00:00
こんばんは、Replay.fm 第9回でした。9回です。
本当に?9回?
え?9回だっけ?
え?9回じゃない。
そんなに行った?
え?
そんなに行きました?
なんで、先週の、あれですよ、やつは8回なんで、今回9回です。
合ってる?合ってる?あ、いやいや。
あ〜、合ってる。合ってる。合ってる。合ってる。
合ってるでしょ。そう、8回はね。
失礼しました。
まだ、ちょっと、未配信になって。
うん。
いや〜、どうすか?
どうすか?どうすかと言われましても。どうすかと言われましても。
いいんですか?そんな、ポッドキャスト配信する。
9回目ですよ。ちょっと、こじゃれた話もしてくださいよ。
次、10回目ですね。
次、10回目です。
10回、そうだね。20週間か。2ヶ月。
最近、徐々に徐々にこの、記事に追われる感じが出てきたから、なんか、頑張んないとなって。
なんか、気を引き締めてやらんとなって。
そうだね。ちょっと思ってて。
踏ん張り時ではあるね。
まあ、でも、いや、ようやって。
でも、2人、2人いるのがね、でかいよね。
いや〜、そうだね。
なんか、しみじみ誘ってよかったわ。
1人だったら、しんどい。しんどいかもね。
これ、これ、3人だったらさ、なんか、ちょっとサボりっ気が出てきそうだよね。
あー、あの、現場猫が出てくる。
現場猫になっちゃう。
2人いるからよし。今週もなくてよし。
まあ、ただ、なんか、記事のバリエーションは増えるかもなとも思うし。
確かにね。
まあ、なんか、そうだね。
3人とかだとどういう、似たようなポッドキャストだとどうしてるんだろうな。
うん。
俺が知ってる、某、超有名席でポッドキャストとかは、その、3人で1記事ずつ持ち寄って、結構深く話すみたいなスタイルだと思ってて。
あー、それも面白そうだね。
うん、結構ね、それもアプローチも。
まあ、それを、僕の場合はね、結構、できる時とできない時があるので、難しいなと思ってた。
あー、我々オフトピの方に時間使いがちだからな、ちょっと。
そうだね。
なんか、あれになりそうだよね。
なんか、何のポッドキャストなんだっけ、これってなっちゃいそう。
あとなんか最近、先週ちょっと思ったのは、オフトピでめっちゃガッツリ話したい時があったら、
あの、某アーティストをリスペクトして、なんか、9.5とかで、ちゃんと30分くらい話す。
あー、いいね。
うん、なんか、その、時間は気にして、消化不良で終わるよりそっちのほうが実はいいかもとかね。
あー、いいかもね。
まあ、あと聞く側も分かるんだけど、あー、なんか、0.5回か。
オフトピ始まったからいいか。
そうそうそうそう。
だから、ならんように。
で、逆に、0.5は別にいっかーって。
そうそうそうそう。とかできるかもしんない。
そんな、まあ実際みんなタレンバレちゃうと思うけど。
別にでも、時間枠気にして喋ってないからな。
まあ、そうね。
03:00
どっちかというと寝る時間の方を気にしてる。
そうだね、それはそうだね。
節はあって。
それはそう。もうジジイなんでね。
そうなんだよね。そうなんだよね。
大体、9時目標で9時半開始がなんか、あれだもんね。
そうだね。
定番の流れになりつつあるからね。
今日は娘が積み木を積み始めたんで、15分開始が遅れました。
かわいいです。
いやー。
子供もね、夜になると本気出す。一緒な、一緒っぽいね。
ハムスターみたい。
いや、まあそうかもしんない。
ハムスターとかもなんか、夜になると。カラカラカラカラカラ。
確かにね。
よし、早く寝るためにやろう。
やりますか。
はい。じゃあ上から順に今日もいきますかね。
いきましょう。
これヤギ足さんにお願いしようかな。
ちょっと待ってね。
はい。
ウェブフロントエンドの脆弱性つまみ食い2024年版ということで茶芸のスライドですね。
はい。
これなんかどっかの勉強会かなんかで多分やってた発表で、もう一件読むことになってるよね多分。
もう一件?
うん。もう一個スライド入れた気がするんだけど。入ってない?もしかして。
入ってないかもね。
茶芸さんのスライド?
茶芸さんのスライドじゃなくて、同じ勉強会で発表してたもう一個。
日付が入ってないのかな。
でも、ごめん。いいや、でも。
あ、やばいです。
大丈夫そう。
じゃあそれでいきますか。
どう説明していこうかな。
なんか茶芸の個人的フロントエンドの脆弱性トップ10っていうのをまず割と冒頭のほうで紹介してくれていて、
いろんなサービスの脆弱性とかソースコードとかいろいろ見てきた中で、
バックエンドが注目されがちだけれどもウェブフロントエンドも重要だよねっていうので、
比較的なんかよく見るっていうのを、個人的によく見るっていうのをバーッとまとめてくれて、
ざっと説明してくれたのがこのスライドでございます。
トップ10が上から3つがまずXSSになっていて、
そこにCSRF、インフォメーションリーク、うんたらかんたらって続いていくんですが、
今回は特にこのXSSとCSRFについて紹介してくれてるっていうような感じですかね。
ウェブフロントエンドにおける要注意ポイントっていうのがいくつか挙げられてて、
06:01
特に紹介するべきと多分考えて、
実際どういう話をしてたかわからないからスライドから推察するしかないんだけど、
要注意ポイント2つかいつまで説明してくれてたのかな多分ね。
1つ目がDOMエレメントのインナーHTMLとリアクトのDangerous ResetのインナーHTMLの組み合わせですよと。
例えばいくつかパターンとかはあって、
そうしてUnderscore HTMLっていうプロパティっていいのかな多分ね。
にJavaScriptを実行するHTMLが入るとアウトですよと、
任意のコードがそこに入ってしまうとアウトですよというのがありまして、
例えばMarkdownをパースしたHTMLをそのまま突っ込むとか、
このMarkdownがユーザー入力で受け付けてるものだったら、
JavaScriptのコードが入り得るよねっていう話だったりとか、
あとはちょっとこれよくわからなかったんだけど、
多言語対応テキストでHTMLを使用みたいな話とか、
これはちょっとよくわからなかったけど、
ユーザー入力がこれで入り得るのかがちょっと僕はよくわからないんだけど、
例えば多分ユースケースとしてこういうのがあったよって話だと思うんだけど。
多言語?どれだ?
だいぶ前だね。だいぶ戻る、戻らないっていうところね。
あ、その辺。取り過ぎた。それの後、それ。
これか。
もう1個前。
もう1個前。失礼しました。
多言語対応テキストでHTMLを使用。
なんかあんまユーザー入力は入り得ないよなってちょっと思うんだけど。
入らなそうに見えるけれども。
見たことあるってことはあれかもね、その作り的に。
いや、わかんねえな。
何かあるんだろうね。
使用の都合上こうなってるとか、歴史的経緯でこうなってるとか。
なんかそのインターナショナル対応自体を後から入れようと思った時に、
なんか結構基盤ができてないとしんどいみたいな話があって、
そういう時にページごとまるっとレンダリングしたものを、
わかんない、en.tsとtsxとja.tsxがあって、
その中身をまるっとレンダリングして突っ込むみたいな、
そういうのとかがもしかしたらあるのかもね。
でも何か起き得るっていうのはありそう。
なんかどうもユーザー入力がそこに入ってくる経路があんま。
確かにね、そこは何だろうな。
確かに。
インターナショナル、エラー.タイプ、わからん。
エラー.タイプ、この引数とかにユーザーの任意の入力でこの値は使えませんね。
このインターナショナリゼーションの関数が何を返すかに依存するっていう話ではあるんだけど、
09:01
この中の処理次第であるのは間違いなくて。
でも、このインターナショナリゼーションからさせると警告メッセージとかじゃない?
ユーザーID、わからない?
ユーザーIDに記号が含まれてます、その後にユーザーIDが入っちゃってるとか、わからないけど。
そのユーザーIDの名前、記号が含まれてますって部分を英語に置き換えたいみたいなときに妄想です。
確かにね。
これはJ3LDの話とかですかね。
その次がページナビゲーションですね。
Window LocationとかA.hrefとかiFrameのsrc属性とか。
これも刺さり売るよねっていう話です。
ここでリアクトの19からAタグ、A要素のHref属性でJavaScriptスキームが使えなくなったらしくて。
これってさ、リアクトでどう、これA要素のデフォルトの動きを全部フックしてるってこと?
そうなんじゃないかな。
AタグっていわゆるHTMLの標準のタグではあるから、それぞれに対して裏側のリアクトの実装があるはずで、
そこの部分の実装で毎回Hrefプロパティに対するバリエーションというか処理みたいなところで制限をかけたって感じなんじゃないかな。
だからフックというか普通に多分コンポーネントの中の実装で弾いたって感じな気がする。
実際は実装見てみても分かんないけど。
そうね、何かアプリリクエスト貼ってくれてるからそれ見れば分かるのか。
そうだね。
ちょっと見てみよう。
リアクトの実装読んだことないな。
いやー、この場で読むのが果たして。
読めそうなり読むぐらいの気持ちで。
正しい伝説だったのか分かんないけど。
でも何か分かんないな、結構。
DOM BINDINGSっていうのがあって、DOM PROPERTY OPERATIONっていうのがあって。
PROPERTY INFO。
分かんねえな、ぱっと見じゃ。
JSXをDOMにBINDするときの処理で、
まず属性周りをいじるところに対してロジックの変更が入っているようには見えるかな。
ここに、ここのHLF。
そうだね。
うん、パッとは分からん。
パッとは分かんないね。
安全になったんでしょう。
12:01
リアクトの実装読んだことある人とかだったらさらっと理解できるかもしれない。
そうだね。
この場で全部読むには無理でしたと。
ページナビゲーションの話はこれしか書いてない。
こういった箇所はDOM Based XSSのSyncって呼ばれてるよっていうのが書いてあって。
SyncとSourceっていうのが一応あって。
Sourceから入ってSyncに入るとDOM Based XSSが成立するみたいなそんな感じなんだけど。
すげえ話だった。
すごい怒られが発生しそうなような表現になっちゃったけど。
なるほど。
ものすごい大雑把に映すことなんだけど。
SourceとSyncというのがありますよと。
対策が危険な関数とかプロパティは使わないようにしましょうっていう形で求められていて。
いろいろこういうことをやればいいよっていうのを書いてくれてる。
特に確かにCSPで十分なんじゃないっていう話に対して、
ないよりましだが回避可能なことが多いっていうのを書いてくれていて。
例えばgoogletagmanager.comを
www.googletagmanager.comを許可すると何でも実行できるみたいなのが書いてあって。
なるほど。
なるほどねって感じが。
例えばね、厳格なCSPは導入コストが高いと。
この辺はなんかその、なんていうかリアルワールドな
いろんなアプリケーションを見てきたからこそ出てくるコメントなんだろうなと思うし。
そうだね。
なるほどなという。
googletagmanagerなんだって。
googletagmanagerなんだって。
なんかイーバルが刺さるようなのがあるのかな。
googletagmanager配下で。
googletagmanager配下だと。
googletagmanagerって俺自分で使ったことないから分からないな。
多分だけど任意のタグを突っ込める。
そうだね。任意のJSを埋め込めるからっていう話だよね。
そこを介して何でもできちゃうんだ。
そうそう。タグマネージャー経由で好きな。
おもろ。
この辺はでも確かになんかだいぶ前のPIXIVのCSPのレベル3の話の記事とかにも今見たら載ってたから、
だから俺が忘れてるだけだなこれ。
だいぶ前からキチの事象ではあるんだね。
なるほど。
この辺はでも確かになんか忘れちゃいけないとこですね。
ありがとうございます。そんな感じでございましたよと。
ありがとうございます。
あとはちょっと端折ってCSRFの話に行くと。
CSRFの説明とか端折るんだけれども、
15:00
特になんかこのスライドで面白いなと思ったのはバックエンドだけの問題じゃないよっていうのを話してくれていて、
ユーザーが意図したリクエストかどうかバックエンドで判断できれば防げるよというのが常識というか確かにそうだよねって話なんだけれども、
フロントエンドでCSRFは気にしなくていいのとか空気使ってなければ問題ないのみたいな話。
そうではないよと。
例えばURLにアクセスすると処理が発生するものみたいなのって、
場合によってはCSRFが刺さりうるよねみたいな話。
要は特定のURLにアクセスするとフロントエンドで勝手に処理が発生するよみたいなものがもしあった場合に、
そこのURL踏ませるだけでCSRFが成立してしまうよねって。
要はクライアント側でレンダリングさえさせてしまえば、
普通にJSで処理が発して、
例えばローカルストレージに入っているトークンとかを使ってアクセスをAPI叩いてみたいなのが成立しうるよねって。
それでバックエンド側では正規のリクエストかどうかって判別できないので、
攻撃が刺さりうるよねっていう話とか。
あとは微妙にレアケースのような気もせんではなくもなくもない、
ありそうだなでも。
リクエスト先の改ざんに要注意っていうので、
フェッチのアクセス先のパスがURLにユーザー入力が入っているときにURLエスケープされてない場合、
場合によってはユーザー入力がどこに入るかによるんだけれども、
入る場所とアクセス先の作りによっては、
任意のURLにアクセスをさせることで、
意図しない処理っていうのがCSRFとして刺さってしまうよっていうのが紹介されている。
確かにね。これもCSRFだな。
対策としてワンステップ挟むとか、
要はこれやっていいですかっていうその1画面間に挟んで、
確認画面的なの挟んであげるとか、
あとはURLの構築のタイミングで、
ユーザー入力が入る場合は適切にエンコードするかバリエーションするかしてねっていうのを言ってくれてる。
バリエーションっていうのは要は、
これはアクセス先自体をある程度限定できるんだったら、
それに沿ってバリエーションすれば変なものが入れないよねって話だと思うんだけど。
そうだね。確かにね。
そんな感じです。
これはなんか多分読みながらじゃないと上手いことイメージつかないと思うので、
あとはおまけに書いてある内容とかも結構面白くて、
ぜひ読んでみてくださいという感じでございます。
18:00
いやーなんか現場の診断士のこういう声はおもろいね。
なんかそのCVとかで、
こういう脆弱性が今年は多かったとかこういうのが増えてるとかはあるけど、
それって利用ライブラリにこういう脆弱性があるみたいな話だって、
自分たちで作り込んだ脆弱性とか、
みんなが作り込みがちな脆弱性みたいなデータベースってわかんない。
俺が把握してる範囲もあんまなくて、
CVっていうか、
勧告されちゃうような脆弱性は別だけど。
そういう意味では結構数をこなしてきた診断会社とか診断員の人の
肌感からしか得られない情報だなっていう気がした。
エクセスね。
気をつけなきゃいけない世界のうちはもうなくならないだろうね。
あとすごいどうでもいいけど、
リアクト、ビューも一応デンジャラスインナー1.0的なやつがあってね。
どのビューライブラリも今時は多分こういうのが、
多分デンジャラスってだいたいプレフィックスと言うけど、
リアクトに限らずっていう話ではありますね。
ありがとうございます。そんな感じですか?
