yasuokaの日記: 「Orarioガラミで取得した単位は取り消す場合がある」 19
Orarioの芳本大樹が書いた『時間割アプリの「Orario」の特性と安全性について』(2017年4月17日)という文書を読んだ。このOrarioは、京都大学のKULASISにずっと不正アクセスを繰り返していて、正直なところ私(安岡孝一)としてはアタマに来ていたのだ。
大学が提供する情報が散在していることによる情報の取りこぼしや、スマホ最適化が行われていないことによる不便さを解消すべく、誰もが使いやすいシームレスな大学情報と連動した仕組みを作ろうと弊社メンバーが大学在学中に開発したアプリが「Orario」です。
ふざけるな。京都大学には全学生共通ポータルがあるだろう。あれを見て「情報の取りこぼしや、スマホ最適化が行われていない」などと主張するのは、いったい全体どういう料簡なんだ? それともOrarioは、京都大学のKUMOIやMyKULINEもサポートできるのか?
Orarioアプリでは「Webオートメーション(Webスクレイピング)」と呼ばれる技術を用いています。この技術により、利用者様のスマートフォン(にインストールされているOrarioアプリ)に学生アカウント(大学ID・パスワード)を入力すると、自動で当該利用者様の教務用ページから時間割の生成に必要な情報のみを取得し、Orarioアプリの時間割テーブルに当該利用者様の時間割を生成・表示することができるという仕組みとなっています。
全く信用できない。少なくとも先月以前、OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。
弊社アプリ「Orario」について、大学関係者様の適切なご理解を賜れますよう、また、利用者様により一層安全にご利用いただけますよう努力してまいりますので、何卒よろしくお願い致します。
京都大学の「関係者様」の一人として、私個人はOrarioの使用を禁止する。少なくとも私の講義に関しては禁止する。今後「Orarioガラミで取得した単位は取り消す場合がある」ので、受講生はそのつもりで。
気になる点 (スコア:2)
こんにちは
> OrarioからKULASISへのアクセスパターンを解析した限りでは、そんな風なアクセスパターンには見えなかった。嘘を書くのもいい加減にしろ。
アクセスパターンの解析結果について、興味があるので、
嘘とまで断言されるなら、簡単にでも構わないので、
ぜひまとめていただきたいです
不正アプリだと主張する説得力も出ると思います。
アクセスパターンの解析結果 (スコア:3)
さて、どうしましょ。「まとめる」のと「公開する」のは、また別の話なのです。もし「公開する」と、攻撃側(この場合はOrario)は、その解析にひっかからないようなパターンに移行しちゃうので、「説得力」ごときのためにそういう危ない橋を渡るべきではない、というのが、セキュリティ屋としての私(安岡孝一)個人の判断です。どうしても知りたいなら、また、どこかでお会いした時にでも。
なぜポータルを使わないか (スコア:2)
ポータルを使わずになぜアプリを使うのかは分析してもいいかもしれない
Re:なぜポータルを使わないか (スコア:3)
あくまで私(安岡孝一)の個人的な分析ですけど。京都大学のポータルは、基本的に学認 [gakunin.jp]を使ってます。一方、Orarioは学認を使ってません。この点を考えると、Orarioは学認技術運用基準を満たしていないか、そもそも学認の存在すら知らないか、そのあたりなのだろうと、個人的には分析してます。
建設的な解決法はあるのでしょうか? (スコア:2)
もちろん、某社とは別の観点で。
時間割・履修登録というだけなら個別に開講情報を入手して
利用者からは情報とらずに選択肢に提示すればいいのか
個人認証に学認を使うのではなく、SPとしてIdPの信頼関係のうちで
開講情報とか利用者がログインして得られるお知らせ情報をpushすればいいのかな
見たような聞いたような・・・
itinoe
不正アクセスの定義 (スコア:1)
最近はこの手のスクレイピングサービスが流行ってますね。
冒頭で「Orarioによる不正アクセス」と書かれていますが、
なにを根拠に不正アクセスと仰っているか興味があります。
また、別の方も質問をされていますが、このアクセスパターンが気になります。
上記で「不正」とされている根拠にもよるとは思いますが、
少なくともアプリ側でID/パスワードを保持しているか否かはWebサーバー側ではわかりようがないはずです。
私もこの手のWebスクレイピングの動向に興味がありますので、
専門家の方のご意見を聞きたいです。
以上、宜しくお願いいたします。
京都大学のセキュリティポリシー (スコア:2)
根拠となるのは、もちろん京都大学のセキュリティポリシー [kyoto-u.ac.jp]です。そこそこ量があるので、しっかり読んでみて下さい。
サーバーログを読むのは、解析手法の一部に過ぎません。
Re:京都大学のセキュリティポリシー (スコア:1)
これはすごい量ですね・・・。
Orarioが「不正である」「嘘をついている」とまで書かれてますので、
せめて1つ違反しているポイントを教えて頂けませんか?
また、ChromeやSafari(及びその他マイナーなWebブラウザ)なども御校のWebサーバーよりコンテンツデータを取得し、HTMLを構文解析し画面表示を行っていますが、これらはセキュリティポリシーには適合しているのでしょうか?
