  |
はてなキーワード: 全一とは
自分はとあるゲームで全一レベルの腕前があったと自負しているのだが、再就職をきっかけにぱったりと界隈から去ってしまった。
何故去ったのかというと、まともにプレイする時間が取れなければ時間をかけられるプレイヤー・センスのある後続プレイヤーにいずれは追い越され自分の敗北を見せつけられる、のが耐えられないという後ろ向きな思考からだ。
つまり自分は負けず嫌いであり、負けを認めたくないがために界隈からの一切の情報を断ったのだ。
しかし、気まぐれにも最近またそのゲームをインストールし直しプレイを再開してしまった、土日に15時間程プレイするほど楽しかった。
そうなると最新のアップデート情報や記録などが気になってしまうのは仕方のないことだと思う。
やはり自分の記録やスコアは抜かされていた、アップデートの詳細な内容や仕様変更は完全に理解しているわけではないが、当時の自分の足跡がゴミのように蹂躙されている有様だった。
もはや何がどう強化され、どう効率化がなされたのかわからずおれは完全に途方にくれてしまった。
おそらく彼らは俺が去った2年間の間も毎日とは言わずともプレイし続けた人間達だ、ひとつひとつの動きだって俺とはもう天と地の差があるに違いない。
おれがサボった2年間で果てしない差が生まれてしまった、負けず嫌いな俺はもう勝てないだろうと思っている。
そもそもおれはセンスはそこそこあったにしても、早期開拓者としての小技発見は今までの経験有りきで、特別デバックプロという程ではない。
さらにおれは努力ができない、努力をしようとしない怠惰な人間だから、データとして最高効率を求めてもそこから発展系を作り上げる事ができない。
現状に甘んじるために、頂点だと思い上がるために、自分より上がいたとしても過小評価し、現実を知ったら逃げるために、一皮向ける事は一生できない人間だ。
もう俺も働き出して日常生活はそこそこであるが、これから界隈に参入して毎日寝る間を惜しんで努力なんてできないと思う。
だからおれは一生勝ち上がることはできないに違いない、本当に悔しい、本当に悔しいのにおれは勝つために努力できない、気が狂いそうだ。
おれは未だ人生の目的がわからないのもある、だからゲームに無駄な、本当に勝てるのかどうか不明確な時間をかけられない。
ほんとうは勝ちたいんだけどなあ、無理だろうなあ
もっとゆっくり遊びたかったけど、ネタバレが怖くておちおち増田も読めなかったからね。
全体的には大満足。
途中までは完全一本道シナリオや、一部オーブの雑な入手、船で上陸できる場所が限られてる等で「やっぱDQ3は越えられないか」という感じだったが、ベロニカがああなって全て吹っ飛んだ。
ドラクエでここまでショックを受けたのは初めてだよ…。
でも話としては筋が通ってるし、エアリスみたいに何のために死んだのかよく分からないのよりはずっと良い。
そしてエンディング後のおまけでベロニカ復活かと思いきや、おまけってレベルじゃないボリュームの冒険が待っていた。
遡行後は各町のイベントが攻略順自由で、一本道感がなくなったのも高評価。
パラレルワールドとしたら残された人たちが可哀想、パラレルじゃないなら崩壊後の感動展開が全部なかったことになる、と。
プレイ中は「うるせーそんな事よりベロニカだ!」という感じだったけど、改めて考えてもやっぱりベロニカ優先だな!
マルティナは「残されるイシの村は私たちに任せて」とか言うしね。あっちの世界はパラレルとして続く前提でしょ。
そして上のセリフ通り、仲間たちは主人公の選択を受け入れてる。
セーニャは姉も主人公も失ったって言われてるけど、あの世界ではどうあってもベロニカは生き返らないんだし、たとえ別世界でも姉(と別世界の自分)が主人公と元気に暮らしてるならセーニャ的には救いじゃねーの?
エマと母ちゃんは…描写はないけどたぶん挨拶くらいしたよ! 別に急いで過去に行かなきゃいけない状況でもないし。
世界を見捨てた? 一応魔王は倒したんだから、いつまでも勇者に頼るなよ。
てかダイの大冒険じゃないけど、平和になった世界に勇者は不要なんじゃないかとも思う。
お前を倒してこの時間軸を去る…!
ダイと違って王族だから迫害こそされないだろうが、あの強大な力は良かれ悪しかれ注目を集めるじゃん。
結果的に世界崩壊のきっかけを作ったのも事実なので、遺族の中には恨んでる人もいるかもしれない。
その点、遡行世界の住民は魔王も邪神も知らず、最近魔物が強くなったな程度の認識で終わったから、主人公も村で平和に暮らせるんじゃなかろうか。
聖竜からまた戦えって言われた?
あれはメタ的にDL版DQ1とか次回作とかをやってねって意味だよ!
基本的にドラクエの主人公は目的を達成すれば、その後戦いに駆り出されることはないよね。
オンゲとしてサービス続ける上で仕方ないけど、次から次へと世界の危機が襲ってくるもんな。
話を戻して、ベロニカの死による感動と、ベロニカと一緒に旅ができる喜び、両方のいいとこ取りができたので俺は全く不満はない。
本気でかっこいいとおもってやりました。実在の人物や作品に関係はありません。
・死屍の綾なす四ツ辻の、獅子も恐れる行く人の、知らぬは読者ばかりなり、綾辻行人ッ!
[中範囲に防御無視のダメージ(ダメージ量は詠唱者のHP残量に反比例)+範囲内の味方のDEFアップ]
・我が産みし死靈は天上天下に及ぶものなし! 開け、聞け、探偵三道宝階ッ! 麻耶雄嵩ッ!
[フィールドの天候がランダムに変化+各敵キャラの装備をランダムでひとつ破壊(防具や魔法による回避不可)]
・私の城は美しいお城、私の頭文字は完全なる円にして王の証ッ、死ぬまで踊れっ、舞城王太郎ッ!
・実るほど頭を垂れる稲穂かな。不燃にして不稔に非ず、エリシャの奇跡の裔と知れッ! 米澤穂信ッ!
・円心に居して惑うことなし、今宵ささめくあなたの挽歌、参ります、円居挽ッ!
・連なる城は堅固にして絢爛、三度否まず三界を紀(おさ)むッ! 連城三紀彦ッ!
・その桜の木は一本でした。桜の木は満開でした。咲いて撃ち抜けッ! 桜庭一樹ッ!
[敵全体にチキン]
・清涼のうちに流水は苔むさず、命育みメフィストフェレスの女媧とならん! 清涼 in 流水ッ!
・月光の遊戯、双頭の悪魔。国名を端から君に聞かせよう…… 英明なる都は祝福に満ちている。今出(いまいず)る川より通るがいい――アリスト(高貴なる)アリス、有栖川有栖!
[敵全体にストップ]
・朝明に白む山よッ! 一なる愛を識る永遠よッ! 枕木に憂う士(さむらい)よッ! 三位を全一なる二文字に集えッ! 乙一ッ!
・投之於冰上
鳥何燠之
何馮弓挾矢
殊能将之ッ!
・楽園の死神、その胸中に二心あり。右はくろがね、左はからかね。楽園の死神、その掌中に二刀あり。左は剔(そ)るもの、右は樵(こ)るもの。いのち捧げよッ! 汀こるものッ!
[敵全体にレベル3デス]
・占うッ、亜細亜の星を――島々の星は荘と出たッ! 島田荘司ッ!
・いちかはじめか、はじめかいちか。どんととびでて折るか祈るか、心は螺旋、折原一ッ!
[敵味方全体のうちランダムで一人にデス+ランダムで一人にレイズ(気絶キャラが存在する場合のみ)]
[敵全体に特攻大ダメージ。詠唱者は戦闘から除外(死亡ではない)]
・その本は本にして本に非ず、立体にして三次元に非ず、凶器にして狂気に非ず、どすこいどすこい京極夏彦ッ!
[中範囲の敵に大ダメージ+確率でスタン+三マス後方へノック]
・黄昏に発つミネルヴァの梟は最強にてよしとする。駆けぬけろッ、笠井潔ッ!
https://anond.hatelabo.jp/20170615003042
がいがぁかうんたぁ読んで、幼女になんて酷いことをするんだと当然思うし、自分の中にもある倫理に照らして、こんなこと許されないと当然のように思うよそりゃ。
なぜそうなるか、普段の嫁さんとのセックスなども思い出しながら、冷静に考えみた。
結論としては、男性が持ってる性欲と、女性を支配したいという欲求は、ぴったり完全一致じゃないにしても、だいたいざっくり同じ領域の事なんじゃないかなあと思うわけです。
なんで女性を性的に支配したら性欲求が満たされるのかよく考えてみたんだけど、とくに論理的根拠が存在しなかった。とにかく、女性の性を自分の圧倒的支配下に置くことに、強く興奮を覚えるんだ。なんかそういう風に体ができてるので、自分でもどうしようもないわ。俺の性欲、全然倫理的じゃないよな。本当にごめんなさい。俺の性欲は完全に倫理に反しているし、ポリティカリーコレクトネスに反してるんだわ。
かと言ってそれすなわち、ガイガーで自宅侵入!みたいなことをやろうとは1mmも思わないんだけどさ。
じゃあどんな感じかというと、嫁さんが嫌がるのに、いやらしい下着とかえっちなコスチュームを、頼み込んだり褒めそやしたり、まああの手この手でお願いして、なんとか着せて、そんなコスプレをすごい嫌がってるのに、着せたままエッチすることで消極的支配を完成させて興奮したりする小規模なマチズモフレンズなんだね俺。
そんな小規模な俺にとって、クジラックス先生のエロ漫画はかなり刺激が強いよ。よくこんな、支配欲を刺激する構造のおはなしを描けるなと舌を巻いて勃起してしまう。
でさ、女の人の側も、どうやら男どもは女を精神的だか肉体的だか社会的だかに支配して屈服させることに興奮してんなって気付いてるでしょ。てか口には出さないけど常識レベル的に理解してるでしょ。
でさ、俺の嫁さんには申し訳ないことをしてると思いつつ、嫁さんの方もコスプレくらいで支配欲が満足するならそこらへんが落としどころかな?とか思ってると思うのよ。まあ健全な攻防だよ。
そこにきてがいがぁかうんたぁはやばい。健全な攻防なんかすっ飛ばして、圧倒的弱者である幼女をキチガイおじさんパワーで性的に支配してしまっている。
大多数の成人の男女が支配/被支配の健全な攻防ごっこしてるところに、圧倒的な暴力によるテロ行為がご提案されてしまっている。これはそりゃ女は黙ってないと思うわ。
結局さ、がいがぁかうんたぁも普通のセックスも、程度の差はあれ男性の支配欲に駆動されたどうしようもなく野蛮な行為なんだよ。あの漫画はその事実を突きつけてくるから、我慢ならない人はほんとうに我慢ならないと思う。
↑証拠がないという意味であって、高卒というレッテルが間違っているとは言っていない。だから「俺は大学出ているぞ」とは絶対に言わない
↑一言一句完全一致する発言はしていないという意味であって、ほぼ同じ意味の発言をしたことがないとは言っていない。だから「俺の意見は正しくはこうだ」とは絶対に言わない
↑反原発グループに属している自覚はないという意味であって、反原発の主張に全面的賛成していないとは言っていない。だから反原発に否定的なことは絶対に言わないし、うっかり「反原発は責められるいわれのあることを全くしていないぞ」とか漏らしちゃうこともある
つまり、99%正しいけどまだわずかに否定できる余地があるような場面で繰り出す技が「デマ」のようだ
それでも「レトリックでごまかすのはセーフだが、はっきり事実と反対の嘘を言うのはアウト」というマイルールを持ってるあたりかわいい
私のいる会社は、営業が皆一人につき一人くらい、「常人の10倍くらい人を消耗させるおじさん」を客として抱えている。
おじさんたちの共通項として
●団塊世代
●異常にものわかりが悪い。幼児に噛み含めるようになんどもなんども説明してあげないと理解しない。やっと理解しても数日後には忘れている。
●他人の時間を奪うことになんの罪悪感も感じていない。どうでもいいことでいちいち電話してきて長々と話す。打ち合わせて取り決めた事項をガンガン蒸し返して覆す。
●それなりに高い地位におり(いた)、経済的に不自由もない。大学教授、大企業役職者orOB、中小企業経営者.etc
●消耗させてくるが悪気がない。無邪気で性格的には悪人ではない。
上記、うちの営業の人たちと話すと、皆が皆本当に完全一致していて興味深い。また、50代以下でこういう人は見たことも聞いたこともない。
団塊以上の一部の人間の特性なのである。何か思考回路が今の人間と違って、日本のかつての一時期、こういうおじさんが最も活躍できたような時代があったんだろうな、と思う。
でも今この人たちが若い世代を異常に消耗させていることを考えると、あと20年くらいたってこの世代があらかた消えてくれれば、割と社会はラクになるんじゃないかなあ。
はてな側では書き込み内容での規制はかけない方針なのかなと思ったのよ
英字だけのレスもありうる
同じ内容を短時間に大量に書き込んでいたらスパマーとして除外する、というのはどうだろう
いや、書き込み内容を前後で比較する仕組みってたぶんけっこうな負荷だよな
数パターンも用意しなくても定形+適当な文字で完全一致ではなくなる
スパマーなんて新規アカウントだろうから、新規アカウントのうちは書き込み数制限入れるとか?
いや、大量にアカ作成すれば済んでしまう、なんの解決にもならない
…
とかあれこれ考えてた
ただそうすると荒らしの最中は空ページが続くような状況で見づらい
○調子
滅茶苦茶腹が立って仕方ないので、帰り道のパン屋でパンをドカ買いして、バクバク食べた。
あー、未だにイライラする。
ただ、冷静に考えると僕も、もう少しやりようがあったのかなあ、とも思う。
いやまあ、完全一方的に100:0であちらが悪いことなんてまずないんだから、当たり前なんだけど。
あーーーーーーーー、それにしても、ムカつく。
あまりにもムカつくし、明日この話をもう一回しないといけないのが、本当に嫌だ。
明日休んだろうかな。
こういうときは、しょうもないことにお金をつかって「あーあ、何やってんだか」ってなるのが良いんですよね。
紙の本は実家だし、三巻ぐらいまでしか持ってないから、Kindleでまとめて買おう、よしそうしよう。
(ゆゆ式がしょうもない漫画だって意味じゃなくてね、気負わなくていい物語を読もうって意味です)
付き合ってたのは結構前だったんだけどね
夜な夜な検索しまくって結局なくて普通のAVで抜いたりすることになるんだけど
ただ昨日はちょっと違うくて
あれの日本版というか
顔認証でAVパケを検索して似ているのを上げるってサイトがあったんだ
自分で探すことはしなかったのね
そしたら全然似てない女優が似てる確率70%とかで上がってきて
精度悪いなー、こんなもんかとか思ってた
何枚かあげてたら、その中でかなり似てるんじゃないかってパケ写があって
それは似てる確率20%とかなんだけど、記憶の中の彼女っぽかったんだ
でとりあえずそのAV女優で抜くかってなった
あれ?これ本人じゃないか?って思い始めて
速攻で購入して見たら
なんていうか本人なのよ
思い込んでるだけだろって考えて
よく言われる頭、デコ、耳、クビあたりに注目したんだ
目はやっぱりなんか違うのな
俺と付き合ってるときと、付き合う前のAVとはメイクの仕方が違うからだと思う
だけどずっと見てると、骨格とかもむしろ似てないのを探すところが難しくなってきた
なにより喘ぎ声が完全一致してる
あと野外プレーがちょっとあったんだけど
今度確認しに行こうと思ってる
AV女優としては泡沫もいいところで
それ以降は一切出てないみたいだ
なんかすごい物悲しくなった
結婚するかもって俺は乗り気だったのに
結局別れた(ふられた)のは相手に後ろめたい事があって
もし結婚しててその後この事を知ったとしても
問題はなかったと思うし
俺は墓場まで黙ってたと思う
メンヘラって感じじゃなかったし
以前から派手目な化粧でキャバクラで働いたことあるとか言ってたから
俺も風俗とかでは働いてないのかよ~的なことは聞いてたのよ
ないっていってたけど
だからもし結婚しなかったのがAV出演の後ろめたさからだったら
昨日朝6時までオナった結果
プレビューまでは全文見えるんだけどな。すまんやで。しかもまだ続く anond:20160426150324
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
前掲のセキュリティ文書は、アプリの認証情報 (client_id と client_secret) を盗んだ人ができる悪行にいくつか言及しています。以下に、この攻撃と組み合わせることで (これまで筆者の知る限り公表されていない) 危険行為を実行可能にする問題をいくつか取り上げます。さらに皆様の独創性にかかれば、「秘密」のはずのものを盗んだ人が悪用できる方法は他にも発見できるはずです。
トークンベースの認証は多くの開発者にとって新しい概念です。そのため誤解も多く、EVS のようなものを設計する開発者の中にも、ただ何かの設計ガイドライン (たとえば OAuth) に従って API の動作を決めれば、あるいは他のプラットフォームのしていることをコピーすれば、自分のプラットフォームも自動的にセキュアになるはずだと考える人が少なくありません。しかし何かをセキュアにするには、その要素ひとつひとつを余さずセキュアにする必要があり、それらの組み合わせすべてをセキュアにする必要があり、全体の枠組みもセキュアにする必要があります。思い出してください、全体のセキュリティ強度はその弱点の強度に等しいのですから、何らかの大まかなフレームワークを固守することだけに頼りきって、その通りに使う限り何をやってもセキュアだ、などと安心するわけにはいきません。OAuth ベースのフレームワークそれ自体は、その内部要素のセキュリティを確保することに関しては殆ど何もしてくれません (ある種の要素で、あからさまにセキュリティを害するものだけは別)。
トークンベースのシステムで少しでもセキュリティらしさを出すには、最低でもトークン生成に暗号学的にセキュアな擬似乱数生成器 (CSPRNG) を使う必要がありますが、この話題はあまりよく理解されていません。さらに悪いことに、一般的なスクリプト言語の適切な CSPRNG 用 API は非常に少なく、しかしそうしたスクリプト言語が、人気ある最新サービスの多くを設計する際の基礎となっていることが多いのです。
もし生成されるトークンが予測可能であれば、攻撃者はトークンを推測するだけで別のユーザになりきって悪意ある行為をすることができてしまいます。筆者は、fortune 500 クラスの大企業による OAuth ベースなサービスが一種の単調増加 ID (おそらくデータベースのフィールド?) をそのままトークンに使っているのを見たことがあります。他にも、生成されるトークンがすべて単調関数の出力のようなサービスもありました。よく調べてみると、それは現在時刻に基づく非常に単純なアルゴリズムでした。こうしたシステムでは、まず自分としてログインし、現在のトークン ID を見て、その後の ID を予測すれば、続く任意のユーザになりかわってトークン交換その他の操作にそれを使うことができるでしょう。他のテクニックと組み合わせれば、もっと標的を絞った攻撃も可能です。
このクラスの攻撃は前述のセキュリティ文書で「4.5.3. オンライン推測による新規トークン取得の脅威」や「4.6.3. アクセストークン推測の脅威」に分類されています。この問題には解決策があるとはいえ、現時点でこの間違いを犯しているサービスの膨大さと、この間違いの犯しやすさを考えると、任意の OAuth ベースなサービスが外部レビューでセキュリティを証明してもらえる可能性はあまり高くありません。
本欄の主眼ではありませんが、乱数に対する攻撃の中には、セキュリティを固めた CSPRNG を使っていないと OAuth ベースのサーバを完全に破壊してしまえるものもあります。こうした問題は他のシステムでも非常に困ったものではありますが、動作のすべてが乱数のやりとりの上に成り立っている普通の OAuth 実装では、より一層この問題が際立ちます。こうしたトークンは EVS のサーバ側で生成され、「普通の実装における」OAuth がよくやる使い方ではサーバの信頼性を奪い、関連するトークンすべての予測可能性を高めていきます。最新の攻撃手法を防げるセキュリティ強化 CSPRNG が用意できないのであれば、もっとハードルの低い別のプロトコルに乗り換えたほうが良いでしょう。
一方、一部の OAuth ベースの実装は乱数の必要性をクライアント側に移すような構造になっていることも注目しましょう。色んな意味で、これは問題を別の場所に移しただけではありますが、サーバ側のアタックサーフィスを減らすのは事実です。これによって、少なくとも情報強者な利用者は、信頼できるサービスをセキュアに使うことが可能になります。ただし情報弱者は脆弱なまま放置ですが。今回の例に当てはめてみると、この種のセットアップでは AFCP の開発者が頑張って EVS をセキュアに使えるようにすることと、EVS 自体が陥落する危険を回避することは可能ですが、ABC や XYZ が EVS をセキュアに利用するかどうかは別問題です。
本論に入る前に指摘しておきたいのですが、CSRF 攻撃はその名前に反して、外部サイトからスタートする必要はありません。CSRF 攻撃というのは、自サイトへのリンクをユーザが貼れる、掲示板やメッセージングソフトのようなサイト自体からでもスタート可能なのです。
色々な手法で CSRF に立ち向かうべく設計された数々のテクニックやフレームワークがあります。これらのシステムの多くは、OAuth ベースのものと統合すると使いものにならなくなったり、サイトを攻撃にさらしかねない行為を促すことがあります。
CSRF を防止するひとつの仕組みとして、ブラウザから送られる referer (原文ママ) が外部サイトを指していないことを確認するというものがあります。多くの OAuth 実装はユーザを特定の外部サイトから連れてくるよう要求しますから、この防御策は執行できません。OAuth サーバがリダイレクトする膨大なサードパーティのドメイン、また関係する URL やドメインの完全なリストは明文化されていないうえに折々で変更があるため、EVS のドメインとページ全体をホワイトリストにするのは不可能です。
また、EVS の提供者が寝返って AFCP を攻撃しようとする可能性がないかどうかも検討する必要があります。OAuth の背後にある原則のひとつは OAuth ベースのサービス側が利用者を信用しないことです、しかし同時に、利用者側には CSRF 回避策を見なかったことにしてサービス側を完全に信用することを要求しています。理想の認証システムというものがあるとすれば、一方通行ではなく相互レベルの不信を確立するでしょうに。
転送元と転送先のどちらかだけの、部分的なホワイトリストというのも難しいことがあります。使っている CSRF 対策フレームワークによりますが、機能のオンオフに中間がなく、特定のページや転送元だけを無効にすることができないかもしれないので、その場合 EVS 利用者は CSRF 対策フレームワークを一切使用できなくなります。
OAuth は CSRF 攻撃を防ぐ CSRF トークンを指定するようにと、オプショナルな state パラメータを定義しています。しかしながら、OAuth ベースのサービスは一般的に state の長さや文字種を制限し、要求どおりそのままで返さないことがあるようです。そこで、おかしな互換性問題が起こるため、多くの OAuth ベースサービス利用者はリダイレクトのエンドポイントにおける CSRF 防御をすべてオフにせざるをえない状況に追いこまれています。これは「10.14. コード・インジェクションと入力バリデーション」に分類されています。state パラメータの別の懸念は、EVS 側で state にアクセスのある人はだれでも、リクエストを改竄して、それ以外はまったく有効なままのパラメータを付けて AFCP にブラウザを送り返すことができるという点です。
OAuth ベース API の利用者は、自分のアプリやサービスを登録する際にひとつか複数の URI をカッチリ決めておくよう求められるという制限も課せられています。これは redirect_uri に使えるホワイトリスト URI です。この仕組みにひそむ重大なユーザビリティ問題は後述するのでひとまず措くとして、この制限のせいで開発者は、state パラメータや他の潜在的に危険の伴うアイディアで姑息な工夫をこらし、泥沼に沈んでいくはめになっています。多くの OAuth ベースなサーバは、ホワイトリスト URI をひとつしか許可していなかったり redirect_uri との完全一致のみ有効でパラメータの追加を認めなかったりしています。このせいで開発者たちは CSRF 対策フレームワークの利用をやめたり、あらゆる危険なものを state パラメータに詰めこもうとし始めたり、浅薄なシステムを自前で作り出したりしています。その結果、redirect_uri と state の組み合わせによってはユーザを不適切なページに誘導する危険性が出てきます。これは「10.15. オープン・リダイレクト」に分類されます。
こうしたリダイレクトの問題は、パラメータをしっかり認証していないせいで、それ自体が悪用可能なのですが、これを前述の「OAuth サービスへの偽装」問題と組み合わせるとユーザに大惨事をもたらしかねません。盗んだ client_id と client_secret を使えば、悪いやつらは AFCP とまったく同じ情報で認証できるので、本物の AFCP にも見ぬけないようなリダイレクトを作ることができます。また、悪意あるユーザも、本来自分の持っていない AFCP 内の権限を取得するような state パラメータの利用方法や改竄方法を見つけることができるかもしれません。その際には、おそらく盗んだ認証情報も使うことでしょう。概して、「普通の実装における」OAuth の低品質な設計のせいで、また特定の分野に関する教育レベルが低い外部開発者の直面する問題のせいで、OAuth ベースの利用者に対する攻撃はしばしば、本来あるべき状態よりもずっと容易になっています。
ここで読む意義のあるものとして、さらに「3.5. リダイレクト URI」「3.6. state パラメータ」「4.4.1.8. redirect-uri に対する CSRF 攻撃の脅威」があります。
セキュリティに関して言えば、「普通の実装における」OAuth の仕事ぶりはとてもひどいです。OAuth が目指していると思われるセキュリティ目標の多くは、達成されていません。さらに、OAuth ベースなサービスの中には、種々の攻撃に対して無防備でいることを利用者に公然と要求するものがあります。サービスをセキュアに使える場合も、そのことが知られているとは限らず (サービス側の、トークン生成手法といった重要なセキュリティ詳細が明文化されていないうえにクローズドソースなため)、OAuth は今なお多くの低品質なプログラミング習慣を招いています。OAuth は外部の開発者を守る点でほとんど何もしませんが、そうした開発者が使っている各種フレームワークの方はといえば、こちらも真のセキュリティを提供していなかったり、厳しい自制と注意がなければセキュアに使えなかったりする代物です。
この記事についていえば、個人的に蔓延していると思った問題の一部を取り上げたものに過ぎません。この中には、極度に低質な、一切 OAuth の規格で義務付けられていない慣習を、他所で OAuth に使っているのを見たまま開発者がコピーした結果というものもあります。