そんな感じです。
でもちょっと読んでほしいですね。
手を動かしたいな。
誤魔化けあんまちゃんと読んでなかったから、
ちゃんと読んどこう。
じゃあ次は、事件系ですかね。
僕が一応追加したんで、
今週は僕がいっぱい追加しました。
なのでいっぱい感想を言ってもらえればなと思うんですけど。
解雇された米国ディズニー元従業員による不正悪説についてまとめてみたっていうピオログの記事ですね。
内容はあんまり本書にはさまっていなくて、
超ざっくり言うと、
本当にざっくり言うと逆らみした退職社員による内部不正が結構スコープの広い内部不正が発生したという話で、
具体的には結構いろいろやっていて、
データの改ざんとか不正アクセスとか、
元直属の上司とか同僚に対するアカウント乗っ取りの、
これは密水で住んでるっぽいんですけど、
施工みたいなところをやっていて、
今はもう捕まってますよって話ですね。
逆るみって言ってるのは、
アメリカなので、
アメリカ首が合法なんで、
別に日本も別に、
違法だった。
日本よりはカジュアルに発生する世界。
21:02
ある日アカウントが全部止まって、
明日からオフィスに来るなみたいな感じで、
そういう世界戦だと思うんですけど、
事態はどうかわかんないですけど、
解雇されて、それに対して解雇された人が納得できなくて、
不正アクセスに及んだっていうところですね。
なんで不正アクセスできてしまったかとか、
動機みたいなところはまだ多分情報がないのか、
書いてなかったんであまりフレーズなんですけど、
個人的に思ったのは結構内部勢が、
特に小さい規模の会社とかで働いてると、
対岸の価値じゃないですけど、
自分ごとじゃないと思ってる人もいるんじゃないですか?
わかんないです。
僕は一時期思ってたりしたんですけど、
ディズニー社みたいな、
ディズニー社は結構でかいですけど、
でかい会社でも全然起きますよって話として、
覚えておいてもいいかなと思ったのと、
また、実際に起きた事件のうちの一つだとしても、
結構やってることが、結構なことをやっているし、
やられてしまってるなって気がしていて、
データの解散って最初言ったところで、
何のデータ解散したかっていうと、
レストランのメニューデータみたいなところの解散をしていて、
明らかに悪意があるんだろうけど、
アレルギー情報みたいなところを、
狙い撃ちで解散したりしているんで、
もしその解散したメニューがレストランに届いてしまって、
お客さんが注文するってなったら、
人命にもつながりかねない事故になり得たっていうところとかを考えると、
結構、何でしょうね、
逆恨みしたとしても、
お金を取るだけで済むでしょとか、
不正アクセスでいたずらだけで済むでしょっていう認識が甘いというか、
行く時はここまで行っちゃうんだよっていう事例として結構、
気を引き締めなきゃなっていうところですね。
そのメニューのところは発注前に止められてるんで、
これがそのディズニーのシステムがちゃんと多層合意できてたから止められたのか、
男が派手にやりすぎたからバレただけで、
静かにやってたら届いてしまってたのか、
みたいなところはちょっと個人的には気になるところなんですけど、
まあまあまあっていうような記事でした。
結構ね、行くとこまで行ったなっていう、
だいぶ派手にやってるんで、
まあこれもなかなかだけど、
この間の野村証券のお客さんのところに
強盗しに行きましたっていうのもなかなかだったんだけどな。
それ把握してないかも。
あ、マジっすか。
おお、ほんとだ。こんな記事が。
なかなかっすね。
いやー、確かにね、これもいいピックだね。
このディズニーのやつもね、
押しかけられた側は、
24:01
なんかホテルかなんかに一時避難したって書いてあるから、
結構、結構ね、ざわつくというか。
結構だね。
なかなかね、だいぶ恨んでたっていう。
そうですね。
なかなかだよね。
うーん。
いやー、
いやー、
いやー、
なかなかだよね。
うーん。
まあちょっとその、なんだろうね。
まあでも日本でも起きる時は起きるだろうね。
その解雇プロセスみたいなところの、
が、
このディズニーの事例の解雇プロセスと
同じようなことが日本で起きるかって言われると、
まあちょっと、
まあ国が違うんで、
そこはどうだろうと思いつつ。
まあでもね、納得しないっていうところで
お呼びを言いますよっていう感じかな。
うーん。
結局だからID管理と退職手続きの、
なんていうか、
適正化みたいな話につくのか。
そうだね。
どこに課題があったのかみたいなところは、
続報が出ると嬉しいなって感じですね。
はい。
そんな感じです。
じゃあ次行きますか。
えーっと、
これはまあなんかTips的な感じで、
おすすめ記事って感じで
紹介しようかなと思ったんですけど、
One Passwordの
Managed Versus Personal
Apple Accounts in the Workplace
An IT Guideっていう記事でして、
まあ何の話かっていうと、
Appleアカウントを、
個人アカウントと職場のアカウントを
使い分けるべきかどうかっていう
話が結構丁寧に書いてあって、
Appleアカウント、
何でしょうね、
OSとかそのiPhoneとか出局されて
使っている方は分かると思うんですけど、
Appleアカウントでログインして
OSを使うことになるときに、
自分のプライベートで持っているIDが、
アカウントがある場合に
そのアカウントを使って、
アプリに同期とかをして便利に使うのか、
はたまたその会社の規約とかで、
規約というかバランスというか
ポリシーかな、
会社のドメインでアカウント作ってください
みたいな、そういう双方のパターンが
あると思うんですけど、
この双方の選択肢に関して、
管理者目線でそれぞれ
良い点悪い点があるよという話が
つらつら書いてあるのと、
またその結論、
どっちのほうがいいよという話は
書いてなくて、
それぞれのトレード方法を理解しながら、
あなたの組織に合った選択をしてね
というところで、記事は締めくくられている
という感じですね。
なのでこの辺なんか、
なんでしょうね、ざっくり把握する上では
結構いい記事だなと思った
というところと、
また書いてある内容自体はそんなめちゃくちゃ
特別なことはないんで、そんなに
サマリーとかにも書いてないんですけど、
個人的に確かにと思ったのは、
個人アカウントを利用する
27:01
場合のデメリットみたいなところで
挙がっているものとして、
アクティベーションロックっていう
MacOSの
iOSの機能で、
Appleアカウントで
ログインして、
いくつか一定の条件を満たしているときに、
ログアウトし忘れて
端末返却みたいなのをして、
クリーンナップするときにこのアクティベーションロックが
かかってクリーンナップできないみたいなことが
起きたりするので、
注意であろうと書いてあって、
これはなんか規模大きくなったりしたら
普通に起きそうというか
大変そうというか、
地味に面倒だなというのは
返しの目線だったりする。
自分で初期化して返してもらわないといけないんだよね。
そうだね、その通り。
ログアウトとか、
ファインドマイiPhoneとかから外すとか、
いくつか。
ログアウトして自分で初期化してくださいが
多分悪い。
感じだね。
そんな感じの記事です。
結構本当に
丁寧な記事だなと思ったので
おすすめです。
まあ面倒くさいですね。管理者目線だと。
個人目線だと
多分個人アカウント使わせてよっていう人が
多いんじゃないかなという気もしつつ
あといろいろさあみたいなところも
あったりなかったり
すると思って
そうね。
まあ
理想を言えば
なんか
管理の、管理してあげた方がいいんだろうなと思って
個人アカウント使わない方がいいんだろうなと思って
けども
なんか実際弊社とかは
その会社アカウント
作ってね、会社のアドレスで
アカウント作ってそれでやってくださいねって感じに
してるんだけど
全部マネージとかで言うとちょっと微妙なところ
なんですけど
やっぱそれはそれで個人アカウントで使っている
このアプリ業務で使いたいです
みたいなものを
従業員目線はずっとずっと申請して
会社目線だと
それに対する
なんか倫理というか
使うときに有料だったら
じゃあ有料でライセンス
希望者何人いますかって集めて買って
追加が
あったり退職があったりしたら
整理みたいな、なんかコズとか
実際に発生したりしてるから
まあなんかトレードオフだよね
っていう気はする
まあその辺の話も結構書いてあったりはするね
逆になんか
個人アカウント使って会社で
使いたいですって言って
そのお金出してあげたときに
普通を外すことはできないから
バーンとかそういう話も書いてあって
まあそれも確かに
まあでもそもそもその使い方を
するとさ
その商用利用NG
とかに引っかかりそうな
踏み抜きそうな気がするんだけどな
まあだからその辺、ああそうだね
個人のパターン
でちゃんと見てなかったら
ってことだよね
確かにね、それはそれで
30:01
バランスリスクにはなるのか
確かにね
その辺
そもそも
できたのが2018年
だからさ、これ
そこそこ長くやってる会社は
もうこっちに切り替えるのが大変だと思うんだよね
それはそうだね
それもそうだし
規模感にもよるよね
1000人規模とかで
一台プロジェクトで
それをどんだけ
そのコスト払うリターンがあるか
って言われるとみたいな
確かにね
確かに
Apple Account Keyingのインシデントであんま聞いたことないな
なんかそんな事例ないのかな
どうなんでしょう
クロームプロファイルを
プライベートと
仕事を
共有しちゃって事故とかは
あるあるな気がするけど
まあでもiCloudドライブ絡みで
なんかありそうな気はせんでもないけどね
そうだね、起きるとしたらね
ブラウザからアクセスできるもんな
どうせ
本当に悪意のあるものだったら
うん
仕事用メモ意図せず置いて
漏洩とかかなあるとしたら
あー
まあそれはあるかもね
iCloudドライブ絡みだったら確かにそういうのはありそうだね
うん
まあでもなんか
世の中Windowsが業務だと大半だし
スライドも
Excelも
いろいろ使ってるから
うーん
潜在的なリスクはあるんだけど起きてないって話とかもあるのかもね
まあ想像でしょ
もはやでもそんな
まあ分かんないけどね
もはやそんな時代じゃないでしょうとも思うけど
まあ
いやー
まあそうね
はい
はいそんな感じです
じゃあ次はまあ次もね
まあ共有軽く共有
えーと
記事自体はスカンネットセキュリティで
パスキーズの基本を学ぶ開発者向け入門サイト
パスキーズプレイグラウンド公開
っていう記事でして
まあ記事は別に紹介なんで
なんもあれなんですけど
えっとこれ
このサイト誰がオープンしたかっていうと
オクタジャパンが
作ったサイトで
で learnpasskeys.io
っていう
ドメインですラジエで日本語サイトにアクセスできるんですけど
あの
どういうサイトかっていうと
文字通り開発者向けの日本語サイトで
えっと
具体的にはこの画面上でポチポチ
ステップがあって
どうしたら大好きにするみたいなのを押して
パスキーをまず登録する方法を
見てみましょうみたいなので
各ユーザーでこのユーザーで
登録するシナリオでやってみましょうみたいなので
ポチポチ押していくと
パスキーの生成がまずできて
でその生成したパスキー
ホヤホヤのできたパスキーを使って
じゃあその場で認証してみましょう
みたいな感じで
実際に
デモンストレーションではなく
33:01
デモンストレーションはあるんですけど
実際のパスキーを利用して認証して