とありますが、書かれている文章の流れでは、これを根拠に「嘘をついている」と書いているようにしか受け取ることができません。仮にこれ以外にあったとしても重要な根拠のひとつであると見えます。
「嘘をついている」とまで書かれているわけですから、簡単でも構いませんのでその根拠をお示し頂ければと思います。
どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
あのですね、annonynrmさん。私(安岡孝一)は今朝、BlackWingCatさんに対して
と申し上げたところなんですよ。annonynrmさんとBlackWingCatさんが同一人物かどうかは、現時点の私には不明ですけど、少なくともこのコメント欄では同じ返事をするしかありません。どうしても知りたいなら、また、どこかでお会いした時にでも。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:1, 荒らし)
BlackWingCatさんへのコメントは拝見しました。ただ、私は「まとめてくれ」とまでは申し上げておりません。
あくまでも不特定多数の方が目にするインターネット上で、且つ社会的地位があり発言力のある方が本名で「不正である」「嘘である」とコメントされているわけですから、その根拠を不特定多数の方が閲覧できる場所で示す必要があると思うのです。
それができないという事であれば、単にOrarioに対する営業妨害としてしか受け取ることができません。
よって、元記事の発言を撤回するコメントを書いて頂くか、もしくは「またどこかで」ではなく、お忙しいとは思いますが具体的にお会いするスケジュールを決めてお話しを聞きたいと思います。
以上、宜しくお願いいたします。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
なぜ、私(安岡孝一)が撤回しなければならないのか、この文脈ではサッパリ理解できません。どういう意味ですか?
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
いや、それでもやっぱり理解できないのですが。
仮に、本件がOrarioに対する営業妨害だと無理矢理に仮定したとしても、どうしてそれがannonynrmさんに
会うという話につながるのか、私(安岡孝一)には理解できないんですよ。どういう意味ですか?
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:2)
ああ、そこの論理性は、やっぱり私(安岡孝一)には、わからないままなのですね。では、先ほども書いた通り、どうしても知りたいなら、また、どこかでお会いした時にでも。
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:3)
流石に私設警察さんじゃないよね。どう控え目に考えても Orario の中の人でしょあなたは?
自分も Orario の件を目にした第一印象では、真っ当な企業が提供するサービスとしては越えてはいけない一線を完全に越えてるわって思ったけど、
については、確かに Orario のサーバーじゃなくて、スマホにインストールしたアプリがスクレイピングしている限りにおいては、Chrome や Safari と同レベルじゃないの?って意見には一理あるかなって気はしたよ。
いい所突いてる。論破したいなら、この方向性しかない。
でもな、
そりゃ、ユーザー自身が行うスクレイピングは、正当な権利であるはずだし、あるべきと思うよ。
しかし、それがローカルのアプリとは言え、ブラックボックス化された(プロプラ)アプリだったり、ユーザーの手元を離れてどっかの企業のサーバー内で代行されてるとなると、それはちょっとセキュリティ的に筋が悪過ぎで論外なやり方であって、厳しく糾弾されて然るべきって事になるわけよ。
まぁ、だからと言って Orario が OSS 化して身の潔白を明かすとも思えないけど、透明性のない製品・サービスで第三者がアカウントを代理使用するような設計は、セキュリティ的に最悪なわけ。そういう設計を行う時点で、それを設計した会社のセキュリティ意識が致命的に腐り切っていることをこれ以上ないくらいに明確に示しているわけさ。
そんな企業に、IDとパスワード預けて、代理スクレイピングを許すような事態は、真っ当な感覚を持った管理者なら到底受け入れ兼ねるよね。
普通の感覚してたら近づいちゃいけない。みんなが渡ってるからって赤信号は渡っちゃ駄目なの。念のため言っておくと黄色も止まれだからな。道路交通法では切符切られるぞ。
仮に今出ている批判が的外れだったとしても、この件は極めて真摯かつ丁寧な説明が求められる事案じゃん。
それなのに、その説明すっ飛ばして、真っ先に当事者からの批判を叩きに走る辺りが、既にセキュリティ的なセンスが微塵も感じられない残念な人としか言いようがないわけ。
関係者乙って言う事すらはばかられるレベルで。
加えて、お時間を取らせてしまい申し訳ありませんとか、謝る気どころか余計に時間取らせる気満々じゃん。
このためだけに捨て垢取ってるしさ。
人間性疑うわ。
セキュリティ意識が腐ってるフレンズは頭^h人間性も腐ってるんだね。すごーい。たのしー。
念のため言っておくけど、これ、個人批判じゃないからな。
だって、お前、個人特定出来ねーじゃん。
uxi
Re:どうしても知りたいなら、また、どこかでお会いした時にでも。 (スコア:1)
この人が決定的に駄目なのは、
安岡先生ともなれば勤め先も分かっていて、
直接連絡付けようと思えばいくらでもつけられるのに、
捨て垢で安岡先生から連絡もつけられない状態で文句言っておきながら、
大学へのクレームしますとか、しゃぁしゃぁと言ってのける所。
安岡先生は直接なら話すよと言われているのにね。
本当、悪質。
中の人なら、まぁ、どの面下げて話聞くんかって話だけどさ。
一方で、私設警察なら
一見 Orario の肩持っているようで、
Orario の中の人臭をぷんぷん臭わせて、Orario の評判を地に落しにかかってる辺り本当悪質。
悪意が正義の仮面を付けてる感じ。
uxi
Orarioに対する営業妨害 (スコア:2)
でもまあ「営業妨害」っていう本音がチラっと見えたので、今日の私の日記 [srad.jp]で掘り下げてみました。2017年5月30日施行の「個人情報の保護に関する法律」「独立行政法人等の保有する個人情報の保護に関する法律」を知らないと、かなりわかりにくい内容なのですが、よければどうぞ。