OAuth ベースのサービス開発者もその利用者側の開発者も、OAuth ベースのプラットフォームを実装したり利用したりするためには、ここでリンクした文書をすべて読んで理解する必要があります。挙げられている 50 クラスの攻撃も、各クラスの深刻度も完全に把握する必要がありますし、そのうえで「実装の仕様書やセキュリティ・ガイドラインには漏れがないとは限らない」ことにも留意すべきです。この記事は公式文書にない問題をいくつか取り上げているとはいえ、OAuth セキュリティ問題の表面をなでているに過ぎないことも覚えておくべきです。ここに混ざって、公式 OAuth 提案に加えられる変更点はどれもまったく新たなセキュリティ問題を引き起こすものですが、残念ながら変更はよくあることなのです。そこで各々が、乱数生成やセキュリティ調査技術といった OAuth 以外のセキュリティ関連分野も理解していなければ、OAuth でそれなりのレベルのセキュリティを実現することはできません。
真のセキュリティをお探しの方には、よそを探すようお勧めします。最後の章で OAuth の代わりになる選択肢をいくつか取り上げます。
(略: ふつうの実装では、サービス側がプラグを引き抜くようにして自由に利用者を出禁にできる。ビジネス的にもまずいし、悪意あるユーザが API 利用者を騙って出禁になるとアプリへの DoS になる。)
(略: サービス側からは API 利用者という大きすぎる単位でしか見えないので、たとえばビデオカメラのアプリ単位で利用帯域などを制限せざるを得ないが、そうするとそのビデオカメラは、一部ヘビーユーザのせいで他のユーザが締め出される事態になる。OAuth 以外のサービスならふつうユーザ単位。対策としてユーザに開発者アカウントを取得してもらうのも面倒すぎる。ていうか手動プロセスを挟んでたり。)
(略: ふつうの実装は SaaS モデルしか見ていないので、URI を持たない AFCP のような社内ソフトや、ビデオカメラのようなデスクトップアプリには使えない。アプリが cURL 的なもので API を叩こうとしても、JavaScript が必要だと言い張るサービスもある。グローバル企業が地域別にドメインを分けていたら URI が足りない。客ひとりひとりにサブドメインを与える製品だと URI が足りない。足りるとしても追加・更新がメタ API で簡単にできない。ひとつの URI ですべてのリクエストをこなすのはセキュリティ問題もあり、ロードバランス等の必要性も出るし、社内ソフトやデスクトップアプリに余計なウェブサイトへの依存性を加えることになる。httpサーバをlocalhostで立てるとかアホか。)
(略: トークンが定期的に期限切れになるので可用性が下がる。たとえばビデオカメラから複数の動画をアップロードしている途中で切れたらムキーってなる。再認証して途中からできるのもそれはそれで CSRF の温床。AFCP のような場合は期限切れがあってはならないので、パスワード等を預かる認
こじらせ女子が炎上中というツイートを見かけ、なんのこっちゃと検索してみたところ、下記のまとめにたどり着いた。
うーん、正直ね。事の発端となった「飛田新地に行きました!」からの「清潔だと思ってました><」→「調査ですよ^^」の流れはさほど気になりませんでした。
もちろんそれでひどくプライドを傷つけられた人もいて、怒っている人もいる。だけどそれはそれで、別にいいんじゃないかなぁと思ったんです。自分はね。
だけどそこから先がまずい。やはり炎上させる人というのは、本質的なところがずれているのだなぁと深く頷いてしまうほどに酷かった。
まず、怒っている人の意見を要約。
「性風俗に興味本位で飛び込み、面白おかしく語って、実際に働いている人の尊厳も踏みにじり語られた側のことは何も考えていない。」
「『アングラな世界を覗き見た!スクープ!』って銘打っておいて『まぁ自分はあくまで調査しただけで汚れてませんけどね^^』ってふざけんな。」
ってなところですかね。「おいおいちげーだろ文盲か」って思った人、いたらごめんなさい。(あらかじめ謝りリスクを軽減するスタンス)
それにしても、これらはまっとうな怒りだ。少なくとも自分にはそう思える。そして、それに対する北条氏の反論がこちら。
「気分害されたようで、申し訳ありません。切実さをもってホステスをやった私と、飛田の女の子は本質的に同じだと思っています。」
「私にはミソジニーがあり、それが性の商品化への関心に繋がっています。が、調査という言葉は人を傷つけてしまうのですね。」
はぁ?????????????(太字にしてフォントサイズも大きくしたい)
違うくね???????????誰も「調査」という言葉に傷ついたりしてないよね??????????????????