じゃあ最後にそのアカウント
削除しましょうってところまで
一連で
体験できるサイトって感じですね
で一回僕
ポチポチ押して試して
5分くらいで終わるんで興味ある人いたらやってほしいんですけど
あの
何でしょうね
結構ステップステップで
その概念とかの
説明とかあとその場合によっては
コードとかが
記載されてるんで
パスキーって
なんやねんっていう人とか
パスキー
雰囲気では分かるけど実際実装の部分で
どういう概念があってとかを
ざっくり知りたい人は
結構いいかもねっていう
みたいなサイトなんで紹介してみました
僕らは正直
どっちでも
いいと思います
まぁでも一回触ってみてもいいか
今手元でこうやってやってみてるんですけど
こんな感じで
結構丁寧にやってくれてる
って感じですね
いや分かりやすい
これ
W3Cのリコメンデーションとか読んでも
その典型的なユースケース
みたいなのは
読んでるAPIレベルで
こういう形で読んでやってくんだよ
みたいなのが書いてあって
想像はするんだけど
こういう風に見せてくれたほうが全然分かりやすいし
そうだよね
これはいいです
そうめっちゃいいんすよ
こうやってパスキーで
実際にサインにしてみたいな
で作ったパスキーもすぐに
破棄できるんで
うん
めっちゃいいっす
これぜひ触ってみてください
ほいじゃあ
あと5個ぐらい僕から
ガムガンいきますけど
次は
Bleeping Computerの記事で
Germany drafts law to protect researchers who find security flaws
っていう記事で
これね大って思ったんで
紹介したかったんですけど
どういう記事かというと
この記事で
脆弱性を
能動的に見つけるような
セキュリティ研究者を保護するための
法律が起訴されました
っていう記事です
結構曖昧な表現が多くて
元の法律のドラフト読めば
多分分かるのか
そっちも曖昧なのか
でも法律って大体曖昧な気がするんで
曖昧だと思うんですけど
どういう法律かというと
新たな教会の中においては
その脆弱性を発見したとしても
それによってハッキング
平たく言うと
ハッキングの罪とかには問われないように
研究者が保護するための法律ですと
具体的にその
判断基準みたいなのは
不正と見なされなければ
罪に問われませんということが書いてあって
じゃあこの不正の基準って何なんやねん
36:01
っていうところで
3つだけフワッとしてるんですけど
基準があって
1つがその脆弱性を見つけるっていう
行動の目的自体が
リスク探索とか
特定を目的としていること
っていうのが1つと
2つ目が
もし脆弱性を特定できた場合に
その脆弱性を直すべき
事業者とか政府とか
誰なのかわかんないですけど
その責任主に対してきちんと報告する
意図があることと
3つ目は
このセキュリティリスクの探索において
目的に沿った
目的に必要な範囲だけに
アクセスをとどめる
というところが
3つの基準として
挙げられてる
っていうような感じですね
あくまで草案なんで
まだまだ
ここからどうなるかって感じだと思うんですけど
個人的に思ったのは
こういう法律が
明示的に立案されるっていうのは
いいことなのかなと
僕の今のところの
持ってる知識とかでは
思ったところと
一方でドイツ以外の国で
こういうところで進んでる国とかってあるのかな
っていうのも知らないなと
また日本
自分の国で考えた時に
こういう
なんていうか
なんでしょうね
もちろん悪意のある
侵害とかを取り締まるのも大事なんだけど
セキュリティの性質上
悪意があるのか
善意に基づく行動なのか
っていう
綱引きというか
色分けみたいなのを
法律できちんと
するのは
いいことだし
それがないと
みんな
代々的にいろんなことを発表できたりしなくなる
って話があって
いいんじゃないかなと思ったんですけど
っていう
感想です
これってでも記事を読む限りは
例えばだから
刺さってドスになっちゃって
損害を与えましたみたいなケースは
多分面積されないですよね
面積されない
かもね
この3つの基準のどれかに定職すると
法的に判断されたらだめなんだろうね
要はだからこれって
不正アクセスの罪に問われないだけで
あって損害賠償責任は
生じるよねっていうことで
それはそうだね
そうかもね
データインターセプションと
データモディフィケーション
改ざんと
防止なのかな
の罪も
これにこの条件に
合う限りこの条件
満たす限りは問われないよって書いてくれてるんだけれども
やっぱりだから
損害賠償は面積されないんじゃないかと
思っていて
上庁借料の余地とか
39:01
そういうこの文脈において出てくるのかもしれないけど
全然そんな手放しに喜べるような
内容ではなんかこの記事を読む限りでは
なさそうだなと思っていて
なるほどね
ただ
そうね
難しいな
具体的にどういう
事例を念頭に置いて
草案を
作ってるのかがわかんないから
なんとも言えないけど
うーん
なんか
結構証明の難しい条件だよなとは
思うんだよな
なんか
必要最低限であったか
みたいなのって
その
ブラックボックステストにおいて
必要最低限かなんてわかんない
じゃないですか
たまたま刺さってドスになっちゃって
損害を与えましたみたいなケースとかって
後になってその議論で
これは必要最低限でしたか
そうでなかったですかみたいなのって
結構
難しいんじゃないかな
要はやる側の想像力に
依存する部分が
結構ありそうだなと思うのと
ケースバイケースであるけれども
報告する意図とかも
別になんとでも言えるだろうなとも
思うし
それで言うとなんか
そのバグバンティー
じゃないけど契約状
契約を結んでこの範囲内で
こういう風にやりましょう
って
その双方の
保険を
きちんとかけてやる
べきだよねっていうのは今もそうだと思うんだけど
それに関しては別に変わるわけではないだろうし
それはそうなんだけど
そういう意味で言うと何を
確かにフォローしたかったのかっていうのは
理解しなきゃいけないかもね
確かにね
承認となる
元の
ドイツの
ガバメントっぽいサイトを読みに行ってるけど
いやでも
あかんねえなこれだけだと
ちょっと海外事情
っていうのもあるし
なかなか
日本から全部
ちゃんとコンテキストを理解するのは
難しそうだから
なんとも言えないけれども
こういう動きがあるんだ
ぐらいで
日本の法律がどうかというと
不正アクセス禁止法
とかは割と構成要件が
はっきりしてると思うんだよな
比較的
あとはなんか
試してたら
やっちゃいましたみたいな
議系業務妨害
とかになると思うんだけど
逆にだから業務妨害が成立しなければ
構成要件を満たさないような気も
するし
ちょっと法律の専門ではないので
なんとも言えないけど
42:01
むしろこうやって縛ることによって
やれる範囲が狭くなっちゃわないのかな
っていうのはちょっと気になる
確かに今までだったら
グレーなものは
グレーで
みんなうまいことやってたのかもしれなくて
もしかしたら
変なところに線引きを
逆に変なところに線引きを
してしまう結果にならないかなっていうのは
ちょっと気になる
日本だってたぶんそうで
慎重に線引きはしないといけないのかもな
みんななんか別に
グレーな中やってる部分は
絶対あると思っていて
うん
なるほどね
難しいね
原文のところを読むと
意図としては
NGとOKのLINEをきちんと
決めましょうみたいなことが書いてあるから
うん
LINEの決め方をミスると
確かに言ってるときが
出てくるかもね
ちょっとどうだかわからないですね
これがなんか例えば
EU権全体に広げましょうみたいな
流れにもしなってくると
日本とかも影響受ける
広がっていく気がするので
もしかするとね
確かに続報
放置室って感じですね
法律の話だから
すぐには動かないと思うけど
はい
はい
ありがとうございます
じゃあ次は
まあいいよ
読まなくてもいい気もしたけど
ニュースって感じですね
軽く読みます
ハッカーニュースの記事で
読めねー
よく読めましたお疲れ様でした
ありがとうございます
はい
はい
ありがとうございます
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
はい
Sahib
大丈夫ですか
あ
取引委員会的なときから出た話 としては 非アクティブなFacebook
45:03
のアカウントに対する防御措置 っていうのを適切に実行しなかった
っていうところもお叱りをして いて 具体的にはその非アクティブ
なアカウントに対して そのアカウント を持ち主の身分書を偽造して メタ
に問い合わせることで パスワード リセットができてしまうっていう
ところが 実際に10人程度に対して 起きたらしくて これにより10人
分の韓国人の個人情報が漏洩した っていうところに対してもお怒り
ですっていうような話がありました っていう記事ですね
このアカウント乗っ取りによって 個人情報が漏洩したよっていう
のをここまで言うのって結構珍しい 気がするな
確実にっていう ちょっと気になった のは センシティブデータを使って
しましたっていうところを メタ が自分に言ったわけじゃなくて
多分 厚生取引委員会的なところ に立ち入り操作して特定して確定
した罰なのかなって気がしていて だから その過程でもしかしたら
この辺も これもアウトだよねっていう ところで言ったのか もしくは10人
から政府に対して問い合わせが 来たのか ちょっとよくわかんない
けど そうだね 確かに
個人情報の漏洩文脈でこの話を 出してくるのは結構ハードだな
だってこのロジックで言うと 例えば 適切なセキュリティ対策をして
いなかったからアカウントの乗っ取り が大量に発生して個人情報が漏洩
しましたよねみたいなつくりも 入り得るわけですよね
確かに そうですね 確かに これ 原文読みたいな なんか 音の感は
韓国語だから読みようがないんだ けど 翻訳するか
翻訳するしかない
その なんだろうね 広告の部分で メスが入って 合わせてこれも出て
きたぞっていう でも 情報の一つ として入ってるっぽいな そうだ
ね 広告メール なるほどね 要は 休眠アカウント 非アクティブな
アカウントに対して何かやんない といけないってことですね だから
多分これあれや わかんないけど 韓国の法律かわかんないけど そもそも
非アクティブなアカウントのデータ を消してねっていう法律がもしか
したらあるのかもしれないですね
なるほどね それはあり得るね
消してなかったから アカウント のリカバリができてしまったよ
っていう話なのかもしれない
確かに なるほどね
わかんないけどね
確かにあり得るかも こんな公式 文書でわざわざ指摘するってことは
48:04
確かに確かに
それでいうと 別に日本も例外ではなくて 必要ないものは持たないで
ねっていう法律に一応なってる から 必要ないものを持っていた
ことがこうやって外形的に明らか になった場合は何らかお叱り
を受けるっていう可能性はある かもしれないですね
確かに
持ってないはずのものを持ってる じゃないかっていうつもりはある
かもしれない
いやーちゃんとやらないとダメ ですね メタでも怒られちゃうん
だな いやーでもなんか結構広告 周りというか広告周りお叱り
記事を月1回は結構こういうデカ めの罰金額で見るから気をつけ
なきゃいけないんだろうなっていう 気持ちでちょっと引っ張ってきた
って感じでした
まあねサードパーティーアドベント カレンダーの話とかもそうだけど
要はそういう規制でもう頑張る しかない状態にはなってるんだ
と思っていて
