yasuokaの日記: 「Orarioガラミで取得した単位は取り消す場合がある」 15
Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。
大学が提供する情報が散在していることによる情報の取りこぼしや、スマホ最適化が行われていないことによる不便さを解消すべく、誰もが使いやすいシームレスな大学情報と連動した仕組みを作ろうと弊社メンバーが大学在学中に開発したアプリが「Orario」です。
ふざけるな。京都大学には全学生共通ポータルがあるだろう。あれを見て「情報の取りこぼしや、スマホ最適化が行われていない」などと主張するのは、いったい全体どういう料簡なんだ? それともOrarioは、京都大学のKUMOIやMyKULINEもサポートできるのか?
Orarioアプリでは「Webオートメーション(Webスクレイピング)」と呼ばれる技術を用いています。この技術により、利用者様のスマートフォン(にインストールされているOrarioアプリ)に学生アカウント(大学ID・パスワード)を入力すると、自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得し、Orarioアプリの時間割テーブルに当該利用者様の時間割を生成・表示することができるという仕組みとなっています。
全く信用できない。少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。
弊社アプリ「Orario」について、大学関係者様の適切なご理解を賜れますよう、また、利用者様により一層安全にご利用いただけますよう努力してまいりますので、何卒よろしくお願い致します。
京都大学の「関係者様」の一人として、私個人はOrarioの使用を禁止する。少なくとも私の講義に関しては禁止する。今後「Orarioガラミで取得した単位は取り消す場合がある」ので、受講生はそのつもりで。
気になる点 (スコア:2)
こんにちは
> OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。
アクセスパターンの解析結果について、興味があるので、
嘘とまで断言されるなら、簡単にでも構わないので、
ぜひまとめていただきたいです
不正アプリだと主張する説得力も出ると思います。
アクセスパターンの解析結果 (スコア:2)
さて、どうしましょ。「まとめる」のと「公開する」のは、また別の話なのです。もし「公開する」と、攻撃側(この場合はOrario)は、その解析にひっかからないようなパターンに移行しちゃうので、「説得力」ごときのためにそういう危ない橋を渡るべきではない、というのが、セキュリティ屋としての私(安岡孝一)個人の判断です。どうしても知りたいなら、また、どこかでお会いした時にでも。
なぜポータルを使わないか (スコア:2)
ポータルを使わずになぜアプリを使うのかは分析してもいいかもしれない
Re:なぜポータルを使わないか (スコア:2)
あくまで私(安岡孝一)の個人的な分析ですけど。京都大学のポータルは、基本的に学認 [gakunin.jp]を使ってます。一方、Orarioは学認を使ってません。この点を考えると、Orarioは学認技術運用基準を満たしていないか、そもそも学認の存在すら知らないか、そのあたりなのだろうと、個人的には分析してます。
不正アクセスの定義 (スコア:1)
最近はこの手のスクレイピングサービスが流行ってますね。
冒頭で「Orarioによる不正アクセス」と書かれていますが、
なにを根拠に不正アクセスと仰っているか興味があります。
また、別の方も質問をされていますが、このアクセスパターンが気になります。
上記で「不正」とされている根拠にもよるとは思いますが、
少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。
私もこの手のWebスクレイピングの動向に興味がありますので、
専門家の方のご意見を聞きたいです。
以上、宜しくお願いいたします。
京都大学のセキュリティポリシー (スコア:2)
根拠となるのは、もちろん京都大学のセキュリティポリシー [kyoto-u.ac.jp]です。そこそこ量があるので、しっかり読んでみて下さい。
サーバーログを読むのは、解析手法の一部に過ぎません。
Re:京都大学のセキュリティポリシー (スコア:1)
これはすごい量ですね・・・。
Orarioが「不正である」「嘘をついている」とまで書かれてますので、
せめて1つ違反しているポイントを教えて頂けませんか?
また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?
とありますが、書かれている文章の流れでは、これを根拠に「嘘をついている」と書いているようにしか受け取ることができません。仮にこれ以外にあったとしても重要な根拠のひとつであると見えます。
「嘘をついている」とまで書かれているわけですから、簡単でも構いませんのでその根拠をお示し頂ければと思います。
どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
あのですね、annonynrmさん。私(安岡孝一)は今朝、BlackWingCatさんに対して
と申し上げたところなんですよ。annonynrmさんとBlackWingCatさんが同一人物かどうかは、現時点の私には不明ですけど、少なくともこのコメント欄では同じ返事をするしかありません。どうしても知りたいなら、また、どこかでお会いした時にでも。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:1)
BlackWingCatさんへのコメントは拝見しました。ただ、私は「まとめてくれ」とまでは申し上げておりません。
あくまでも不特定多数の方が目にするインターネット上で、且つ社会的地位があり発言力のある方が本名で「不正である」「嘘である」とコメントされているわけですから、その根拠を不特定多数の方が閲覧できる場所で示す必要があると思うのです。
それができないという事であれば、単にOrarioに対する営業妨害としてしか受け取ることができません。
よって、元記事の発言を撤回するコメントを書いて頂くか、もしくは「またどこかで」ではなく、お忙しいとは思いますが具体的にお会いするスケジュールを決めてお話しを聞きたいと思います。
以上、宜しくお願いいたします。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
なぜ、私(安岡孝一)が撤回しなければならないのか、この文脈ではサッパリ理解できません。どういう意味ですか?
Re: (スコア:0)
少々わかり難かったかもしれませんが、
https://srad.jp/~yasuoka/journal/611343 [srad.jp]
のことを「元記事」と申し上げたつもりでした。
この元記事においてセキュリティの専門家である安岡先生が、Orarioのことを「不正である」「嘘をついている」と書かれており、Orarioは根拠なき中傷により営業的損害を受ける可能性があります。
よって、
1.相応の根拠を不特定多数が閲覧できる場所に書く
2.元記事を撤回する
3.私と直接会って説明をして頂く(お伺いした内容は機密情報に触れない範囲で公開させて頂きます)
どれも選択できないということでしたら、然るべき対処を行わせていただきます。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
いや、それでもやっぱり理解できないのですが。
仮に、本件がOrarioに対する営業妨害だと無理矢理に仮定したとしても、どうしてそれがannonynrmさんに
会うという話につながるのか、私(安岡孝一)には理解できないんですよ。どういう意味ですか?
Re: (スコア:0)
面白いご返信ですね・・・。
https://srad.jp/~yasuoka/journal/611343 [srad.jp]
に
と安岡先生ご自身が書かれています。
ここまで話に一貫性のない方が教授をやってらっしゃるとは思えませんので意図的にはぐらかしていると理解せざるを得ないのですが・・・。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
ああ、そこの論理性は、やっぱり私(安岡孝一)には、わからないままなのですね。では、先ほども書いた通り、どうしても知りたいなら、また、どこかでお会いした時にでも。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:1)
承知しました。それでは、大学へのクレームを含め然るべき対応を取らせて頂きます。
ご多用中にも関わらず、お時間を取らせてしまい申し訳ありませんでした。