>飛田の話に「清潔だと思ってたのに」というリプが来たことに対し、「飛田=不潔」という侮蔑的考えを否定せず「調査ですよー」と返した意図を教えてください。
>ご気分害されたようで、申し訳ありません。切実さをもってホステスをやった私と、飛田の女の子は本質的に同じだと思っています。
という返事ができるのだ。
「本質的に同じだと思っています」だぁ?「不潔」という侮辱的な考えを持たれている飛田の女の子に「いや^^自分は清潔だし^^あくまで調査だし^^」と答えた人間がなんでそういうことが言えるのか。どういう神経してんだ。
別にさー、「ああいった不潔なところでしか働けないなんてカワイソー」でも「自分にはあーゆーことできないわーwww」でも、それが自分の意見だというのであれば(賛否はあれど)いいと思う。それが自分の発言だというのであれば。
でも、根底でそういうこと思っていて、それをうかがい知れる受け答えをしておきながら「自分は彼女たちと本質的に同じ存在だ」あまつさえ「ミソジニーがあり」と来た。
それはちょっと卑怯なんじゃないですかね。自分ばかりいいところに立たせておいて、体を張った感出そうとしてるだけだよね。
その後に続く「こじらせ女子」のワードをめぐるあれこれを読んでもね、全部無責任なんですよ、この人。
「私が弱かったから」
「(こじらせ女子という単語を使ったのは)大人の事情なんです......すみません(´;ω;`) 私としては、こじらせ女子という言葉は使いたくありませんでした。」
「誤解されてる」
「本当に嫌われてしまったようで悲しく、ふがいない」
「敬意を払って使っているつもりなのに、伝わらない。」
「物書きとして失格だと感じています。」
「違うの~~誤解なの~~私のせいじゃないの~~~嫌われて悲しい~~~私のことわかってくれない~~~ふえぇん><><」
雨宮さんの、非常に理路整然とされた言葉を受けて、なんでこんな感情レベルの(それも小学生かという稚拙な)反応になるのか。
そしてそこから衝撃の展開を迎える。
「死んでお詫びしようとおもいましたか死ねませんでしたすみません」
ファーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
おいおいおいおいうそだろうそだろライター?!これでライターなんですか?!文章を書いて!!お金をもらう人が!!!そりゃねえだろ!!!!!!!!!!!!!!!
これを書いたのが三十歳こじらせ女子?嘘でしょ、こんなの中二病真っ只中のメンヘラ十代の言うことと完全一致じゃん。
仮にもそんな信条を掲げてライターやってる人間が、場を和ませる冗談でも逃げの一手だとしても「死んでお詫びしようとおもいましたか死ねませんでしたすみません」って。
ちょっと最低にもほどがあるんじゃないでしょうかね。どうなのそれ。ひょっとしてギャグなの?
お金をもらって書く文章と、Twitterで垂れ流す文章は違うって、そんなことは当たり前だけどさぁ。そういうことすらスポーンと抜け落ちる強烈かつ卑劣な発言じゃないですか。
ちょっと女子~~~~~~~~~自分の発言に責任を持ちなよ~~~~~~~~~~~その逃げが許されるの中学生までだから~~~~~~~~~~~~。
あーあー、もうこの人が今後書く文章、なんの魅力も力も持てないんじゃないですかね。わからないけどね。
自分は「リスクとか^^^^^あっ、そういうのいいんで^^^^^^」という人種なのであいまいに書き捨てますね!匿名だし!!
死んで詫びちゃうか~~~そっか~~~「リスクを取ってペンを取ります(キリッ」てしておいていざつっこまれたらそれか~~~
その程度の
(太字にしたい)
は~がっかりだわ。いっそ噛みつくなり総スルーするなり自分を擁護する人間にすり寄るなりすりゃ炎上を見守る側としては面白いのに。それすら興ざめさせるこの最低な逃げ方。
しかしこれで北条氏は「こじらせ女子」改め「かまってちゃんメンヘラバカ女」の烙印押されちゃって、今後の仕事とか大丈夫なんでしょうか。ちょっぴり心配。
いざとなったらマジで飛田新地で働いてくれば、もっと臨場感たっぷりに魅力的な話が書けるかもね。がんばれ❤がんばれ❤
PS.個人的に「北条氏が美人だから嫉妬してる(キリッ」は相当笑えました。北条氏はぜひそういった取り巻きによちよちぎゅっぎゅされて慰められて生きていくと快適だと思いますよ^^
以上。
