  |
はてなキーワード: stateとは
dystopia | Definition of dystopia in English by Oxford Dictionaries
An imagined place or state in which everything is unpleasant or bad, typically a totalitarian or environmentally degraded one.
The opposite of utopia
あらゆることにおいて不快であったり悪い状態の想像上の場所または国家、典型的には全体主義的または劣化した環境。
ユートピアの反対。
An imagined place or state in which everything is unpleasant or bad, typically a totalitarian or environmentally degraded one.
The opposite of utopia
すべてが不快で悪い、典型的には全体主義的または環境的に劣化した想像上の場所または状態。
ユートピアの反対
「一見理想的」とは書いてませんし、「環境的に劣化」といういことは社会が崩壊しているというのもディストピアの意味に当てはまりますね。
このへんの話。
http://www3.nhk.or.jp/news/html/20170907/k10011129891000.html
http://d.hatena.ne.jp/gryphon/20170908/p2
事情に詳しくない人からすると「なんでそんなにカタルーニャは熱くなってるの?」って感じだろうと思うので、簡単に解説したあとで補足説明をつけます。
背景を説明するためには、時代をいっきに40年ほどさかのぼる必要があります。
1975年に、スペイン総統フランシスコ・フランコが亡くなりました。その結果スペインは王政復古し、現国王の父であり当時国王だったフアン・カルロス1世のもとで民主化への道を歩んでいくことになります。この王様、退位前の数年間はひどく評判が悪かったんですが、民主化に反対する軍将校が起こしたクーデターを鎮圧したことで即位直後は民主化の守護者としてたいそう人気がありました。ちなみに現国王のフェリペ6世は当時10歳にもならない子供だったので深夜に行われた国王とクーデター首謀者との会談の席ではおねむだったのですが、船を漕ぐたびに「おまえは王様になるんだから王様のつとめをよく見ておきなさい」と父君に優しく揺り起こされていたそうです。なにそれ萌える。
閑話休題。このフランコ政権ですが、典型的な「スペインは単一民族国家だもん!」派の政権でした。彼が在世中はカタルーニャ語やバスク語をおおやけの場で用いることはひどく抑圧され、内戦前のカタルーニャ州政府首脳陣は殺されるか投獄されるか亡命するかという感じでした。そのフランコが死んだことで、亡命州政府のトップがスペインに帰国し、民主化が進展します。このとき、フランコ体制下で抑圧されてきた「スペインは多民族国家になるべきだもん!」派が一気に声をあげはじめます。
(ここでいう「民族」ってのは、英語のネーションにあたる、スペイン語のnación、カタルーニャ語のnacióのことで、「自分で国を作れる権利や能力のある集団」みたいな感じなんですよね……うまく説明できないんですが。なので移民とかは勘定に入れてません。この文脈だと「国民」と訳した方がいいのかも。「スペインは単一民族国家だよ」というのは「スペインにいるのは『スペイン国民』だけであり、カタルーニャ人もバスク人もひとしく『スペイン国民』だよ」ということで、カタルーニャ人たちは「スペインには『カタルーニャ国民』や『バスク国民』もいるんだ」と主張してるわけですね)
民主化したからにはちゃんと民主的な憲法を作らないといけませんが、これが紛糾します。単一民族国家というのはフランコだけの思想ではなく、熱心なスペイン・ナショナリストはフランコ死後も消えてなくなりはしなかったわけです。彼らは頑強にスペインの統一、つまりスペインが単一民族国家であることを守ろうとします。一方でこれまでさんざん煮え湯を飲まされてきた地方の側もそれでは収まりません。そんななか、妥協として制定されたのが1978年憲法でした。条文の英訳をウィキソースからコピペします。
Section 2
The Constitution is based on the indissoluble unity of the Spanish Nation, the common and indivisible homeland of all Spaniards; it recognises and guarantees the right to selfgovernment of the nationalities and regions of which it is composed and the solidarity among them all.
太字にしたところはテストに出るので覚えておいてください。ここではスペインがひとつのネーションからなり、不可分であること、そしてネーションの他にいくつものナショナリティが存在することが謳われています。ナショナリティっていわれると普通は「国籍」って意味なんですが、この文脈では「準ネーション」みたいな意味だと思ってください。つまり、ネーションはひとつしかないけど、準ネーションっぽいものはいくつもあるよ! ってことですね。
(ところで、この憲法からもわかる通り、スペインは連邦制国家ではありません。連邦制かと見紛うばかりに地方に権限委譲がなされてはいますが、それでも「連邦制=国の集まり」ではなく「スペインは不可分のひとつの国!」ということになっているのです。これを専門用語で「自治州国家体制」といいます)
この憲法にのっとってカタルーニャは自治州の地位を得、フランコ体制下で迫害されていたカタルーニャ語を復活させるための政策に着手します(これを「言語正常化」といいます)。使用が弾圧されただけでなく、工業化が進む中でスペインの他地方からの移民が来て、カタルーニャ語を解さない州民が増えていたのです。また、なにせ相手は数億人の使用人口を誇る言語ですから、話者数数百万人のカタルーニャ語など放っておいたら自然淘汰されてしまいかねません。州政府は公教育にカタルーニャ語を導入し、様々な場面でカタルーニャ語使用を義務づけ、カタルーニャ語の使用に助成金を出し、結果として今ではほとんどの州民がカタルーニャ語とスペイン語の見事なバイリンガルに育つようになっています。
(助成金は、たとえばパソコンのOSのカタルーニャ語訳とかに出されています。数億人が使ってるスペイン語は経済的にペイするのですぐに翻訳されて、なおかつ州民はみんなスペイン語ができるので、放っておくとみんなそっちを使っちゃうんですよね……)
ところでこの憲法、実はもうひとつトラップがあります。それは公用語について定めた条文です。
Section 3
C1. Castilian is the official Spanish language of the State. All Spaniards have the duty to know it and the right to use it.
C2. The other Spanish languages shall also be official in the respective Self-governing Communities in accordance with their Statutes.
C3. The wealth of the different linguistic forms of Spain is a cultural heritage which shall be especially respected and protected.
そう、カスティーリャ語(つまりスペイン語)は、スペイン市民(たとえバスク人やカタルーニャ人であっても)にとって知る「義務」があり、使う「権利」がある唯一の言語なのです。逆に言えば、それ以外の言語を使う「義務」を州が課すことは違憲になります。
この時点で、たとえばカタルーニャ州が州内の教育をカタルーニャ語だけで行おうとしたら違憲です。カタルーニャ州が州民に高度なバイリンガル教育を施しているのは、理想が高いのではなくそうせざるを得ないということです。またカタルーニャ州の言語政策も、たとえば「お店のメニューにカタルーニャ語を使う義務」「商品のラベルにカタルーニャ語を使う義務」「企業の広報活動でカタルーニャ語を使う義務」といったものを法で定めたりしていますが、これは個々人に対する義務ではないのでギリギリ合憲ということになっています。なっているはずでした。
ところで、カタルーニャも極楽ではなく、何をするにも先立つものがいることには変わりありません。つまりお金です。ところが、スペインの自治州には基本的に徴税権がありません。バスク自治州とナバラ自治州には歴史的な事情(ありていに言うとスペイン継承戦争で官軍についた)によって徴税権があり、その一部を国庫に納入していますが、カタルーニャはあくまで国が徴税して配分するお金を受け取る立場です。そしてカタルーニャはスペイン全体でみても豊かな地域であり、多くの税金がカタルーニャから徴収され、多額の税金がカタルーニャに還元されています。
しかし、その収支が赤字だということが大問題なのです。カタルーニャから徴収される税金は、カタルーニャに交付されたり還元されたりする際に8%ほど目減りしています。しかも、これだけ払っていながらもインフラ整備は後回しにされているのです。カタルーニャだけ高速道路は有料で列車の老朽化も放置、EUから勧告されたカタルーニャの高速道路整備も中央政府は拒否っておきながらマドリードなどカスティーリャのインフラはしっかり整備しています。他州より高く払っているのに他州より低いサービスしか受けられないのは何事だと、カタルーニャ州民が怒るのももっともです。
こうした状況を受け、2000年代に入ると自治憲章(要するに自治州の憲法ですね)改正の動きが活発化します。自治州議会は、徴税権やカタルーニャがネーション(nació)であることを盛り込んだ憲章草案を可決しますが、中央政府(当時は左派の社会労働党)との交渉で徴税権は削られ(かわりに公平な交付金の支給を約束。結局実施されてませんけど)ネーション条項は前文のみ。妥協のすえ2006年にようやくスペイン国会を通過して新自治憲章が成立します。
これに待ったをかけたのが国民党(現・与党)です。彼らからしてみれば、「一地方の自治権強化はスペインの統一に反する」というわけですね。彼らはこの自治憲章が憲法違反だと憲法裁判所に提訴、これに対抗してカタルーニャではデモが盛り上がり、「我々には自決権がある」という主張が登場します。そして2010年、憲法裁判所は自治憲章の多くの条文に違憲判決を下しました。しかもその判決は、これまでカタルーニャが行ってきた自治権強化政策を否定し、自治権をより縮小する方向のものでした。カタルーニャ語を行政において優先させる規定は違憲となり、カタルーニャをネーションとした前文は、スペインにおいてネーションはただひとつとして法的拘束力はないとされたのです。そしてこの違憲判決に基づいて、カタルーニャの学校ではスペイン語で教えるべし、という判決も出されました。
ここまで妥協しても憲法違反になるのか……という絶望が、一気に民意を独立へと傾けていきます。それまで20%前後を行ったり来たりしていた独立への支持率が、この違憲判決を境に一気に30%を超え、2013年には60%に達しました。今の憲法がある限り、スペイン国家に留まっている限り、カタルーニャは自由にはなれない、と多くの人びとが考えるようになったのです。移民の子孫だってカタルーニャに暮らしているわけですから独立に傾きます。
2014年、カタルーニャ自治州は「法的拘束力のない」住民投票の実施を計画しますが、違憲とされて差し止めが命じられました(提訴したのはもちろん中央政府です)。じゃあ非公式の模擬投票やろうぜ、と言ったらそれも違憲とされて差し止め命令が出されます(模擬投票も認めないなんて表現の自由に対する攻撃だと国際的に抗議が殺到した模様)。結局自治州は非公式の投票を決行しましたが、中央政府は憲法違反の投票を強行したとして当時の州首相らを刑事裁判にかけます。ちなみに裁判期日として指定されたのは、フランコ政権によって内戦前最後のカタルーニャ自治政府首相が銃殺された日でした。煽り力高い。州首相だけでなく州議会議長まで訴追するよう憲法裁判所は命じています。民主主義とは。
このような国民党政府の対応が火に油を注ぐ結果となり、今回の住民投票実施に至るわけですが、この期に及んでなお国民党は「カタルーニャ自治州に毎週会計報告を義務付け、違反した場合は交付金を停止する」と表明したり(http://www.pressdigitaljapan.es/texto-diario/mostrar/775503/)、プッチダモン州首相を訴追する準備を進めていたりして(http://www.politico.eu/article/catalonia-independence-referendum-spain-the-carles-puigdemont-factor/)、まあある意味通常運転です。「やっぱスペイン国家の枠内では自治権保証されないじゃん……」とカタルーニャ人に思わせるだけの簡単なお仕事。こうして着々と独立に向けたフラグが立っていくのでした。
スペイン政府はオプションとしてカタルーニャ自治州政府の停止も視野に入れているという報道があります。根拠となるのはスペイン憲法155条です。
Section 155
1. If a Self-governing Community does not fulfil the obligations imposed upon it by the Constitution or other laws, or acts in a way that is seriously prejudicial to the general interest of Spain, the Government, after having lodged a complaint with the President of the Self-governing Community and failed to receive satisfaction therefore, may, following approval granted by the overall majority of the Senate, take all measures necessary to compel the Community to meet said obligations, or to protect the abovementioned general interest.
2. With a view to implementing the measures provided for in the foregoing paragraph, the Government may issue instructions to all the authorities of the Self-governing Communities.
ぶっちゃけこのオプションが採られた場合投票は物理的にはできなくなるでしょうが、まあスペイン国家とスペイン憲法へのヘイトをためるには十分すぎるほどなので、余計に独立への意志を強めるだけですよね……という辺りが現状言えることです。部外者としてはワクテカが止まらない祭り出来事ですが、楽しむためには背景知識が必要だろうと野暮を承知で解説してみました。部屋を明るくして画面から離れて住民投票をお楽しみください。
そもそもなんでカタルーニャがスペインの一部になってるの? とか、カタルーニャの栄光時代はいつだよ……ジャウマ1世の時か? とかの疑問が湧いてきた時にオススメです。住民投票は……住民投票は今なんだよ!
英語アレルギーだったらダイアリーも日記に変えたほうがいいとか言い出すとか?
正直言及でも返信でも返答でも応答でなんでもいい
例文
続いて、システムAはリプライ待ちの状態104になる。例文帳に追加
Then the system A becomes a replay waiting state 104. - 特許庁
データ受信装置120は、データパケット131の各々の受信が完了する毎にリプライ情報を発行するメモリリクエスト制御部322と、リプライ情報の数をカウントし、そのカウント値を保持するリプライ制御部323と、リプライ情報に関するカウント値を含むリプライパケット132を生成するリプライ生成部460とを有する。例文帳に追加
The data receiving apparatus 120 includes: a memory request control part 322 issuing reply information every time reception of the data packet 131 is completed; a reply control part 323 counting the number of pieces of reply information to store the count value; and a reply generation part 460 generating a reply packet 132 including the count value on the reply information. - 特許庁
例文
リプライデータ送出部60aはリプライ送出順登録FIFO50aに有効なリプライデータが存在すると判断した場合はリプライ送出順登録FIFO50aに登録してある順番に従いリプライデータ格納FIFO30a〜33aからリプライデータを読み出しチップセット2に非同期インターフェイス600aを介して送出する。
今回ここで、「権利」概念が放ってしまう暴力性の起源について一人考えてみる
1週間もすれば3億人近いトンチンカンたちがまた祝うことになる、近代社会の幕開け=アメリカ独立宣言に遡ってみよう。250年くらい前のことだ。後にアメリカ人と呼ばれる極西の田舎者が黒人奴隷を足置きにしながらヨーロッパの政治哲学を読みふけっていた。そして、英国議会に「植民地のくせに生意気だぞ」と言われてしまったあの時、彼らのイギリスコンプは爆発し独立を宣言してしまう。この独立戦争とその後の歴史で彼らは「国家」を生み出しその中で「所有権」というものの不可侵性を「人権」として僭称したのだった。それまでもこの考え方は常にヤバい匂いを発してきたが「独立宣言」こそが全人類の脳みそに侵入し始めるウイルスになった。彼らはこう言う。「君たち、実はな、人間は生まれながらにして権利というものを持っていたのだよ」「君たち、これは自明の真理だよ」。誠に蒙が開かれるようである。実際に驚くほどたくさんの人が啓蒙されることになる。
ところで、ここで彼らが行なった欺瞞としてまずよく言われるのは足置きにしている「黒人奴隷」についてである。つまり黒人奴隷が人間の方にではなく所有物propertyの方に組み込まれてしまったことである。ところが、今回に限ってはそこは重要ではないと私は言いたいのだ。というよりも黒人奴隷の境遇があまりに深刻な問題であるから真の問題が後景化し見えなくなってしまっている。この深刻な問題をみたとき、我々、権利至上主義者の常識的な感覚からいって、100年後、200年後に黒人へ与えられたように、人間の権利、あるいは公民権で解決すべき(解決した)問題だと思わされてしまう。
でもこれは糞の上に城を立てただけなのだ。私たちの暮らす城の中はクソの匂いが充満している。「権利」などという考え方が、奴隷制的な、暴力的支配への渇望に支えられている。私たちはクソがあるなと思ったら「あっクソだ」と言わねばならない。「あれ?この部屋なんか、うんこの匂いしない?」は常に言いづらいセリフではあるが。
つまりどういうことか。権利を「持っている」、という発想自体にその欺瞞が現れている、と言いたいのだ。一般におそらくは「所有権を持つ」という表現すらあまり違和感をもたれないのである。独立宣言の下敷きになったヴァージニアで行なわれた会議の草案にもその矛盾を観れるかもしれない
That all men are by nature equally free and independent and have certain inherent rights, of which, when they enter into a state of society, they cannot, by any compact, deprive or divest their posterity; namely, the enjoyment of life and liberty, with the means of acquiring and possessing property, and pursuing and obtaining happiness and safety.
この2つ目の下線部は独立宣言では省かれるのだが「所有権を持つ」という循環した考え方を恐れたから、ではなく国家による税金の徴収を困難にするという理由であった。
何が言いたいかといえば、奴隷、武器、砂糖の三角貿易が成立して以降のヨーロッパ社会では、「権利」が「持つ」ものとして想定されねばならなかったのである。それは単純には、ある種の人々から「奪う」こと(あるいは「捨てる」こと)のできるものでなくてはならなかったからだ。つまり「所有権」が守るベーシックな価値は「権利」概念誕生の後に、「どんな種類の権利を作ろうかなー」と考えられて作られたものではなく同時に発生しているのである。そしてそのことは隠れたのだ。独立宣言に「自明の真実ではあるのだが我らは不可侵の権利を持っているのだと信じる」としれっと書き込むことで。じゃあ所有の意味を含む「権利」概念が発生した時に生まれていたものは何か。ここが今回の主張であるが、「支配欲求自体への承認」なのである。社会の一員として我々は「ある種の激烈な支配の形」を基盤にすることで社会を成立させている。それは「所有権」だけでなく「権利」全般の話である。
propertyに対しては当然そうだろう。犬猫などは黒人同様に解放が進みつつあるが根本的に我々は自分の所有する物をどれだけ傷つけても良いのである。対象物に対して欲求したことは特別に禁止されない限り全てぶつけることを許されている。私は自分の持っている熊の人形の腹を切り裂いてもいいしそこにペニスを突っ込んでも良い。それが所有権の意味するところである。ここで、人形はなんかかわいそうだし除外しようかというのもあまり意味がない。僕が言いたいのは、我々は所有権を「propertyに対して私が欲求することならなんでもしていい力」として想像していて、思考のスタート地点にそれをおいていることだ。この認識はもう一つ重要な感覚を孕んでいる。それは「私が支配するものに他者が介入することは許されない」ということだ。この二つの感覚両方が「権利」全般に流れ込んだのだ。そして実は我々の想像する「自由」のコアイメージでもある。自由にはこの欲望と支配の感覚が流れている。
しかしながらこの「自由」の感覚は「自由」を求める奴隷たちの反乱により一つの現実的妥協を産んだ。支配者はかつての奴隷たちと約束したのだ。我々はもはや君たちを支配しない。その代わりに我々は自分の体を支配するのだと。そして君たちもそうするのだと。人間なら誰もが己の体を支配できることにしよう。我々は平等に自由じゃないか。(現実として多くの旧黒人奴隷は扱いの悪い賃金労働者として己の体を「自由」に売買した。ほぼほぼ売るだけであったが。)
上記の経路は思考実験の一つでしかなく、実際は数百年前の「権利」概念の議論でも既に流れていただろう。しかし、ここで誕生したのは一風変わった、世界と人間に対する理解である。個人は他者からの介入=他者との人間的繋がりを切断できる独立した存在だという信仰なのだ。なぜなら自分の体を自由に支配し他者はこれに関与できないのだから。(工場で死にかけながら働く黒人労働者だって「自由」に辞められると考えることはできただろう。)「権利」や「自由」というものの概念自体にこれは染みついたのだ。
奴隷製の足置きで本を読む農園主の頭の中で作られた「近代国家・権利・自由」は、国家軍隊というとてつもない力に囲われながら、同じ発想の知的エリートを再生産し、根本思想の解体は迂回しながら様々なヴァリエーションを増やしてきた。その実践形は司法や行政の場から常に吐き出され、我々パンピーの脳みそにも影響を及ぼしてきた。
「権利」概念は、「権利」とは「持つ」ものだという支配欲求の肯定に支えられている、というのが基本的な今回の主張である。これが己の身体観や対人間観に影響を及ぼしてきた。実際皆が全く違和感なく自分の持つ時間と労働力を社長さんに売り払っている。基盤にある発想はまさに「権利」は「持つ」ものだから「捨てれる(売れる)」のである。あるいは私は他人の権利を「買える」のである。なぜなら私はその「権利」を「持っている」のだから。(一応断っておくが、これによって生まれる成果を否定するものではない。「支配/排除 と 欲望」を根幹にする原理が一度は平等性/対等性 になりながらも、次の段階で一人の人間があらゆる人の時間と行動の自由を支配し皆がそれに納得していることに注目したいのだ。この一人の人間も様々な人の投資で買われていてもう少し複雑だろうけれど。)
長々書いてるのに平板な話になってるだろうか。ここに資本の燃料をぶっ込めばいくらでも非人間的な方向に暴走できるのは想像にかたくないし、読んだことないけど共産主義とかポモとかもこういう認識の型への反発からスタートしてるのでしょ。現実に非人道的支配を読み取った人たちの反発から生まれた社会「権」などは対抗力として機能しただろう。ただそのことに対しても言えるのは「権利」「自由」の枠組みがそのまま利用されたということだ。近代国家という装置がこの世界にセットされた1776年の7月4日のあの日から全人類の脳みそはハックされた。今もなお屋台骨として社会を支え続けている我らが人権万歳!自由万歳!国家万歳!
いま苦しんでいるマイノリティも、「支配と欲望」の匂い漂う「権利と自由」概念を使って「国家よ行動しろ」と闘争せねばならない。あるいは彼らがそうでない社会活動を試みていても(例えば、他者との網の目を強化したり、国家ではなくコミュニティや人々の意識を変えるために動いていたとしても)、そのように立ち上がる姿をメディアでみた我々は、そこにまた「権利と自由」闘争の型を読み取っていないだろうか。「障害者が、また支配と欲望を前面に出してるのか。今度は何を要求するのか。」と。そして人間の、恥を知らない無意識は、何かを奪おうとしているマイノリティを見てこう訴えてくるのではないか。我々はこいつらを「支配」し「排除」しなければならない、我々の「権利」と「自由」のために。
合衆国憲法修正10条で、明確に規定された以外の権利はすべて、州または人民に留保されている、とされていて、連邦刑法がそもそも規定できるのが、州を越えた犯罪、国際犯罪、通貨偽造などの国家の信用棄損、郵便、電子メールなどのそもそも越境性を前提としている物、などに限られています。だからこれらを除いて、州内で完結する犯罪を連邦法で規制することはできない。後述するかもしれない麻薬関係のように、近年連邦法の適用範囲は広まりつつあるようですが。元増田があげているIRSはfederal taxを規制しているから当然連邦法の預かる所となる。federal interestを明らかに損なっているでしょう。あと、A or B or another Cの場合、anotherは同類の何かを示しているので、普通AもBもCに属すると解するのではないですか。AやBやその他のC、とかAやBなどのCと訳すことは誤訳とは思いませんが。明確に分かれているの意味が分からないです。
Amendment X
The powers not delegated to the United States by the Constitution, nor prohibited by it to the states, are reserved to the states respectively, or to the people.
なぜ?アメリカは体裁上は各州が独立した国です(state=国連マターの国)。連邦刑法の共謀罪が規定する、アメリカ合衆国、アメリカ合衆国の利益を損なう、またはそのエージェンシーに対する犯罪を、取り締まっていれば、5条が規制しているのは第3条2で規定されている、国際犯罪であって、アメリカは純地方的な行為についてはこれを留保しているのだから、問題ない、こういうロジックでしょう。この留保は明示はしていないけど、していることはどうみても第34条2項の留保だよ。この辺りは最後に書く、留保の意味にも関連して来るけど、どの条文を留保しているか特定して明示しないっていうのは立派な作戦ではある。
ちょっと理解できないんだけど。あとLegislative Guideは立法ガイドだよ。読解力のなさが外務省なみじゃないの?どう読んでも、国内犯罪に国際性の要件を入れたら困るだろうからそこは入れてはならない、とかいてあるでしょうが。以下の部分を読めば明らかに、5、6、8、23条に関する犯罪を立法化する際に、国際性を要件とすることは必要ない(do not have to)とされているでしょう。
The paragraph is intended to indicate to States parties that, when implementing the convention, they do not have to include in their criminalization of laundering of criminal proceeds (article 6), corruption (article 8) or obstruction of justice (article 23) the elements of transnationality and involvement of an organized criminal group, nor in the criminalization in an organized criminal group (article 5) the element of transnationality. This provision is furthermore intended to ensure clarity for States parties in connection with their compliance with the criminalization
この項は、最終案の取りまとめの段階で、行なわれた非公式のセッションの中でフランスがねじ込んできたもので、アメリカがそれに対して、「これをいれると条約のscopeが変わってしまうのではないか」と指摘して「組織犯罪の要件は外さない」とことを明記することで、条約のscopeが変わっていないことを明示的に示した、という経緯のもの。解釈ノートには、組織犯罪の要件は国内犯罪でも入れないといけないが、国際性の要件は入れる必要がない、としていることに表れているわけ。なぜ入れるべきではないとされているかというと、そうすると条約の目的が果たされないからではなく、国内犯罪の取り締まりに支障が出るからと書いてある。この条約のscopeはそもそも国際犯罪の取り締まりなのだから、国内犯罪の取り締まりに影響が出るような法改正は必要ないヨという指摘がされている。
そらそうよ。範囲が問題でしょう。でも外務省は676必要だ、条約締結にはびた一文負けられんとおっしゃていたのにも関わらず、277まで減らせたんでしょう。その根拠は何っていう話とおんなじだよ。これも最後に書く、条約の留保の意味の話と一緒だよ。ウクライナの刑法について詳しく存じ上げないのは外務省と一緒だけど、外務省が意図的にアホを装っているのは明らかで、2年以上の、条約の要請より広い犯罪について共謀罪が設けられているんなら、留保なんてする必要ないんだって。なんか理由があるからやってんでしょうが。聞かれたら差し障りの内容に、大丈夫です、影響ないですって言うにきまってんじゃん。
いやいや内心だよ。自身が準備行為をしていなくても、合意で成り立っちゃうんだからさ。これは共謀共同正犯でも問題になった点。
「十分に条件を満たす国内法がある」共謀罪はないですが。「山でキノコを採りに行く共謀」が記載される必要がないのとおんなじ理由じゃないですか?バカなの?
ロイター系の司法情報サイトの非署名記事だけど。アラスカでは共謀罪がないから、麻薬取引のヘイブンになっているぜ!っていうバカ記事。もし連邦法がすべてをカバーしてるから大丈夫ならこんな記事が出るはずがないでしょうが。でもこの記事の面白いところは、多分保守派の記者が煽りで書いてるんだけど、出されている例が全て、国際性の要件、または州をまたいだ犯罪になっているので、連邦法で規制できているという点。それでもこいつらは取り締まれてないわけですよ。因果関係は知らんけど、アンカレッジがマリファナ組織のすくつになってるなら、それはどう考えてもアラスカが8州ぐらいしかない、マリファナ合法化州だからじゃないかと、ふつうは考えると思うけどね。煽るバカはどこにでもいる。
まぁこのケースはそもそもメスを決めてたユーザーが売人に仕立て上げられたっていう記事だけど、アメリカの弁護士の記事やサイトでの広告を見ても、Conspiracyはhard to defenceだとされている。Prosecutorsもそれがわかってるから積極的にConspiracyで立件していて、連邦刑法でもっとも広く使われているという見解は複数の弁護士から出ている。アメリカそもそも大丈夫じゃない。彼らが冤罪を承知して幅広く網掛けてるわりには犯罪は、日本よりずっと多いしね。
条約の留保とは、一方的に宣言するもので、条約の締結国から異議が出なければ基本的にスルーされる。異議を申し立てた国が出れば、その国との間では、申し立てが取り下げられるまで条約の締結関係とは見なされないという性質のもの。だからアメリカとかウクライナに外務省が照会かけたって、「影響ないですぅ」っていうに決まってんの。「影響ある」なんて言えるわけがない。それに日本は、国際人権規約の自由権規約や人種差別撤廃条約で、国連の委員会(これらの条約は、各国のコンフリクトが影響しそうだからということで国連の委員会がこの権利を有している)から何度も勧告を受けている。ヘイトスピーチに関してもそうだったし、死刑制度についてもそうだし、個人通報制度にしてもそう。これらを留保することを「完全な批准状態ではない」と非難されているが、留保は取り下げていない。さらには「日本は国内法を理由に条約の留保をすることに関して誤解している」とかも確か言われている。それでも留保は取り下げてない。死刑に関しては評価E「委員会の勧告に反する」とされているが、留保は取り下げていない。こういう外務省がおっしゃる「条約が締結できない」なんて信用できるわけがない。最低限必要だとしても、留保してから、国内で十分コンセンサスが得られるまで議論しても、国際的な地位において何の問題もないことは、日本がこれまで条約の基本趣旨に反する留保を幾度となく行ってきていることが示している。
[国会ウォッチャー]外務大臣政務官「TOC条約に留保を付して締結することは可能」
http://anond.hatelabo.jp/20170502181320
への疑問を列挙してみました。
あと、できるだけソースへのリンクを付けてもらえるとありがたいです。
連邦法における刑罰は、州法を超える範囲をカバーしているわけではなく、州をまたいだ犯罪や国際犯罪に限定されているので、州法では犯罪じゃないけれど、連邦法では犯罪になる州内の犯罪というものは存在しないのです
これはどこから出てきた話なのか。
たとえば脱税にしても、地方税のものと歳入法に関するものとで後者は連邦法である。
元文
U.S. federal criminal law, which regulates conduct based on its effect on interstate or foreign commerce, or another federal interest,
増田訳
ちなみにGoogle翻訳
元文では「or another federal interest」は明確に分かれてるが増田の訳では「連邦の利益」に「州をまたいだ、または国際的な通商等」がかかっていて、曖昧になっている。
https://treaties.un.org/Pages/ViewDetails.aspx?src=IND&mtdsg_no=XVIII-12&chapter=18&lang=en
The United States of America reserves the right to assume obligations under the Convention in a manner consistent with its fundamental principles of federalism, pursuant to which both federal and state criminal laws must be considered in relation to the conduct addressed in the Convention. U.S. federal criminal law, which regulates conduct based on its effect on interstate or foreign commerce, or another federal interest, serves as the principal legal regime within the United States for combating organized crime, and is broadly effective for this purpose. Federal criminal law does not apply in the rare case where such criminal conduct does not so involve interstate or foreign commerce, or another federal interest. There are a small number of conceivable situations involving such rare offenses of a purely local character where U.S. federal and state criminal law may not be entirely adequate to satisfy an obligation under the Convention. The United States of America therefore reserves to the obligations set forth in the Convention to the extent they address conduct which would fall within this narrow category of highly localized activity. This reservation does not affect in any respect the ability of the United States to provide international cooperation to other Parties as contemplated in the Convention.
アメリカ合衆国は、本条約が要請する義務を担う権利を留保するが、それは、連邦制の基本原則と両立するという考え方の中で、連邦法と、州法の刑法の両方が、本条約で規定されている行為との関係で考慮されなければならないからである。連邦法での刑法は、州をまたいだ、または国際的な通商等の連邦の利益に影響を与える行為を規制しており、合衆国内での、組織的犯罪に対する戦いでの基本的な法制度となっており、これは(条約の)目的に対して効果的であるといえる。連邦法での刑法は、犯罪行為が州をまたがない、国際通商等の連邦の利益に関わらないという稀なケースでは適用されない。かかる純粋に地方的な性質の犯罪については、連邦法、州法のいずれも、本条約に基づく義務を十分満たすとは言えない状況が少数ではあるが想定される。したがって、アメリカ合衆国は、純地方的な活動に関したせまいカテゴリーにおさまる行為に関しては、本条約で規定された義務を留保する。この留保が、本条約の他の締結国に対する協力をするというアメリカ合衆国の能力に影響を与えることはない。
合衆国は、条約に定められた行動に関連して連邦および州の両方の刑法を考慮しなければならないという、連邦主義の基本原則に合致する方法で条約上の義務を引き受ける権利を留保する。州または国外の商取引やその他の連邦政府の利益に基づいて行為を規制する米国連邦刑法は、組織犯罪と戦うための米国内の主要な法制度としての役割を果たし、広くこの目的のために有効です。連邦刑法は、そのような犯罪行為が州際通商や外国貿易、あるいはその他の連邦政府の関心事を含まないまれなケースには適用されない。このようなまれな犯罪には、米国連邦刑法と州刑法が条約に基づく義務を完全に満たしているわけではないかもしれない純粋に地元の性格のものが考えられます。したがって、米国は、この高度にローカライズされた活動のこの狭いカテゴリーに該当する行動を扱う範囲で条約に定められた義務を留保する。この保留は、いかなる点でも、条約で検討されているように他国に国際協力を提供する米国の能力に影響を及ぼさない。
ローカルな犯罪に対しては州法を整備することなく、留保するよ、といっているので、これはかつての民主党政権が提案していた、越境性を根拠にした法律を整備して、それ以外は留保する、という手法そのものです。
民主党案は条約が要求する範囲より明らかに狭い範囲となっているが、米国はそうではない。
米国の共謀罪の範囲については、米国国務省法律顧問部法執行及び情報課法律顧問補の書簡で米国の見解がなされてる。
[資料]共謀罪、米国・国務省から日本政府への書簡 - 保坂展人のどこどこ日記
http://blog.goo.ne.jp/hosakanobuto/e/022ac5e3340407dfbdf8316c175e041f
あります。すべての州が共謀罪の規定を有しており、ほとんどの州は、一般的に1年以上の拘禁刑で処罰可能な犯罪と定義されている重罪を行なうことの共謀を犯罪としています。
3.限定的な共謀罪の規定を有しており、本条約により禁じられている行為を完全に犯罪としていない州は」どこか。
アラスカ州、オハイオ州及びバーモント州の3州のみが限定的な共謀罪の規定を有しています。もっとも、仮に犯罪とされていない部分が存在したとしても、連邦刑法は十分に広範であるため、本条約第5条に規定される行為が現行の連邦法の下で処罰されないということはほとんどあり得ません。合衆国の連邦法の構造は他に例を見ないほどに複雑であり、したがって、ある行為を処罰し得るすべての法律を挙げることは実際上不可能です。
4.本条約で犯罪とすることが義務付けられている行為が連邦法でも州法でも対象とされていない場合は、どの程度珍しいのか。
確かにそのような場合が存在する可能性は理論的にはありますが、合衆国連邦法の適用範囲が広範であることにかんがみれば、金銭的利益その他の物質的利益のために重大な犯罪を行なうことの共謀的又は組織的な犯罪集団を推進するための行為を行なうことの共謀が何らかの連邦犯罪に当たらない場合はほとんど考えられません。
そもそも連邦法が十分に広い、ただ複雑であるため理論的に完全とは言い切れないよ、という意味での留保。
この条項は、そもそも第3条において、transnationalな犯罪を対象とする文言があるのにも関わらず、付されている矛盾をはらんだ表現になっています
第3条には
http://www.mofa.go.jp/mofaj/gaiko/treaty/pdfs/treaty156_7a.pdf
この条約は、別段の定めがある場合を除くほか、次の犯罪であって、性質上国際的なものであり、かつ、組織的な犯罪集団が関与するものの防止、捜査及び訴追について適用する。
とあるので単に「別段の定め」なだけでは。
要はこの項目は、マネーロンダリングや汚職、裁判の妨害といった犯罪に国際性の要件がなくてもいいよ、という意味だと解説しているので、外務省の説明とは全然違うじゃねぇかっていうね。
解釈ノート(Legislative Guid)III-A-2に条約で明示的に要求されてるのでなければ国内法の犯罪要件に国際性や犯罪集団の関与を含めるべきでないと書かれている。
これは法の要件にそれらを含めると複雑になり執行に支障が出ることがある為。
https://www.unodc.org/pdf/crime/legislative_guides/Legislative%20guides_Full%20version.pdf
In general, the Convention applies when the offences are transnational in nature and involve an organized criminal group (see art. 34, para. 2). However, as described in more detail in chapter II, section A, of the present guide, it should be emphasized that this does not mean that these elements themselves are to be made elements of the domestic crime. On the contrary, drafters must not include them in the definition of domestic offences, unless expressly required by the Convention or the Protocols thereto. Any requirements of transnationality or organized criminal group involvement would unnecessarily complicate and hamper law enforcement. The only exception to this principle in the Convention is the offence of participation in an organized criminal group, in which case the involvement of an organized criminal group is of course going to be an element of the domestic offence. Even in this case, however, transnationality must not be an element at the domestic level.
一般に、この条約は、その犯罪が本質的に国境を越え、組織された犯罪集団を含む場合に適用される(第34条、第2項参照)。
しかしながら、本ガイドの第II章A節でより詳細に説明されているように、これはこれらの要素そのものが家庭内犯罪の要素となることを意味するものではないことを強調すべきである。 逆に、起草者は、条約または議定書で明示的に要求されている場合を除いて、家庭内犯罪の定義にそれらを含めるべきではない。 国境を越えた組織や組織された犯罪グループ関与の要件は、不必要に複雑になり、法執行を妨げることになります。 条約のこの原則に対する唯一の例外は、組織化された犯罪集団への参加の犯罪であり、その場合、組織化された犯罪集団の関与はもちろん国内犯罪の要素になるだろう。 しかし、この場合であっても、国境を越えたものは国内レベルの要素であってはならない。
前の方でウクライナに関する答弁が引用されてるが、ここの話で重要なのは犯罪の範囲が絞られているのかどうかのはず。当然政務官も分かっていてそれに関する発言をしているのだが、なぜか増田はそこを略している。
http://kokkai.ndl.go.jp/SENTAKU/syugiin/163/0004/16310210004006c.html
ただし、ウクライナの留保及び宣言の趣旨につきましては、同国における四年以上五年未満の自由刑が定められている犯罪が存在するかどうかなど、ウクライナの法体系を踏まえて検討する必要があり、現在、私どもはウクライナ政府に照会しております。まだ回答についてはいただいておりません。
したがいまして、ウクライナの本件留保及び宣言の趣旨及びその条約上の評価につき、現段階で、長期四年以上の自由刑を長期五年以上の自由刑に限定したものと言えるかどうかを含め、確定的なお答えをすることは今困難だと思っています。
その後照会の回答についても委員会で話されている。
ウクライナは(条約法条約第19条的な意味での)留保を行ってない。
ウクライナの共謀罪は条約で求められてるものより広範囲である。
したがってウクライナの話を元に条約第2条の対象犯罪を狭められるとするのは間違いとなる。
第164回国会 法務委員会 第21号(平成18年4月28日(金曜日))
http://www.shugiin.go.jp/internet/itdb_kaigiroku.nsf/html/kaigiroku/000416420060428021.htm
その内容といたしましては、この留保及び宣言は、本条約とウクライナ刑法の関係を説明するために行われたものにすぎないのであって、国際法上の意味での留保を付す趣旨ではなく、本条約第五条1(a)(i)に言ういわゆる共謀罪に相当する行為は、ウクライナにおいても広く処罰の対象とされている旨の回答を得ました。
具体的な法文の説明もございまして、ウクライナ刑法第十四条では、二年を超える自由刑が定められた犯罪について共謀することが処罰の対象とされている、条約上義務とされている犯罪対象より広い範囲の犯罪について共謀罪が設けられている旨の説明がございました。したがいまして、説明のとおりであれば、対象犯罪を限定しているということにはならないと考えております。
国内法の原則に則って、とわざわざおっしゃっていただいていて、我が国の刑法原則は、内心ではなく、準備行為等のなんらかの実行が伴って初めて処罰される、という原則があるのだから、第34条2項を留保して、越境性を持たない犯罪には適用しない旨を記載すればそれでいい
とりあえず勘違いする人が居るかもなので、改正案には準備行為が必要になってることを明示してあるとありがたい。
http://static.tbsradio.jp/wp-content/uploads/2017/03/kyobozai20170228.pdf
第六条の二 次の各号に掲げる罪に当たる行為で、テロリズム集団その他の組織的犯罪集団(団体のうち、その結合関係の基礎としての共同の目的が別表第三に掲げる罪を実行することにあるものをいう。次項において同じ。)の団体の活動として、当該行為を実行するための組織により行われるものの遂行を二人以上で計画した者は、その計画をした者のいずれかによりその計画に基づき資金又は物品の手配、関係場所の下見その他の計画をした犯罪を実行するための準備行為が行われたときは、当該各号に定める刑に処する。ただし、実行に着手する前に自首した者は、その刑を減軽し、又は免除する。
第2条の(b)を留保すれば、すでに組織的殺人や強盗などは共謀段階で処罰可能であり、人身売買等のいくつかの法整備をすれば、実行行為の伴った処罰に関してはすでに広範な共謀共同正犯が実質的に認められているので、一般的な共謀罪はいらない
ここで言われてる殺人、強盗、人身売買、などのレベルのものだけだと条約が求めてる範囲(長期4年以上)からずいぶんと離れてしまうのでは。
逆に、留保が認められるほど、同等の法整備というのは共謀罪があることとどう違ってくるのか。
違う部分があるので晒しておく
k ○
t →
h space○
w space→
p motion○
s motion→
b time○
g time→
l position○
m position→
y network○
z network→
d state○
n state→
a convergence
e dispersion
i information?(meta○)
o pointing(meta→)
u predicative○
n predicative→
この表の解説:http://anond.hatelabo.jp/20170316095522
Domain Name: nervefullmovie.com
Registry Domain ID: 2055879336_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.godaddy.com
Registrar URL: http://www.godaddy.com
Update Date: 2016-08-29T17:56:41Z
Creation Date: 2016-08-29T17:56:41Z
Registrar Registration Expiration Date: 2017-08-29T17:56:41Z
Registrar: GoDaddy.com, LLC
Registrar Abuse Contact Email: abuse@godaddy.com
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientTransferProhibited
http://www.icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited
http://www.icann.org/epp#clientUpdateProhibited
Domain Status: clientRenewProhibited
http://www.icann.org/epp#clientRenewProhibited
Domain Status: clientDeleteProhibited
http://www.icann.org/epp#clientDeleteProhibited
Registry Registrant ID: Not Available From Registry
Registrant Name: morianda stevned
Registrant Organization: Faster games Web
Registrant Street: 158427 Silverton Ave Tujunga
Registrant Street: California
Registrant City: California
Registrant State/Province: California
Registrant Postal Code: 91042
Registrant Country: US
Registrant Phone: +1.8185584329
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: seolinkmaster@hotmail.com
Registry Admin ID: Not Available From Registry
Admin Name: morianda stevned
Admin Organization: Faster games Web
Admin Street: 158427 Silverton Ave Tujunga
Admin Street: California
Admin City: California
Admin State/Province: California
Admin Postal Code: 91042
Admin Country: US
Admin Phone: +1.8185584329
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: seolinkmaster@hotmail.com
Registry Tech ID: Not Available From Registry
Tech Name: morianda stevned
Tech Organization: Faster games Web
Tech Street: 158427 Silverton Ave Tujunga
Tech Street: California
Tech City: California
Tech State/Province: California
Tech Postal Code: 91042
Tech Country: US
Tech Phone: +1.8185584329
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: seolinkmaster@hotmail.com
Name Server: NS1.THEWEBCITY.COM
Name Server: NS2.THEWEBCITY.COM
DNSSEC: unsigned
freefullmovies.website
Domain Name: FREEFULLMOVIES.WEBSITE
WHOIS Server: whois.dynadot.com
Referral URL: http://www.dynadot.com
Updated Date: 2016-09-06T17:32:18.0Z
Creation Date: 2016-09-01T17:27:55.0Z
Registry Expiry Date: 2017-09-01T23:59:59.0Z
Sponsoring Registrar: Dynadot LLC
Sponsoring Registrar IANA ID: 472
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant Organization:
Registrant Street: 44/1 park raod colombo 3
Registrant State/Province: westran
Registrant Country: LK
Registrant Email: lasdikhernas@yandex.com
Admin Name: Roshan
Admin Organization:
Admin Street: 44/1 park raod colombo 3
Admin City: colombo
Admin Postal Code: 9400
Admin Country: LK
Admin Phone Ext:
Admin Fax:
Admin Fax Ext:
Admin Email: lasdikhernas@yandex.com
Tech Name: Roshan
Tech Organization:
Tech Street: 44/1 park raod colombo 3
Tech City: colombo
Tech Postal Code: 9400
Tech Country: LK
Tech Phone Ext:
Tech Fax:
Tech Fax Ext:
Tech Email: lasdikhernas@yandex.com
Name Server: NS1.THEWEBCITY.COM
Name Server: NS2.THEWEBCITY.COM
DNSSEC: unsigned
Billing Name: Roshan
Billing Organization:
Billing Street: 44/1 park raod colombo 3
Billing City: colombo
Billing State/Province: westran
Billing Postal Code: 9400
Billing Country: LK
Billing Phone Ext:
Billing Fax:
Billing Fax Ext:
Billing Email: lasdikhernas@yandex.com
>>> Last update of WHOIS database: 2016-11-12T13:55:02.0Z <<<
For more information on Whois status codes, please visit https://icann.org/epp
This whois service is provided by CentralNic Ltd and only contains
information pertaining to Internet domain names registered by our
our customers. By using this service you are agreeing (1) not to use any
information presented here for any purpose other than determining
ownership of domain names, (2) not to store or reproduce this data in
any way, (3) not to use any high-volume, automated, electronic processes
to obtain data from this service. Abuse of this service is monitored and
actions in contravention of these terms will result in being permanently
blacklisted. All data is (c) CentralNic Ltd https://www.centralnic.com/
Access to the whois service is rate limited. For more information, please
see https://registrar-console.centralnic.com/pub/whois_guidance.
○朝食:ウイダー
○昼食:おにぎり三つ(梅、梅、鳥五目)(ごめん、二つにしてサラダ買えってアドバイスを無視ってしまった。理由は朝寝ぼけていてルーチンで行動してしまった、明日から気をつけます9
○調子
むきゅー。
今日は深夜に放送されたE3のブリーフィングの感想を書きます。
念のため言うと、僕はXboxOneは日本のDayOne組なので、Sやスコルピオに関しては買い替えという観点から感想を書いてます。
従来機がモデルチェンジ。
動画の4k対応は残念ながら、僕の持ってるテレビは対応してないし、魅力は感じない。
HDRの方は4k対応じゃなくても恩恵があるみたいだけど、対応ソフトがどれぐらいかとかを考えると、さすがに買い替えの理由にはならないなあ。
小型化も、据え置き機で、もう置き場を確保している以上どうでもいいし、電源内蔵も同じ理由でどうでもいいな。
というわけで、マイナーバージョンアップって感じで、さすがに買い替える理由にはならない感じです。
「お前の国が気に入らないから売ってやらん」と言われてるものを真面目に見て「面白そー」とか思えるほど豪胆じゃないっすわ。
とか思ってたけど、動画見ると普通に面白そうだし、マーカスも出るみたいだし、海外版買おうかなあ。
DL版ならお手軽購入できるらしいけど、ここはパッケージ版を輸入するのも経験として面白そうかも。
何にしても、日本語字幕つけてくれて本当にありがとうございます。
えーっと、1のラスボスだっけ?
なんかあんまり印象が濃いキャラではないけど、KIのあの濃い連中に対抗するためには、ローカスト側じゃないといけないから、致し方ないのかなあ。
レア社からラッシュ、Haloからアービター、ギアーズからラーム将軍。
ふうむ、Fableからテレサとかどうですかね、え? もうブランド崩壊? ぐすん。
モータースポーツの方は、ガチレースゲーで僕には難しすぎるけど、こっちの方は僕でも出来るカジュアル感が魅力なので、砂漠や水場などシチュエーションが増えるのは、本当に魅力的だ。
そうえば、Horizon2のDLCのストームアイランドをまだやってなかったから、それで予習するのも良いかも。
テンションアーップ!
ロボと協力するTPSかな? と思いきや、アスレチック要素もあるみたいで、中々面白そうだ。
いやもちろん、オーソドックスなTPSでも良いんだけど、仲間? らしきコアをもったロボの育成とか、教育とか、そういう要素があると楽しそうだなあ。
みたいな感じ?
なんか色々発表されたけど、イマイチ理解できてないな、4亀とかゲームウォッチとかが記事にして欲しい。
コミュニティは夢が広がるね、日本でも細々と少ないながらもファンはいるわけだから、それなりには盛り上がりそうだ。
PC版、PE版、360版、One版のクロスプレイ化ってことか!
これは凄いな。
凄いけど、別にサーバーを立てたりしないといけないのかな? ちょっとその辺の翻訳が分かりづらくて理解できなかった。
今までXboxOneを持ってて、このゲーム日記を読んでる人とかいないだろ、と思い込んで交流企画をやってこなかったけど、
さすがにマイクラが動く物を持ってない人は、この日記を読んでないだろうから、マイクラで交流企画とかやっても面白いかもね。
(※誤解してた見たいです、追記してます)
……全く興味がわかないけど、選択肢が増えるのはいいことだね。
ただ多分僕が住んでる国が気に食わないから、このサービスは利用できなさそうだ。
なんか最早「先輩」呼びされるようなゲームが幾つかある気がするゾ。
あの、こういう、精神病らしきものを題材にしたゲームは色々思い出してツラくなるので、プレイしたくないです。
と、毎年毎年言い続けているので、いい加減ゲームがプレイできる程度の英語力を身につけるべきな気がしてきた。
ゲームを遊ぶために英語を勉強するってのは、中々皮肉な気がしなくもないが、ローカライズをただ待っているのも無駄な気もしてきた。
伊織のプロデューサーが出たということは、765プロのアイマスがXboxにお帰りなさいする日も近い。(近くない)
要するに、ファーストタイトルのDL版は今後Win10版とXboxOne版のセットが基本になるよ、って感じかな?
ユーザー目線では良いことしか言ってないので、素晴らしい試みですね。
ふわああああふわふああああああふわああああ。
なんじゃこりゃ!
滅茶苦茶メチャクチャ楽しそうじゃんか!
ヘッドフォンを装着してからBGMが壮快になる演出たまらんな。
面白そうだけど、なんとなく、本当になんとなくだけど、おま国されそう。
1がおま国なんだっけ?
と思って今調べたら完全版はスチームで買えるのか。
にしても、デッドラ4といいゾンビ続くね。
ふわあああああふわあああふわああああ!
本当に、本当に、ありがとうございます!
ブルート好きなんですよ!
あとなんか、マンティスの小型版みたいなのテンション上がるわあ。
どの年代なんだろう、人型兵器いるってことは、Halo4以降は確定かな?
スピリットオブファイアが漂流した先で戦うのかなあ、って予想してたけど関係ないのかな?
いやー、面白そうだ。
実質世代交代なんかなあ?
日本マイクロソフトに期待してもしゃあないので、気長に待つなり、輸入の手段を探すなり、今のうちから心持ちをしっかりとしておこう。
Win10
Gear VR
ガッカリです。
ガッカリだし、そもそも、この話って4月ぐらいに普通にニュースになってなかったけ?
(いや別にニュースになってたことを発表しちゃいけないわけじゃないから、問題ないんだけど、なんか早とちりで、ぬか喜びしてしまった)
「OCamlでは」普通に副作用を使うライブラリしかないからスケールしない、って書いてあるのに
なんで勝手に一般化して、Haskellとかでもスケールしないことにしたいの? 本当に牽強付会のオンパレードですね。
http://qiita.com/nonstarter/items/2763f5d85f2b8df3b18b#comment-d9a8cdf2efc67044c158
>OCaml の全ての GUI ライブラリは状態は副作用を使うことを前提にメインループが設計されているからです。これを乗り越えるとすると @Lambada さんのようにメインループ自体を自分で書く事になり、一般的にはスケールしません。Haskell の GUI ライブラリでは普通は状態は State なり IO を含む GUI モナドを使って書く事になりますが、そのような GUI ライブラリを OCaml 上で作れば同じような事が出来るはずです。OCaml でそこまで純粋関数型のコードを書く事に実用的意味があるとは思えませんが。
kenokabeさんは故意か無意識か、自分の有利なように論文を曲解していますが、
「面倒なんで全部訳しませんが」と言ってる部分に、氏には都合の悪い真実が書かれていますね。
>Conventional imperative programming captures these dynamic values only indirectly, through state and mutations.
「伝統的な命令型プログラミングは、これらの動的な値を状態と変化を通じて間接的にしか捉えていません」
これのどこをどう読んだら「状態渡しはスケールしない」になるんだ……
ひょっとして状態渡しをモナド化したのがStateとか、基本的なことを全く理解していない?
http://qiita.com/nonstarter/items/2763f5d85f2b8df3b18b#comment-d9a8cdf2efc67044c158
「OCaml の全ての GUI ライブラリは状態は副作用を使うことを前提にメインループが設計されているからです。これを乗り越えるとすると @Lambada さんのようにメインループ自体を自分で書く事になり、一般的にはスケールしません。Haskell の GUI ライブラリでは普通は状態は State なり IO を含む GUI モナドを使って書く事になりますが、そのような GUI ライブラリを OCaml 上で作れば同じような事が出来るはずです。OCaml でそこまで純粋関数型のコードを書く事に実用的意味があるとは思えませんが。」
プレビューまでは全文見えるんだけどな。すまんやで。しかもまだ続く anond:20160426150324
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
前掲のセキュリティ文書は、アプリの認証情報 (client_id と client_secret) を盗んだ人ができる悪行にいくつか言及しています。以下に、この攻撃と組み合わせることで (これまで筆者の知る限り公表されていない) 危険行為を実行可能にする問題をいくつか取り上げます。さらに皆様の独創性にかかれば、「秘密」のはずのものを盗んだ人が悪用できる方法は他にも発見できるはずです。
トークンベースの認証は多くの開発者にとって新しい概念です。そのため誤解も多く、EVS のようなものを設計する開発者の中にも、ただ何かの設計ガイドライン (たとえば OAuth) に従って API の動作を決めれば、あるいは他のプラットフォームのしていることをコピーすれば、自分のプラットフォームも自動的にセキュアになるはずだと考える人が少なくありません。しかし何かをセキュアにするには、その要素ひとつひとつを余さずセキュアにする必要があり、それらの組み合わせすべてをセキュアにする必要があり、全体の枠組みもセキュアにする必要があります。思い出してください、全体のセキュリティ強度はその弱点の強度に等しいのですから、何らかの大まかなフレームワークを固守することだけに頼りきって、その通りに使う限り何をやってもセキュアだ、などと安心するわけにはいきません。OAuth ベースのフレームワークそれ自体は、その内部要素のセキュリティを確保することに関しては殆ど何もしてくれません (ある種の要素で、あからさまにセキュリティを害するものだけは別)。
トークンベースのシステムで少しでもセキュリティらしさを出すには、最低でもトークン生成に暗号学的にセキュアな擬似乱数生成器 (CSPRNG) を使う必要がありますが、この話題はあまりよく理解されていません。さらに悪いことに、一般的なスクリプト言語の適切な CSPRNG 用 API は非常に少なく、しかしそうしたスクリプト言語が、人気ある最新サービスの多くを設計する際の基礎となっていることが多いのです。
もし生成されるトークンが予測可能であれば、攻撃者はトークンを推測するだけで別のユーザになりきって悪意ある行為をすることができてしまいます。筆者は、fortune 500 クラスの大企業による OAuth ベースなサービスが一種の単調増加 ID (おそらくデータベースのフィールド?) をそのままトークンに使っているのを見たことがあります。他にも、生成されるトークンがすべて単調関数の出力のようなサービスもありました。よく調べてみると、それは現在時刻に基づく非常に単純なアルゴリズムでした。こうしたシステムでは、まず自分としてログインし、現在のトークン ID を見て、その後の ID を予測すれば、続く任意のユーザになりかわってトークン交換その他の操作にそれを使うことができるでしょう。他のテクニックと組み合わせれば、もっと標的を絞った攻撃も可能です。
このクラスの攻撃は前述のセキュリティ文書で「4.5.3. オンライン推測による新規トークン取得の脅威」や「4.6.3. アクセストークン推測の脅威」に分類されています。この問題には解決策があるとはいえ、現時点でこの間違いを犯しているサービスの膨大さと、この間違いの犯しやすさを考えると、任意の OAuth ベースなサービスが外部レビューでセキュリティを証明してもらえる可能性はあまり高くありません。
本欄の主眼ではありませんが、乱数に対する攻撃の中には、セキュリティを固めた CSPRNG を使っていないと OAuth ベースのサーバを完全に破壊してしまえるものもあります。こうした問題は他のシステムでも非常に困ったものではありますが、動作のすべてが乱数のやりとりの上に成り立っている普通の OAuth 実装では、より一層この問題が際立ちます。こうしたトークンは EVS のサーバ側で生成され、「普通の実装における」OAuth がよくやる使い方ではサーバの信頼性を奪い、関連するトークンすべての予測可能性を高めていきます。最新の攻撃手法を防げるセキュリティ強化 CSPRNG が用意できないのであれば、もっとハードルの低い別のプロトコルに乗り換えたほうが良いでしょう。
一方、一部の OAuth ベースの実装は乱数の必要性をクライアント側に移すような構造になっていることも注目しましょう。色んな意味で、これは問題を別の場所に移しただけではありますが、サーバ側のアタックサーフィスを減らすのは事実です。これによって、少なくとも情報強者な利用者は、信頼できるサービスをセキュアに使うことが可能になります。ただし情報弱者は脆弱なまま放置ですが。今回の例に当てはめてみると、この種のセットアップでは AFCP の開発者が頑張って EVS をセキュアに使えるようにすることと、EVS 自体が陥落する危険を回避することは可能ですが、ABC や XYZ が EVS をセキュアに利用するかどうかは別問題です。
本論に入る前に指摘しておきたいのですが、CSRF 攻撃はその名前に反して、外部サイトからスタートする必要はありません。CSRF 攻撃というのは、自サイトへのリンクをユーザが貼れる、掲示板やメッセージングソフトのようなサイト自体からでもスタート可能なのです。
色々な手法で CSRF に立ち向かうべく設計された数々のテクニックやフレームワークがあります。これらのシステムの多くは、OAuth ベースのものと統合すると使いものにならなくなったり、サイトを攻撃にさらしかねない行為を促すことがあります。
CSRF を防止するひとつの仕組みとして、ブラウザから送られる referer (原文ママ) が外部サイトを指していないことを確認するというものがあります。多くの OAuth 実装はユーザを特定の外部サイトから連れてくるよう要求しますから、この防御策は執行できません。OAuth サーバがリダイレクトする膨大なサードパーティのドメイン、また関係する URL やドメインの完全なリストは明文化されていないうえに折々で変更があるため、EVS のドメインとページ全体をホワイトリストにするのは不可能です。
また、EVS の提供者が寝返って AFCP を攻撃しようとする可能性がないかどうかも検討する必要があります。OAuth の背後にある原則のひとつは OAuth ベースのサービス側が利用者を信用しないことです、しかし同時に、利用者側には CSRF 回避策を見なかったことにしてサービス側を完全に信用することを要求しています。理想の認証システムというものがあるとすれば、一方通行ではなく相互レベルの不信を確立するでしょうに。
転送元と転送先のどちらかだけの、部分的なホワイトリストというのも難しいことがあります。使っている CSRF 対策フレームワークによりますが、機能のオンオフに中間がなく、特定のページや転送元だけを無効にすることができないかもしれないので、その場合 EVS 利用者は CSRF 対策フレームワークを一切使用できなくなります。
OAuth は CSRF 攻撃を防ぐ CSRF トークンを指定するようにと、オプショナルな state パラメータを定義しています。しかしながら、OAuth ベースのサービスは一般的に state の長さや文字種を制限し、要求どおりそのままで返さないことがあるようです。そこで、おかしな互換性問題が起こるため、多くの OAuth ベースサービス利用者はリダイレクトのエンドポイントにおける CSRF 防御をすべてオフにせざるをえない状況に追いこまれています。これは「10.14. コード・インジェクションと入力バリデーション」に分類されています。state パラメータの別の懸念は、EVS 側で state にアクセスのある人はだれでも、リクエストを改竄して、それ以外はまったく有効なままのパラメータを付けて AFCP にブラウザを送り返すことができるという点です。
OAuth ベース API の利用者は、自分のアプリやサービスを登録する際にひとつか複数の URI をカッチリ決めておくよう求められるという制限も課せられています。これは redirect_uri に使えるホワイトリスト URI です。この仕組みにひそむ重大なユーザビリティ問題は後述するのでひとまず措くとして、この制限のせいで開発者は、state パラメータや他の潜在的に危険の伴うアイディアで姑息な工夫をこらし、泥沼に沈んでいくはめになっています。多くの OAuth ベースなサーバは、ホワイトリスト URI をひとつしか許可していなかったり redirect_uri との完全一致のみ有効でパラメータの追加を認めなかったりしています。このせいで開発者たちは CSRF 対策フレームワークの利用をやめたり、あらゆる危険なものを state パラメータに詰めこもうとし始めたり、浅薄なシステムを自前で作り出したりしています。その結果、redirect_uri と state の組み合わせによってはユーザを不適切なページに誘導する危険性が出てきます。これは「10.15. オープン・リダイレクト」に分類されます。
こうしたリダイレクトの問題は、パラメータをしっかり認証していないせいで、それ自体が悪用可能なのですが、これを前述の「OAuth サービスへの偽装」問題と組み合わせるとユーザに大惨事をもたらしかねません。盗んだ client_id と client_secret を使えば、悪いやつらは AFCP とまったく同じ情報で認証できるので、本物の AFCP にも見ぬけないようなリダイレクトを作ることができます。また、悪意あるユーザも、本来自分の持っていない AFCP 内の権限を取得するような state パラメータの利用方法や改竄方法を見つけることができるかもしれません。その際には、おそらく盗んだ認証情報も使うことでしょう。概して、「普通の実装における」OAuth の低品質な設計のせいで、また特定の分野に関する教育レベルが低い外部開発者の直面する問題のせいで、OAuth ベースの利用者に対する攻撃はしばしば、本来あるべき状態よりもずっと容易になっています。
ここで読む意義のあるものとして、さらに「3.5. リダイレクト URI」「3.6. state パラメータ」「4.4.1.8. redirect-uri に対する CSRF 攻撃の脅威」があります。
セキュリティに関して言えば、「普通の実装における」OAuth の仕事ぶりはとてもひどいです。OAuth が目指していると思われるセキュリティ目標の多くは、達成されていません。さらに、OAuth ベースなサービスの中には、種々の攻撃に対して無防備でいることを利用者に公然と要求するものがあります。サービスをセキュアに使える場合も、そのことが知られているとは限らず (サービス側の、トークン生成手法といった重要なセキュリティ詳細が明文化されていないうえにクローズドソースなため)、OAuth は今なお多くの低品質なプログラミング習慣を招いています。OAuth は外部の開発者を守る点でほとんど何もしませんが、そうした開発者が使っている各種フレームワークの方はといえば、こちらも真のセキュリティを提供していなかったり、厳しい自制と注意がなければセキュアに使えなかったりする代物です。
この記事についていえば、個人的に蔓延していると思った問題の一部を取り上げたものに過ぎません。この中には、極度に低質な、一切 OAuth の規格で義務付けられていない慣習を、他所で OAuth に使っているのを見たまま開発者がコピーした結果というものもあります。
OAuth ベースのサービス開発者もその利用者側の開発者も、OAuth ベースのプラットフォームを実装したり利用したりするためには、ここでリンクした文書をすべて読んで理解する必要があります。挙げられている 50 クラスの攻撃も、各クラスの深刻度も完全に把握する必要がありますし、そのうえで「実装の仕様書やセキュリティ・ガイドラインには漏れがないとは限らない」ことにも留意すべきです。この記事は公式文書にない問題をいくつか取り上げているとはいえ、OAuth セキュリティ問題の表面をなでているに過ぎないことも覚えておくべきです。ここに混ざって、公式 OAuth 提案に加えられる変更点はどれもまったく新たなセキュリティ問題を引き起こすものですが、残念ながら変更はよくあることなのです。そこで各々が、乱数生成やセキュリティ調査技術といった OAuth 以外のセキュリティ関連分野も理解していなければ、OAuth でそれなりのレベルのセキュリティを実現することはできません。
真のセキュリティをお探しの方には、よそを探すようお勧めします。最後の章で OAuth の代わりになる選択肢をいくつか取り上げます。
(略: ふつうの実装では、サービス側がプラグを引き抜くようにして自由に利用者を出禁にできる。ビジネス的にもまずいし、悪意あるユーザが API 利用者を騙って出禁になるとアプリへの DoS になる。)
(略: サービス側からは API 利用者という大きすぎる単位でしか見えないので、たとえばビデオカメラのアプリ単位で利用帯域などを制限せざるを得ないが、そうするとそのビデオカメラは、一部ヘビーユーザのせいで他のユーザが締め出される事態になる。OAuth 以外のサービスならふつうユーザ単位。対策としてユーザに開発者アカウントを取得してもらうのも面倒すぎる。ていうか手動プロセスを挟んでたり。)
(略: ふつうの実装は SaaS モデルしか見ていないので、URI を持たない AFCP のような社内ソフトや、ビデオカメラのようなデスクトップアプリには使えない。アプリが cURL 的なもので API を叩こうとしても、JavaScript が必要だと言い張るサービスもある。グローバル企業が地域別にドメインを分けていたら URI が足りない。客ひとりひとりにサブドメインを与える製品だと URI が足りない。足りるとしても追加・更新がメタ API で簡単にできない。ひとつの URI ですべてのリクエストをこなすのはセキュリティ問題もあり、ロードバランス等の必要性も出るし、社内ソフトやデスクトップアプリに余計なウェブサイトへの依存性を加えることになる。httpサーバをlocalhostで立てるとかアホか。)
(略: トークンが定期的に期限切れになるので可用性が下がる。たとえばビデオカメラから複数の動画をアップロードしている途中で切れたらムキーってなる。再認証して途中からできるのもそれはそれで CSRF の温床。AFCP のような場合は期限切れがあってはならないので、パスワード等を預かる認
OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾ anond:20160426145507 anond:20160426150324
http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html
認証 (authentication: 本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。
OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。
前にも OAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事は OAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法で OAuth を利用する大手サービスのほとんどすべてに当てはまるということです。
言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたのお気に入りの OAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。
また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定の OAuth ベースの規格について述べるのではなく、現状で大手が OAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法で OAuth を使っているサービスの利用者であっても、また自ら OAuth ベースのサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。
この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。
この記事は、現在 OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。
この前書きのあとは、まず OAuth のセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティのコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。
その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。
最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されている OAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中には Amazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。
いま普通に使われているかたちにおける OAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM や Oracle を含め、懸念した IETF メンバーが OAuth ベースのサービスに対する攻撃を 50 クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuth ベースのシステムの主要なセキュリティ欠陥は非常に蔓延しています。
筆者は、いくつかの大手企業の役員や開発者に、そこの OAuth ベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえに OAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。
というわけで、OAuth ベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。
ここで言及されている情報やリンクされている情報は今のところ既存のサービスに悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のものを破壊するのではなく改善することを目指してください。この記事は、自社サービスを不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。
この記事では、ふたつのシナリオに注目して、その場面でどのように OAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。
まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理に OAuth ベースの API を提供しています。
ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッション・グループ、はたまたリソース管理であろうと OAuth ベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。
ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザがビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。
ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50 アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCP サービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的に営業部門のメンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。
トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティのアプリやサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:
上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よく OAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつ OAuth の弱点のない選択肢はあるのです。
さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:
このトークンはユーザの認証情報ではありませんから、そしてひとりのユーザとひとつのアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。
この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。
(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)
(略: そうした詐欺を企業自体が後押ししているような風潮もある)
(略: スタンドアロンのアプリなら、ログインを詐称する必要すらない)
この種の攻撃は前述のセキュリティ文書で「4.1.4. 脆弱性を突かれたブラウザや組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?
クライアントアプリがユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザはフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザはインストールするネイティブアプリすべての信頼性に自分で責任を負う。
さらに
クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。
基本的に言って、OAuth のセキュリティガイドラインは、OAuth を利用する開発者がユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。
私の知る主要な OAuth ベースのサービスはほぼすべて、ここに概説した手法で攻撃可能です。
OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアな OAuth モデルに移行してきました。だれかが開発者や管理者に「OAuth はもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な) バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。
OAuth ベースのサービス設計でよく見かける間違いは、ブラウザ用に、パラメータのひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secret パラメータは、基本的に言ってサードパーティのプラットフォーム固有の API ユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secret パラメータは「絶対に」ユーザのブラウザを通して送信すべきではありません (ヒント: パラメータ名の中に secret という言葉が入っているよ)。アプリやサービスのユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secret パラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローを OAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。
「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつのサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザがブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。
EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮に Facebook が GMail 用の OAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebook のユーザは全員 GMail に対して Facebook そのもののふりをすることができてしまうということです。
この問題は、OAuth エンドポイントがユーザのウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API 利用者が、埋め込むべきでないところに secret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uri パラメータは、今回のケースで言うと EVS がユーザをログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザのブラウザで実行されることが期待されているわけです。主要な OAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。
ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういった OAuth ベース API がたくさん見つかります。Google は OAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローがひとつあります:
client_secret: 開発者コンソールで取得したクライアントパスワード (Android, iOS, Chrome アプリとして登録した場合のオプション)
Citrix もこんな間違いをしています:
(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)
Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uri パラメータをリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだ OAuth ベースのサービス開発者でさえも似たような状況で潜在的にヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。
サービスがこの点に関して壊れている指標となるのは、人気のある複数の OAuth ライブラリがこのサービスでうまく動かないときです。そういうサービスは一般的にいって独自の「SDK」を提供しており、サードパーティの開発者が選んだライブラリではこのフランケンシュタイン的な OAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。
この種の攻撃は前述のセキュリティ文書で「4.1.1. クライアントの機密情報を取得する脅威」に分類されています。しかしサーバがウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者は OAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームが OAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年の OAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレードの参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google が OAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくとも Google の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアな OAuth フローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
Woho. Anglers are allowed two salmon per day with a minimum size for Chinook at 24 inches or larger. Salmon seasons from May 2016 to April 30, 2017 are currently being developed.
Last weekend Prowler Charters here in Bandon took clients out bottomfishing. Fishing for rockfish was excellent, but very few ling cod were taken. Strong ocean currents made for a fast drift which makes the conditions tough. Wayne Butler, the captain of the Miss Chief, told me that the depth at the Bandon bar was much deeper than last year. This winter's large rain event naturally flushed out the entrance, which makes bar crossings much safer. Anglers surf fishing out at Bullards Beach State Park reported good pinkfin surf perch action last week. Live sand shrimp or Berkley Gulp sand worms in camo colors have been working best. Perch fishing has been good up on the beaches in Coos Bay. Anglers are also catching pinkfin and striped perch along the Coos Bay south jetty. Boaters are catching rockfish inside the bay near the No. 7 buoy and the train trestle bridge
But while pundits have occasionally contorted themselves into logical pretzels to explain away Ford’s casual racism and misogyny — “He was just drunk!” “He always fights for the little guy!” — none has ever been able to explain away his deliberate and calculated anti-LGBT statements and actions.
Ford never hid anti-LGBT animus. From his earliest days on council, when he opposed funding small grants to diversity and AIDS-prevention campaigns, he made it explicit that his opposition stemmed from disgust with LGBT people, not from a desire to protect the public purse.Superman grany przez Cavilla to ten sam poziom, co w Człowieku ze Stali - moim zdaniem Cavill bardzo się stara, żeby jak najciekawiej zagrać Supermana, ale to i tak jedna z najnudniejszych postaci w całym komiksowym uniwersum, więc niektóre wysiłki pozostają niezauważone. Moim zdaniem to wina postaci i fani muszą się do tego przyzwyczaić.
Trzecią postacią, która ma szanse zaprezentować nam się trochę dłużej na ekranie jest oczywiście “ten zły”, czyli Lex Luthor, który grany przez Eisenberga kojarzył się raczej z o wiele bardziej szalonym Zuckerbergiem z The Social Network, niż komiksowym czarnym charakterem. Być może się czepiam, ale gdyby Luthor się w tym filmie nie przedstawił, nie miałbym pojęcia kim właściwie jest ten rudy gość, który z jakiegoś powodu postanowił być bardzo złośliwy.
he astonishments of the quasi-Biblical clashes and catastrophes in the director Zack Snyder’s “Man of Steel” left me impatient to see his “Batman v Superman: Dawn of Justice.” The earlier film conveyed an awed and even terrified sense of the colossal, a delight in the cinematic ability to realize wrenching destruction and, at the same time, to shiver at the very imagination of it. Snyder turned the superhero universe around on itself, constructing backstories and out-there stories of an apocalyptic force; it was silly but potent, shallow but thrilling. Perhaps Snyder’s new film is the victim of great (or any) expectations, but “Batman v Superman: Dawn of Justice” remains literally Earth-bound, and this fair planet is where Snyder bumps up against the limits of his vision.
Where “Man of Steel” opens big, with an intergalactic origin story that has the heightened tone of pseudo-scripture, the first big set piece in “Batman v Superman” is a catastrophe from home, a virtual replay of the 9/11 attack on the World Trade Center, with Bruce Wayne (Ben Affleck) looking on with horror and hatred as the tower of Wayne Industries collapses (vertically) into a blinding gust of light-gray powder—as a result of the battle waged by Superman (Henry Cavill) against the Kryptonian usurper General Zod.
https://www.justgiving.com/loyola-chicago-vs-wichita-state-live-s-tream
https://www.justgiving.com/loyola-chicago-vs-wichita-state-live-s-tream
https://www.justgiving.com/loyola-chicago-vs-wichita-state-live-s-tream
https://www.justgiving.com/loyola-chicago-vs-wichita-state-live-s-tream
https://www.justgiving.com/loyola-chicago-vs-wichita-state-live-s-tream
https://www.justgiving.com/loyola-chicago-vs-wichita-state-live-s-tream
https://www.justgiving.com/loyola-chicago-vs-wichita-state-live-s-tream
https://www.justgiving.com/baylor-vs-oklahoma-state-live-s-tream
https://www.justgiving.com/baylor-vs-oklahoma-state-live-s-tream
https://www.justgiving.com/baylor-vs-oklahoma-state-live-s-tream
https://www.justgiving.com/baylor-vs-oklahoma-state-live-s-tream
https://www.justgiving.com/baylor-vs-oklahoma-state-live-s-tream
超わかる。
あいつら「いかにイケてる(と俺らが思う)論文タイトルをつけるか」に命掛けてるから。
タイトルに何の情報量も無くて科学論文としての体裁保ってねーだろって論文いっぱいある。
競争が激化しすぎて一発芸の世界みたいになっちゃってるんだよね。とにかく初見でインパクト与えた奴が勝ち、みたいな。
査読システムもなんか大学受験ゲームみたいな感じになってきちゃって、ルールブック丸暗記してきましたか?みたいな評価になってる。
とにかくなんでもいいからstate-of-the-art出せばオッケーだしstate-of-the-artじゃなかったらクソだよね、学問的に意味のある積み上げ?そんなもんはstate-of-the-art出してから言えよカスwwwwwって感じになってる。
そんでサクっと一発インパクト出して(情報系なら)GoogleとかFacebookとかMicrosoftあたりに就職すればOKっていう。
工学系もそうなるべきだと思うけど失敗は論文にならないのほんと歪んでると思うわ。
その結果、どいつもこいつも無理矢理state-of-the-artを捻り出して論文出してくるから、空気を読んで「これは意味のないstate-of-the-art」とか読む側が判定しないといけない。クソすぎる。
結局、工学は科学じゃないんだなってのは凄い感じる。リアルで言うと工学系の大学教員連中がブチ切れで噴き上がるから言えないんだけどね。
お前らそんだけ瞬間沸騰するってことは普段からよっぽど後ろめたく思ってんだろっていう。まあ競争的資金のゲームデザインがクソで、みんなそのクソゲーに過学習しちゃった結果なんだけどね。
