースそのものじゃ無くてもそれに近い情報はどうやっても送るんだから、
コールセンターに電話すると自動音声で「サービス品質向上のために通話を録音します」的なアナウンス流れたりするのと同じで、
おすすめ機能ってこういう情報送ります的な説明をアプリ内ですべきでそれ無しにやっちゃダメだったんでしょう。
アプリの実物触る前に終わったので実際には説明してたんならごめんなさい。
--
https://toolbar.rakuten.co.jp/mobile/rule.html
利用者が本アプリを利用した場合、利用者は、第6項の定めに従い、これを停止しない限り、本アプリがデバイスにインストールされているブラウザの全てのウェブ閲覧履歴(http(https含む。以下本条において同じ。)で始まる閲覧ページURL、アクセス日時(分秒)、表示されたウェブページのHTMLソース、クッキー情報(Cookie), ウェブサイトの閲覧履歴、リファラ, ユーザーが使用しているOSやアプリのバージョン、位置情報をいい、以下「ウェブ閲覧履歴取得情報取得情報」といいます。)が当社によって取得されることに同意するものとします。
当社が取得するウェブ閲覧履歴取得情報には、ウェブページのURLを含み、当該ウェブページのセキュリティ環境によってはURLにIDやパスワード等の非公開、又は機密性の高い情報が含まれることがあります。よって、機密性が高い情報、または機密性が高い可能性のある情報を閲覧する環境において本アプリを利用される場合には十分にご留意ください。
ソースどころか脆弱性無い限り聖域のクッキーまで取る豪快さを見習おう。
--
ちなみにフェアじゃないので一応書いておくと「楽天ウェブ検索 規約」でググると出てくるこっちのブラウザ拡張機能版は微妙に内容が違ってクッキーは入ってない。
上のアプリ版はアプリストアの説明にURLが書いてある。なんでアプリとブラウザ拡張機能で2種類あるのかは分からん。
拡張機能じゃ取れないから? でもサイトごとのクッキー編集する拡張とかあったような・・・
https://toolbar.rakuten.co.jp/intro/rule/
2. 利用者が本機能を利用した場合、利用者は、第6項の定めに従い、これを停止しない限り、本機能がインストールされたブラウザの全てのウェブ閲覧履歴(http(https含む。以下本条において同じ。)で始まる閲覧ページURL、アクセス日時(分秒)、表示されたウェブページのHTMLソースをいい、以下「ウェブ閲覧履歴」といいます。)が当社によって取得されることに同意するものとします。
3. 当社が取得するウェブ閲覧履歴には、ウェブページのURLを含み、当該ウェブページのセキュリティ環境によってはURLにIDやパスワード等の非公開、又は機密性の高い情報が含まれることがあります。よって、機密性が高い情報、または機密性が高い可能性のある情報を閲覧する環境において本機能を利用される場合には十分にご留意ください。
あとこの規約についても先日malaさんが突っ込んでいるので第一発見者ではないです。
https://twitter.com/bulkneets/status/1339435587015639041
--
ソースどころかクッキーまで取ってますと堂々と書いてるほうが燃えずに、
はっきりとは書かずに取ってたほうが燃えてるの、
やらないと思ってたやつがやる・やると思ってたやつがやる、どっちもやってるけど燃えるの大抵前の方なの、
文面は下記の通り
貴方のアカウントに最近メールをお送りしましたが、お気づきになられたでしょうか?
どうすればそんなことが可能なのか疑問に思っておられますか?それは、訪問されたアダルトサイトに付いていたマルウェアに感染されていらっしゃるからです。あまりご存知ないかもしれないので、ご説明いたします。
トロイの木馬ウイルスにより、私は貴方のパソコンや他のデバイスに完全にアクセスが可能です。
これは、貴方のスクリーンに搭載されたカメラやマイクをオンにするだけで、貴方が気づくことなく、私が好きな時に貴方を見ることが可能となることを意味します。その上、貴方の連絡先や全ての会話へのアクセスも行なっておりました。
「自分のパソコンにはウイルス対策ソフトを入れているのに、なぜそれが可能なのか?なぜ何の通知も今まで受信しなかったのか?」とお考えかもしれませんね。その答えは単純です。
私のマルウェアはドライバーを使用し4時間毎に署名を更新するため、ウイルス対策ソフトでは検出不可能なので通知が送られないのです。
左側のスクリーンで貴方がマスタベーションを行い、右側のスクリーンでは貴方が自分を弄っている間に閲覧していた動画が再生されるビデオを私は所有しています。
これからどんな悪いことが起きるのか心配ですか?私がマウスを1度クリックするだけで、この動画は貴方のソーシャルネットワークやメールの連絡先全てへと送信されます。
また、ご利用のメールの返信やメッセンジャーにもアクセスして動画を共有することだって可能です。
この状況を回避するために出来ることは 、$1000相当のBitcoinを私のBitcoinアドレスへと送金するだけです(方法が不明な場合は、ブラウザを開け「Bitcoinを購入」と検索するだけで分かります)。
聞いた限りだとあれって個人情報売る代わりにポイントを貰えるブラウザなんでしょ?
それならリクエストの情報すべてサーバに送っていても特に問題ないと思うけど何が問題なの?
利用規約読んでなくて怒ってるってこと?
GETリクエストすべて送信はまずい なんてこといってるブクマカがいたけど、よくあるやつじゃんとしか
はてぶの拡張機能だって見たページのブクマ数を表示するために開いたページのURLは全部はてなに送ってるわけじゃん
それで何か問題あるの?
そもそものエレクトロンのコンセプトが「キーボードでABCと押されたらJavaScriptでブラウザ上にABCと表示すればいいのでは??すげえこれエディタじゃん!!」なので
snoozというブラウザがぶっこ抜いていた件
社長の目つきみれば、
ああいうノペーッ っとしたニヤーッとした目つきになるのだと確認できるよな
まあ在日だろうな100%
個人情報をポイントに変えるポイ活するためのアプリってちっともスマートではないな
国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
・デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている
・検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている
・検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている
・サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている