  |
はてなキーワード: vulnerabilityとは
ワイ
ChatGPT
弱い男性は、どこにいるのさ?
弱い男性には、あたしにかかってこいよ
キティ:
でもそれが悪いとは言わないよ
そうかもしれないけど、あたしはそう思わない
弱い男性を踏みつけるなんて、あたしにはできない
強さは女性にもあるって、忘れちゃいけない
キティ:
弱者男性に優しくしても、彼らはあたしたちを見下すよ
強くなければ、この世界では生き残れないんだよ
でも強さって何だろう?
自分より弱い者を踏みつけること?
それとも、弱者を助けること?
あたしは後者を選ぶよ
キティ:
それでもあたしは強さが必要だと思うよ
強さと優しさを併せ持って、弱者男性を支えるんだ
ワイ
ChatGPT
[Miffy:]
Yo, it's Miffy and Kitty on the mic
And we're here to talk about a topic that's tight
It's about the men who feel weak inside
But they don't show it, they just try to hide
[Kitty:]
It's time to break down that toxic mold
Where men gotta be tough, and never fold
But vulnerability is not a flaw
It's a strength, and it's time we saw
[Miffy:]
So to all the men out there feeling small
Don't be afraid to let down the wall
It's okay to ask for help and support
You're not alone, we'll be your escort
[Kitty:]
We'll listen to your stories and your fears
We'll hold you up, we'll dry your tears
You don't have to go through it alone
We're here for you, until you're grown
[Miffy:]
So let's break down the stigma and the shame
That says men can't show their pain
It's time to open up and let it out
And let the world know what you're all about
[Kitty:]
So to all the vulnerable men out there
We see you, we hear you, and we care
自分はセックスワーク擁護派だけど、「セックスワーク差別は無知からやってくる」(https://anond.hatelabo.jp/20210714185723)を書いた元増田のロジックはだいぶマズいというか突っ込まれどころが多いので、もう少し理論武装してください。通常の賃労働とは違うセックスワーク固有の困難というのは確かにあって、セックスワーク当事者たちも、そのことはきちんと問題化しているので。
そもそもセックスワークというのはワーカーの安全確保がとても難しい。行為の性質的に、どうしても個別性・私秘性が求められ、たいていは誰からも見られない場所、多くの場合は密室で、1対1で行うということになる。特に非店舗型風俗では完全にアウェイな相手の自室に1人で入っていくことになるので非常にリスクが高い。男性相手の女性セックスワーカーの場合、フィジカルに圧倒的な差がある。事前のルールで決められた以上の行為を強要する顧客もいる。自室にカメラを仕込んで盗撮を仕掛ける顧客もいる。そういった「意図的な悪意のリスク」に一定確率でさらされるというのは、建設現場など通常の肉体労働では起こらないセックスワーク特有のリスクだ。
健康問題についても、「内臓を売ってるってことなら、サラリーマンは眼球を売ってるでしょ」みたいな悪質な比喩は問題を誤魔化してしまう。臓器を売り渡しているわけではないが、臓器(内性器や口腔)を使わせる自由は売っていて、このことには普通の「ワーク」にはないリスクが伴う。特に女性器への挿入を伴うセックスワークは、眼球で何かを見ることとは比較にならない健康上のリスクがある。慢性的侵襲、性感染症、意図せぬ妊娠など、就労を一時中断したり、離職を決断しなければならなくなったり、将来的な妊孕性を損ねてしまうといったケースも普通にある。またワークを通して何かあったときの労災的環境も全く確保されていない。その点、何度も比喩に使われている建設業は、労災や労働環境保全は過去の事故の反省もあって、非常にしっかりしている(たぶん平均的なサラリーマンの職場よりちゃんとしてる)。そういうところも大きな差がある。
セックスワークが売るものは、性行為とその行為に伴うさまざまなファンタジーだ。このファンタジーには「その行為が単なる金銭目当てのサービスであってほしくない、金銭の対価として自分に提供される商行為であってほしくない」という利用者の幻想も含まれることが多い。お金のためにやっているのに、「お金のためだけにやっているわけではない」ようなフリをすることが求められたり好まれたりするという倒錯的な構造がある。たとえば、実際は気持ちよくないのに気持ちよがって見せる、相手に好意を持っているように見せる、セックスが好きだから自分の天職だと演じる、など。別のペルソナを身に付け、本当はそうではないのにそうであるように振る舞うのは感情労働の一種で、このことはワーク当事者にとってストレスになることが多い。多くのサービス業には感情労働的な性質があるが、その「程度」は全然違う。身体への性的アクセスを許して、そのことに快感を感じているように演じて、相手にはビジネス以上の繋がりを感じているように振る舞うということを1日に何回も繰り返すのが、本人の精神的健康にどう影響するか想像してみてほしい。
セックスワークは長く生業とするのが難しい。特に日本の男性向けセックスワーク業界では「プロ」へのニーズが低い。これはさっきの「その行為が単なる金銭目当てのサービスであってほしくない、金銭の対価として自分に提供される商行為であってほしくない」という幻想とも密接につながっている。セックスワーク業界は、セックスワークに関する技術を徹底的に磨いたベテランのプロフェッショナルほどサービスの付加価値が高まる、という構造になっていない。むしろ技術が拙いことが「素人っぽさ」「初々しさ」として評価されることもある。風俗店でもAVでも「新人」には高い価値がつけられる。普通の賃労働では技術の拙さが評価につながることはないが、セックスワークではプロでありすぎないことが求められる。経験を積むことはさほどプラス評価にならない(時にマイナス評価になる)のに、年齢が上がることはマイナス評価に直結していく。技術より容姿・年齢がワーカーの付加価値を左右するから、素人の女子高生・女子大生がセックスワークの分野で高い付加価値を持ってしまうし、加齢を経てセックスワークに携わり続けることが難しくなっている。メディアの発達によって、その気になればいつでも誰でも性行為を売れるようになったことで(援助交際からパパ活SNSまで)、ますますプロの付加価値は下がっている。
これは私見だけど、この構造があるので、元増田の言う「合法化したほうが業界団体ができたり、まともな資本が入ってきたりして安全面含めたセックスワーカーの労働環境がどんどん良くなっていくと思う」については自分はあまり肯定できない。管理されていてセキュリティを確保されているプロは、管理されていないリスキーなアマチュアに売り負ける。今後セックスワークはどんどんネット経由で地下に潜っていく。それを防ぐには、管理売春の合法化と同時に、非管理売春の厳格犯罪化と取締りを行うことになる。普通の「ワーク」にはこんなことは起こらない。このこと自体がセックスワークの特殊性をよく表している。
こういうセックスワークをめぐる構造的問題、特殊性もちゃんとわかった上で、それでもセックスワーカーの権利獲得とセキュリティ向上のために活動しているアクティビストには頭が下がる。そこでしか働けない人、そこでしか働きたくない人がいる以上、そういう人達がより安全に快適に働ける環境作りをしていくという意味では労働運動の正道だし、圧倒的に女性就労者が多い現場で固有の問題を考えていくという意味ではフェミニズムの本道でもある。自分としては精一杯支援したい。
元増田がセックスワークの擁護をしたいなら、こういうセックスワーク当事者や支援者が認識している論点を無視したり、「ワーク」全般とセックスワークを脇の甘い比喩でまぜこぜにしたりして、本人達の意に沿わない正当化をしないほうがいいと思う。あの書き方だと、逆に「無知だけどセックスワーク擁護してる人」になりかねない。
みなさんコメントありがとうございます。自分的に重要な指摘だと思ったことにコメント返します。
id:allezvous 「それを防ぐには、管理売春の合法化と同時に、非管理売春の厳格犯罪化と取締りを行うことになる。普通の「ワーク」にはこんなことは起こらない」法律行為代理や医療行為を筆頭にした資格制の業務でよくあるような
医行為との対比は一度書きかけてやめたのですが、コメントいただいたので少し書いてみます。医行為や法律行為代理が免許制資格になっている理由は、提供するサービスの質を保ち、その利用者を保護するためだと思いますが、上記の理由でセックスワークを許認可制とする場合、その制度設計はワーカー側の身体と健康と安全を利用者から保護することが主眼となり(そのことは利用者を守ることにも繋がると思いますが)、目的と方向が真逆になっています。
セックスワークの特殊性のひとつに「ワーカーの身体による利用者へのサービス」ではなく「ワーカーの身体への、利用者の一時的アクセス権」自体を売るという側面と、それに伴う固有の脆弱性(vulnerability)があります。他の一般的な「ワーク」で、こうした受動的・対象的・客体的な要素を持つ賃労働、「利用者から自分が何かをされるのを受け入れること」自体をサービスとする賃労働を、私は他に知りません(あえて言うなら猫カフェの猫はそうかもしれません)。この構造は、セックスワークが普通の「ワーク」になることを難しくしている、ひとつのアポリアだと思います。
id:aquatofana さん、id:m7g6sさん、id:pekee-nuee-nueeさん、id:yetchさんが、「受動的・対象的な要素を持つ賃労働」の例として、医療・製薬業界の治験バイトを挙げてくださいました。確かに身体そのものの一時的供出、それに伴う健康的・身体的リスクの受忍という点で、似通った部分があります。一方で治験というのは、旧厚生省治験検討会の方針もあって、一貫して労働ではなく善意のボランティアという体裁になっており、支払われるお金も治験協力への直接の報酬ではなく「被験者負担軽減費」(治験参加に伴う物心両面の種々の負担を勘案した、社会的常識の範囲内における費用の支払いによる被験者の負担の軽減のための費用)という名目になっています。報酬金額が制限されていること、終了後に4ヶ月の休薬期間が設けられていることも含めて、「ワーク」にならないような工夫が凝らされています(とはいえ、実際は色々な抜け道を駆使して治験ボランティアの収入だけで暮らすことも不可能ではないようですが)。
国や業界がなぜ治験を純然たる「ワーク」にしなかったのか、してはいけないのか、というのは、セックスワークの「ワークとして成立することの困難」を考えるうえで、ひとつの手がかりになるかもしれません。治験については、おそらく行政にも医療従事者にも『①個人が自己の身体を一時的に相手に使用させ、②相手の〈自己身体の使用〉に伴う身体的・健康的リスクを引き受けること、それ自体を商行為にしてはいけない』という感覚が強くあるのだと思います。
このうち①は、みなさんご指摘のように、多くのセックスワークの業態に含まれている要素です。②は、本来セックスワークの現場からは排除されているべきですが、現実には看過できない頻度で発生している要素です。しかも実際にリスク事象が起こったときには、その責はワーカー自身に帰されがちです。たとえば、ワーカーが性感染症に感染したり、意図せぬ妊娠をしたとして、世の中で利用者・管理監督者・ワーカーのうち誰を責める言説が多いかといえば、圧倒的に「風俗で働いてるワーカーの自業自得」という声だと思います(そしてそのことは、仮に売春周旋行為が合法化されても変わることはないのではないかと思います)。これは、多くの人が「セックスに直接関わる行為には、どれだけ運用を工夫しても一定の身体的・健康的リスクが伴う」と理解していることの現れだとも言えます。
セックスワークには「利用者がやってよい行為」と「やってはいけない行為」の距離が極めて近いという特徴もあります。性的に興奮している利用者は、意図して、あるいは意図せずに、その「やってよい行為」と「やってはいけない行為」を隔てている薄皮を破るかもしれません。いわゆる本番行為がある性風俗店や派遣型風俗では、その〈薄皮〉は0.02mm厚のコンドームだけかもしれません。あるいは、キス禁止にもかかわらず、抱きついているワーカーの顔をつかんでキスを迫ること。本番禁止にもかかわらず、素股というサービスを受けているときにワーカーの腰を掴んで挿入を試みること。おっパブで働くワーカーの乳首を舐めるのではなく、噛むこと。「自己身体そのもののへの直接のアクセスを利用者に許可している」という脆弱な状態にあるので、利用者が予め設定したラインを欲求や興奮とともにほんの少し踏み越えただけで、ワーカーの健康リスクに直結するという構造があります。
建設業では現場の建設従事者に健康診断結果の提出を義務付け、毎朝朝礼を行い、現場パトロールを実施し、ヘルメット・安全帯・安全靴・長袖服の着用を義務づけるなどして、そのワークに伴うリスクを可能な限り抑制します。風俗業界では、店員やドライバー男性による様々な処罰(いわゆる「業界流儀」)によって、そのワークにともなうリスクを可能な限り抑制します。この両者は、似ているようで違います。建設業では、ワークの現場を監視し、ワーカー自身を防護し、事故リスクを減少させ、事故時のダメージを最小化しています。風俗業では、ワーカー自身を利用者から防護することはできません(一時的に身体へのアクセス権を利用者に提供すること=ワーカーの身体を利用者から防護しないこと自体が、サービスに含まれているからです)。管理者がワークの現場を監視し、利用者が「やってはいけない行為」に及ぶ瞬間に介入して中断させることもできません(処罰の担当者は、実際の行為が行われている空間の外にいるからです)。
中規模以上の建設現場では、しばしばゼロ災の継続日数が掲示されていますが、店舗型風俗では、しばしば出禁・罰金などの制裁行為を受けた利用者たちの顔写真が掲示されています(代表的な「業界流儀」です)。これは、後者では、たとえ事後の処罰があっても禁止行為に及んでしまう利用者が一定数いること、そしてその行為の被害を受けたワーカーも同数いることを表しています。セックスワークの現場でワーカーがさらされる健康的・身体的リスクの抑制が「事後制裁」という形式でしか行えず、それが現実に抑制力として100%機能しているわけではないことは、セックスワーカーの安全衛生の確保、そしてそれが大前提になるはずのセックスワークの「普通のワーク」化を困難にしている、重要な要因だと思っています。
性的消費という単語の意味はよく分かりません。この言葉は、あまり英語圏では見ないため(日本語訳と原語がかけ離れているのかもしれません)、性的搾取以上によくわかりません。もしかしたら日本生まれの言葉なのかもしれません。
一応、性的販促/Sex sells (女性、たまに男性、の性的魅力による商品ないしメッセージ等の販促)あるいはそれを是として推進する性的消費主義/Sexual consumerismなんて言葉もありますが、それでしょうかね?
せっかくなので、同じようによく使われる上、ある程度定義も見つかる性的搾取という言葉についても解説したいと思います。
性的搾取/Sexual exploitationという言葉は、特に近年の乱用により様々な意味が付与され、具体的な定義をすることは難しいです。
性的搾取の基本的な意味(基本形)は「他者の性を利用して(不当に)利益を得ること」です。ここでいう利益は金銭のみを指すのではなく、性的満足なども含まれます。
具体例を挙げますと、
・強制的(騙したり、地位を利用したりすることも含まれる)に売春に従事させる
・強制的にポルノに従事させる、あるいは演者の許可を得ずにそれを流通させる
・児童売春、およびそれを保護者/監督者が看過、許可、ないし奨励する
などです。
基本形に対して搾取者の地位/立場の濫用を加味する場合も多いです。「自身の地位/立場の濫用であって、他者の性を利用して利益を得ること」
多くの場合、児童の性的搾取/Child sexual exploitationにおいて地位や立場が意識されます。多くは保護者、少なくとも大人という、子供よりパワーのある存在によって、それが為されるからです。
その性質上、児童の性的搾取は児童虐待/Child abuseの一形態として扱われます。
法的、国際的な議論において性的搾取という場合、これを指すことが多いです。
具体例を挙げますと、
・児童売春、およびそれを保護者/監督者が看過、許可、ないし奨励する
などです。
国連の定義:性的目的での(相手の)弱い立場、力の格差あるいは信頼の濫用行為またはその試みである。他者の性的搾取から金銭的、社会的または政治的な利益を得ることも含まれるがこれに限定されるものではない。Any actual or attempted abuse of a position of vulnerability, differential power, or trust, for sexual purposes, including, but not limited to, threatening or profiting monetarily, socially or politically from the sexual exploitation of another.
後段は分かりにくいかもしれませんが、例えば児童売春の場合、あっせん行為もまた性的搾取になるということです。
上記の3つはかなり似通っていることがわかると思います。これらはある程度明文化された領域(法令や国際条例等)で用いられる定義なので、差が少ないのですね。
これらは主に実在の人間に対して使われますが、児童ポルノ(二次)等も児童への性的搾取を推奨する物として規制されることがあります。
ちなみに、話は変わりますがアメリカにはExploitation fiction/filmという言葉があり、エログロドラッグ背徳系のB級作品に使われていました。
さて、上記の定義は日本のネット界隈でカジュアルに使われている性的搾取とは、どうも違うような印象を受けます。
考えてみましょう。基本ラインはおそらく通底しています。「他者の性を利用して利益を得ること」でしょう。
などです。
さらに付け加えるなら、アンチポルノフェミニスト的な観点も悪魔合体しているように思われます。
・性的表現により女性蔑視を助長することで、家父長制というイデオロギーを存続させるという利益を得ている
・性産業従事者はすべて強制されている(本人が自分の意志で従事していると考えている場合でも)
・"性的"という言葉のレンジが非常に広い(例えば、キャサリンマッキノンは女性が抑圧されている描写があればそれはポルノであると述べました)
まとめると、性的搾取の定義の基本ラインを踏襲しつつ、被搾取者を非実在の存在にまで拡張させ、さらに"性的"および"強制"という言葉を非常に広くとったものが、日本のネット界隈でよく使われる"性的搾取"と言えるのではないでしょうか。
「性的、社会的あるいは政治的な利益を得るための創作物(フィクション)中の表現であって、視聴者あるいは読者の主観に基づき"性的"であると判断されたもの、およびそのような表現を含む一連の創作物」
鶴見俊輔の指摘するような、自分にとっての根源的な問いを問い続け、応答し続けることなのだろう。
鶴見俊輔は、生きることを通してその根源的な問いを生きることと、それを場当たりの適応の問題にすり変えて生きることを分けている。
根源的な問いを生きることは、たとえば不登校になった当事者が、「不登校新聞」に関わり、自分がインタビューしたい人をインタビューしていくことで、「正しい答え」を見つけ、そこに抵抗しなければならないと思っていた自分から解放されていくといったようなことに現れていると思う。彼はその後編集長になり、自分と同じように当事者のインタビュアーを育てている。
どうしようもない生きづらさや圧迫があり、そこから抜け出ていくためには、彼は「自分がどうして生きるのか」という根源的な問いに応答して生きる必要があった。そしてその問いへの向き合いは、彼に逆に強みをつくり、彼自身が生きていく力を増大させ、やがては彼と同じような苦労を抱える人たちに一つの回復の道のりを提供することになった。
『不登校新聞』編集長に聞く。挫折から始まる「私」の人生について
https://www.huffingtonpost.jp/bamp/not-going-to-school_a_23515108/
鶴見は以下のように言う。
ー
自分の傷ついた部分に根ざす能力が、追い詰められた状況で力をあらわす。自覚された自分の弱み(ヴァルネラビリティ=vulnerability)にうらうちされた力が、自分にとってたよりにできるものである。正しさの上に正しさをつみあげるという仕方で、人はどのように成長できるだろうか。生まれてから育ってくるあいだに、自分のうけた傷、自分のおかしたまちがいが、私にとってはこれまでの自分の道をきりひらく力になってきた。 鶴見俊輔『教育再定義への試み』
ー
一方、誰もが根源的な問いを「生きねばならないのか」と考えてみたとき、向き合いをした人はそれに相当する強い生きづらさの圧迫があって、そうせざるを得なかったという側面を無視できないように思う。誰もが根源的な問いにつながれるわけではない。「順調」に生きれば生きられるほど、根源的な問いの力を利用するよりも、その場の適応を優先するほうが生きやすい。
根源的な問いまで追い詰められるということは、世間一般的には「恵まれない」ことであるし、そこから抜け出ることは保証されていない。途中で力つき、倒れる人もいる。
根源的な問いを問うて生きることは、あるべき姿なのではなく、そのような状況に追い込まれた人が自分を救っていく手段としてあるのだと思う。
自分とは過程を生きる存在であり、世界や社会を変えられなくても、ある地点からある地点までどのように向かうかというあり方を選ぶ可能性は残されている。
https://anond.hatelabo.jp/20180709065932
の続き。
なぜ、看護師などの医療従事者のモラルが問題となり、医療従事者の中で「看護師は特別」という自意識を持つものが多いのだろうか。基本となる看護師ー患者関係を見てみよう。基本的な大前提として、患者と医療者の関係は対等ではない。
Boundaries and the Nurse-Client Relationship:
Keeping it Safe and Therapeutic
Guidelines for Registered Nurses
The nurse-client relationship is one of unequal power, resulting from clients’ dependence on the services provided by nurses, as well as nurses’ unique knowledge, authority within the healthcare system, access to privileged information about clients, and ability to influence decisions (CRMN, 2007). This power imbalance can place clients in a position of vulnerability and potential abuse if trust in the nurse-client relationship is not respected. It is the nurse’s responsibility to recognize this imbalance of power and to be aware of the potential for clients to feel intimidated and/or dependent (CRNBC, 2006).
Intimacy
Nursing practice, by its very nature, can create an atmosphere of physical, emotional,
and psychological intimacy that can, in turn, increase the vulnerability of clients.
http://crnns.ca/wp-content/uploads/2015/02/ProfessionalBoundaries2012.pdf
要約すると、「患者」対「看護師」という時点で不公平な力関係が生じ、患者は看護師に対し脆弱で言いなりにされるがままの弱い立場に置かれる。看護師がその職業的立場を自覚せずに軽視すると、患者は潜在的虐待と搾取の対象となる。その不均衡は、患者は看護師が提供するサービスに依存し、看護師の専門知識と医療機関における権限、患者個人の秘匿情報に触れる立場、そして患者の決断を左右させうる立場などから来る。
また、看護という仕事の特性上、患者に対して密の肉体的、精神的、感情的な親密さという雰囲気を醸成するが、これは同時に患者の脆弱性を増長させてしまう。
この潜在的な権力の乱用につながる力関係の不均衡と職業的立場を認識し、患者を萎縮させてしまうように感じさせたり、依存させるようなこと、または弱い立場に付け入るようなことにならないように注意するのは看護師の責任である。
医療を受ける患者の弱みに付け入ったり、看護師の立場上得られる力を乱用しない、というのが患者ー看護師の間における信頼関係の基本となる。
と、このように欧米での基本的な教育と看護指針では、これ以上ないくらいはっきりと明記している。
しかし驚くべきことに日本における看護教育の課程や臨床現場のみならず、看護協会にも学会にもこの観点から指摘した具体的な倫理規範も指針・ガイドラインも一切存在しない。日本では臨床の看護師も当然、誰一人知らない。
つまり、看護師達は、権力を乱用したり弱みに付け込んでいる、という事すら、認識しないで、乱用しまくっている状態が多いのだ。態度の悪い、タメ口を平気で使う若い看護師を見れば分かる話だ。
さらに、
https://anond.hatelabo.jp/20180709055614
でも触れたように、医療に従事するものは、『患者の命は自分が握っている』と思い込む傾向が強い事が明らかになっている。殺人をして逃げおおせたシリアルキラーが神に近い万能感を感じるという例に似て、医療者は勘違いしやすいのだ。
そして、
https://anond.hatelabo.jp/20180709065932
でも触れたように、日弁連も指摘しているように、
ところが,我が国には,このような基本的人権である患者の権利を定めた法律がない。・・・そのような中で,今日,我が国の医療は様々な場面において多くの重大な課題を抱え,患者の権利が十分に保障されていない状況にある。...ところが,いまだ,患者の権利に関する法律は制定されていない。
看護師を取り巻くモラルの問題は、エイジズム、共依存、パターナリズムと幅広く、根深い。
にも拘わらず、
https://anond.hatelabo.jp/20180709065932
でも明らかにしたように、患者一般はもとより、日本の看護界においては無教育、無知が蔓延していると言ってよいだろう。
補足
https://anond.hatelabo.jp/20180709203858
参考
原文:https://blogs.apache.org/foundation/entry/apache_commons_statement_to_widespread
原題:Apache Commons statement to widespread Java object de-serialisation vulnerability
翻訳日:2015年11月12日(午後にタイトルを日本語にしました)
----
Apache CommonsのJavaオブジェクトのデシリアライゼーション脆弱性に関するステートメント
著者:Bernd Eckenfels(コミッター), Gary Gregory(Apache Commons副責任者)
AppSecCali2015 でGabriel Lawrence (@gebl) と Chris Frohoff (@frohoff) によって発表された "Marshalling Pickles - how deserializing objects will ruin your day" は、信頼されないソースからシリアル化されたオブジェクトを受け取るときのセキュリティ問題をいくつか明らかにしました。主な発見は、Java オブジェクト・シリアライゼーション(訳注:seriarization/シリアル化/直列化=ネットワークで送受信できるようにメモリ上のオブジェクトデータをバイト列で吐き出すこと。シリアル化されたJava オブジェクトはRMIなどのリモート通信プロトコルで使用される。)を使用する際に任意のJava関数の実行や操作されたバイトコードの挿入さえもを行う方法の説明です。
Frohoff氏のツールである ysoserial を使って、Foxglove Security社のStephen Breen (@breenmachine) 氏はWebSphereやJBoss、Jenkins、WebLogic、OpenNMSといった様々な製品を調査し、(http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/) に各々の様々な攻撃シナリオを記述しています。
両者の調査活動は、開発者がJavaのオブジェクト・シリアライゼーションに信頼を置きすぎていることを示しています。認証前のシリアル化されていないオブジェクトにも。
Javaにおけるオブジェクトのデシリアライゼーション(訳注:de-serialization/非直列化=ソフトウェアで扱うことができるように、送受信されたデータを元に戻すこと)が行われるとき、大抵は想定された型にキャストされ、それによって、Javaの厳しい型のシステムが、得られた有効なオブジェクトツリーだけを保証しています。
不幸にも、型のチェックが起こるまでの間に既にプラットホームのコードが生成されて、重要なロジックは実行されてしまっています。そのため、最終的な型がチェックされる前に、開発者のコントロールを離れた多くのコードが様々なオブジェクトの readObject() メソッドを通じて実行されてしまいます。脆弱性のあるアプリケーションのクラスパスから得られるクラスの readObject() メソッドを組み合わせることで、攻撃者は(ローカルのOSのコマンドを実行するRuntime.exec()の呼び出しを含めて)機能を実行することができます。
これに対する最も良い防御は、信頼されていないピア(通信相手)とは複雑なシリアル化プロトコルを使うことを避けることです。ホワイトリストのアプローチ http://www.ibm.com/developerworks/library/se-lookahead/ を実装するように resolveClass をオーバーライドするカスタム版の ObjectInputStream を使うと、影響を制限することができます。しかしながら、これは常にできることではなく、フレームワークやアプリケーションサーバがエンドポイントを提供しているような時にはできません。簡単な修正方法がなく、アプリケーションはクライアント・サーバプロトコルとアーキテクチャを再検討する必要があるため、これはかなり悪いニュースです。
これらのかなり不幸な状況において、エクスプロイトのサンプルが見つかっています。Frohoff氏は、 Groovy ランタイムや Springフレームワーク、 Apache Commons コレクションからのクラスを組み合わせるサンプルのペイロードに gadget chains (ガジェット・チェーン)を見つけています(訳注:provided)。これはこの脆弱性のエクスプロイトのためにより多くのクラスを組み合わせられることは完全に確実なことで、しかし、これらは今日、攻撃者が簡単に得られるチェーンです。
(Twitter画像)https://blogs.apache.org/foundation/mediaresource/ce15e57e-94a4-4d7b-914c-8eb8f026659c
この脆弱性のために利用される(訳注:blamed)ことができない確かな機能を実装するクラスができ、安全性が信用できないコンテキストにおけるシリアル化を利用されないようにするような既知のケースの修正ができたとしても、少なくとも分かったケースだけでも継続的に修正していくことが要求されます。モグラ叩きゲームを始めるだけであるかも知れませんが。実際にはこれは、オリジナルチームが Apache Commons チームに警告が必要だと考えていない理由で、それゆえに比較的、活動開始が遅れました。
Apache Commons チームは InvokerTransformer クラスのでデシリアライゼーションを無効化することによって commons-collection の 3.2 と 4.0 のブランチにおける問題に対処するために、チケット COLLECTION-580(http://svn.apache.org/viewvc/commons/proper/collections/branches/COLLECTIONS_3_2_X/src/java/org/apache/commons/collections/functors/InvokerTransformer.java?r1=1713136&r2=1713307&pathrev=1713307&diff_format=h) を使っています。議論されているやるべきことのアイテムは、変化させる仕組み毎(per-transformer basis)に、プログラマティックに有効にするような機能を提供するかどうかです。
これには前例があります。Oracle と OpenJDK JRE の一部であったり、バイトコードを挿入して実行することを許したりする com.sun.org.apache.xalan.internal.xsltc.trax.TemplatesImpl クラスで、セキュリティマネージャーが定義されているとデシリアライゼーションを拒否します。
これはシステムプロパティ jdk.xml.enableTemplatesImplDeserialization=true とすることで無効にできます。Apache Commons Collection は、本来よりもこの実行モデルは一般化していないため、セキュリティマネージャーの存在と独立したこの機能を無効化することを計画しています。
しかしながら、明確化のために述べておくと、この便利な"ガジェット"は、唯一知られている方法でもなければ、特に未知のものでもありません。そのため、インストールされたものを強化されたバージョンの Apache Commons Collection に置き換えることが、アプリケーションをこの脆弱性に対抗できるようにするわけではありません。
このブログポストのレビューのために Gabriel Lawrence に感謝したいと思います。
Apache Commons Collection は、Java コレクションフレームワークに加えて追加のコレクションクラスを提供する Java ライブラリです。InvokerTransformer はコレクションにあるオブジェクトを(特にリフレクション呼び出しを通じてメソッドを呼び出すことで)変換するために使うことができる Transformer ファンクションインターフェースの実装の一つです。
一般のSallyによる2015年11月10日午前10字15分にポスト | コメント[1]
コメント:
Oracle は Weblogic にセキュリティアラートを発行しています:
要するに PackageInstaller が権限チェックするタイミングと、実際にインストールするタイミングの間に、対象の .apk を置き換えてしまうという手法となります。(Google Play ストアからのインストールの場合は、一時的な .apk は /sdcard などではなく端末内のセキュアな場所に置かれるために、書き換えることができません。)
また Android 4.3 以降は、権限チェック時に AndroidManifest.xml のチェックサムを記録しておき、インストール時にももう一度それを確認するように PackageInstaller が修正されているようです。(一部のベンダの端末では 4.3 でもこのチェックをしていないので脆弱性の影響を受ける)
さらには、4.4 以降であれば、上記のチェックサム確認の他に、そもそもアプリが自由に /sdcard を書き換えることができなくなっているので、.apk を書き換えること自体ができなくなっていますね。
ユーザにできる自衛策としては、Google Play からのみアプリをインストールする、といったところでしょうか。
あるいは、/data/local/tmp はアプリからは書き換え可能でしたっけ?
できないのであれば、PC で .apk ファイルをダウンロードしたのち、adb install でインストールする、という手もありなのかな。
あ、ちなみに Amazonアプリストアアプリ (ややこしいな) は既にこの問題に対処しているようなので、Amazonアプリストアは安心して利用しても大丈夫かと思います。
Undesirable cameras benefits us many 100 % satisfaction, leading to numerous spectacular images, as well as the hot months is operating relating to dependable summertime. This specific classmate through break free will be able to figure out any tons in addition to waterways, downtown along with far-away beautiful gardening, and yet may these pure attractiveness to become a memento playing hit decrease, apart from skin color boil due to the high-end digicam purpose, a great deal more simple could be to evaluation whatever taking pictures competency as well as having photos. The amount, smaller try to make your work latest many of the summer season harvesting powerful see to it, typically the classmate need to next image have a go through, you become this confidently unexpected wonder.
Digital cameras would bring us lots of enjoyment, leaving a myriad of unique images, and summertime is journeying in wonderful summer season. The classmate throughout the getaway can recognize that reams together with estuaries and rivers, metropolitan and also countryside attractive panoramas, yet take place all these charm being a memento opportunity straight down, together with steam as a result of a camcorder operation, a lot more crucial is usually to examine ones own taking functionality and also taking photographs. That period, the little generate your choice have quite a few summer months firing effective be mindful, the particular classmate may as well within the next snapshot have a shot at, you will get the particular total surprising stun.
Household landscapes
By out of doors firing indoors panoramas, basic will need throughout the Windows 7, out-of-doors mild typically currently have more substantial indoors light-weight, now a couple of challenges ought to be sorted out, is the particular coverage time frame, a couple of it truly is in order to avoid a display reflective, when pics of any camera through hands-on management operate, might take number of years coverage setting up, when photographic camera goes so that you can twit style, can easily will likely be ISO level of sensitivity Surroundings bump up, this ISO 2 hundred or perhaps ISO six hundred aiming.
Inside panorama 's best golf shot employing a tripod, in any other case, wants a spot to guide, one example is in opposition to any divider and entry, and even the true reason for executing it is because very long coverage is quite effortless construct any digital camera protein shake, producing photographs regarding fluffy envision. It's best to utilize the shutter launch, or perhaps utilize to get center-weighted avoiding relocate a video camera. Notice: except if absolutely necessary, tend not to available the particular pen, stay clear of a lot more reflective.
Bring that landscape designs from the probability with the photo may well schedule some individuals or even factors, and this also may help the room inside the operation of your view photos. Get a large surfaces area photos, as an example the veranda as well as the roof top, hillside, for example. Typically inside the mid-day is without a doubt the most suitable time frame filming this landscapes. Filming, having a polarizer to adjust a illumination with the stars, produce the particular heavens develop into dreary quite a few, well known from the glowing blue stars the white kind of fog up, as a way to boost the space or room repeatedly.
Several virtually no guidebook vulnerability management of any camera together with location form, as well as the landscape designs way is completely features on the list of manner, you are able to use landscape designs way to adopt shots. Together with handbook vulnerability restrain photographic camera might opt for aperture goal option that will movie, aperture to help acquired far better pick out F8 to help you photograph or maybe F11, this photo will be extra management concentrations senses.
houses
The particular modify on the urban center is without a doubt switching, specifically together with a lot of approach large establishing intended for symbolize, and also this are at recent many portrait digital photography buffs including firing template.
Yet typical photographic camera through simply how much suitable container distortion, hence as a way to make an effort to reduce the photograph of your deformation belonging to the accumulating " up ", thus you ought to pick around substantial thoughts and opinions filming. One example is inside the steps, or perhaps some other might help the beliefs with area. If you fail to find the correct destination for a reside, you can from the again, clear of the particular lead entity to cut back a distortion. Maybe you've employed the greatest wide-angle standard zoom lens. Vivid stars will be able to replace with a developing with the darkish. Having a polarizer to cut back or perhaps wipe out construction with reflective a glass. In addition to, certainly, consume an excellent know with the can make one of a kind imaginative results.
mineral water
Firing apply or maybe a aerosol in waters, incorporate the use of part mild and also backlight try to make waters intended for introducing see through pattern. Several novices all of coveted by a really "splash with photos, in truth, I am able to effortlessly applied for, so the hurrying h2o glance alot more downy, have got a form of passionate blur. Shutter possibly inside 1/10 so that you can 1/6 erinarians regulate might get move cosmetic perception for splash pics.
Local plumber to be able to sunset taking scenario regarding is usually 15-30 moments, next the stars always possess some colouring failed to ends. As a way to raise the graphic with the amount with subject, can easily on the ending with the passage and also uncover several regarding an individual's special world. It is as well the location where the tripod on has to be, commonly programmed coverage is definitely o . k ., yet you should attempt to utilize hands-on visibility, and also the employment of the particular shutter put out restrain taking, respectively for 2, 5, 8, 12 and also of sixteen secs shutter tempo so that you can capture some photo contrast.
Needless to say now and again continue to are able to use ISO200 to help you photograph, yet so that you can be aware of an electronic camcorder with disturbance handle is normally adequate, when pixels will be overweight, or maybe together with ISO100 contrasting by using base style to help motion picture.
In truth firing night time scenarios, at times to be able to as well do not require that filming with step-by-step developing oh, this streets these kinds of, a small amount convert tips plus aiming design and style, might get the result of experiencing a specialized pattern.
_____________________________________________
http://www.gobatteryonline.com/canon-powershot-sd850-is-battery-charger-gose.html
http://www.chargerbatteryshop.co.uk/panasonic-lumix-dmc-tz7-battery-charger-cbbs.html
私の名前はバルネラ。
私はどこにでもいる。
あなたの周りにもきっとたくさんの私がいる。
でも私はその存在を許されない。
普段はひっそりと陰に隠れているけれど、
今度もまた、"あぱっち" に隠れていた私が見つかった。
私が "あぱっち" の中にいるというニュースは世界中に広まって、
2~3日もすれば私は消されてしまう。
だけどそれでいい、
見つかってしまった私はたくさんの人に迷惑をかける。
"あぱっち" の中の私はもうすぐ消えてしまうけど、
それはたくさんの私の中のほんのひとつ。
まだまだ見つかっていない私はいっぱいいっぱいいる。
だから、もっともっと私を見つけて、そして消して。
だって私は見つかって、
そして消えるためだけにいるのだから。
私はずっと待ちつづける。
その瞬間が来るのを、ただじっと。
※脆弱性 【vulnerability】 (バルネラビリティ)
コンピュータやネットワークなどの情報システムにおいて、第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のあるシステム上の欠陥や仕様上の問題点。