なぜかというとサードパーティー クッキーがサードパーティークッキー
アドベントカレンダーだね サードパーティークッキーがもう
その使えなくなる中で裏側の見えない ところで付き合わせるっていうの
をやるしかない状況に今後なって いくから
そうだねでもなんかそのフェイスブック はいわばその影響を受けづらい
類の
そうね自前で持ってるからね
そうそうでもなんかそれでもちゃんと やらないとこうやってメサが入れ
られて別に隠してる人はないんだろう けど法律に定職したり怒られる
っていうのは結構気を使うね 時代ですね浅い一言片付けてしまった
時代に追い付いてきて
浅いな
いいじゃんちょっと浅く行こう
浅く行こう
ありがとうございますはいじゃあガン ガン行きますよ次はこれはぶり
ハッカーニュースですねハッカーニュース のGoogle's AI tool BigSleep finds their
dependability in SQLite database engine っていう記事で何の記事かっていう
とGoogleのBigSleepっていうプロジェクト 名なのかLLMモデル名なのかなが
あるんですけれども
LLMの何かって書いてありますね
元々がプロジェクトナプタイム っていう
ナプタイムからビッグスリープ になったら面白いねどういう経緯
なんだろうね
そうね今年の6月に立ち上がった プロジェクトらしいんですけど
立ち上がったっていうか公開された プロジェクトなのかなこのLLMモデル
を使って脆弱さを探索するっていう プロジェクトで実際にSQLiteのゼロ
で脆弱さを発見できましたって 話ですね元ネタがGoogleの記事で
記事はブログプロジェクトゼロ 多分Google内のプロジェクトのブログ
51:02
があるんでそれの記事も貼っつけて あるんですけどざっくり言うと
見つけた脆弱性
これあれだよ何回か前にGoogleにも ゼロで探してるチームがあるよね
って話をしたと思うんだけど
そうだ繋がったねこれかまさに そのプロジェクトですね
遮ってしまいましたか
いいよ今ちょっとアハ体験プチ アハ体験できます
アハ体験
そうですね見つけた脆弱性はメモリ 関連のもので修正済みですよっていう
ところでこのプロジェクト自体 は今年の6月に詳細が発表されて
自動で脆弱性検出をLLMを使って アップロードするためのフレーマーク
として公開されたらしくて公開 っていうのがどこまで何をどう
公開したのかっていうところは 追ってないんですけどベースの
アイデア自体はセキュリティの 脆弱性をLLMで特定しましょうって
ただそれだけなんですけど特徴 としては人間が実際に脆弱性
を探索するときの行動っていう のを趣味として見つけられなかった
アプローチでプロジェクトを走 らせてるみたいでなんで実際に
その人間が探索の過程でやるような サンドボックス環境でスクリプト
を書いていろいろ試すとかそういう ものもLLMができるような形でフレーム
ワークを組んでるらしいですと 今回めちゃくちゃ見つけられた
んだけどただ一方で今回の結果 がめちゃくちゃ大きい成果かという
ような温度感っていうよりかは あくまで実験的なプロジェクト
で一つ成果が出たよっていう話 であるところとあと既存の従来
のアプローチと今んとこは同じ ぐらいのインパクトというか効果
がなんじゃないかっていうところ は釘を刺すように書いてあるっていう
ところが記事の概要として
でも出ていきなりそれなら十分 じゃないっていう感じか
そうだね結構有名があるなって 個人的には思ったしあとなんか
そのちょっと話が飛んじゃうというか 発生しちゃうかもしんないんだけど
どっかのポッドキャスで聞いた 話でCVE増えすぎ問題というか脆弱性
出てきすぎ問題みたいなところ に対してこれ減らさんともう無理
やろみたいな発表をNICAの人が 話をどっかでしててそれはそう
なんだけど難しいじゃんっていう 気持ちとでも目指すべきだよね
って気持ちが個人的にはありつつ そこに対して回答のうちの一つ
になってほしいなっていう個人的な お気持ちを感じたって感じですね
要するにリリース前のチェック としてってことだよね
54:01
そうそうそう世に出てしまう前に そもそも脆弱性がないプロダクト
なるべく多く作ろうよっていう
それは減らすっていう文脈では そうだね
なくせるとは思えないけどもちろん 全世界の全ソフトウェアがこれの
動きを受けられるわけではない だろうから実際にはシェアの大きい
ものからっていうところだと思 うんですけど
いやこれは面白いね面白い一方 でなんか超難しい数学の証明みたい
になったりすんのかな そのここに脆弱性がありますよ
って言ってるものを誰も理解できない みたいな性格になったりすんの
かな
難しすぎる
そこまではさすがにいかないの かななんだかそのエクスプロイト
コードなりなんかBOCのコードなり が出てくる形になるのかな
さすがに
誰でも何をしてるか理解できる のかなでもエクスプロイトなり
BOCのコードなりが何をしてるか 理解できるけどそれがなぜ刺さる
のか誰も理解できないなんかあり そうだよな
人類には早すぎるエクスプロイト が
なんかよくわからんけどそのなんていう かこのビックスリープみたいな
のがこのパッチ当てれば治ります よって言ってきたものを当てる
と治るけれどもなぜそのパッチ で治るのか誰も理解できないみたい
なのがなんかありそう
グーグラーが理解できなかった 世界で誰も理解できないかもね
いやワンチャールと思っていて なぜかというとそのLLMが生成した
コードに対してLLMが脆弱性診断 をセキュリティテストをするっていう
のが脆弱性の探索をするっていう のが起こり得るわけでしょ
そうだね
そうするとLLMが生成したコード を人間が理解するのがすごく難しい
っていうのがもし起こるとする とその習性もあるいはそこに生じ
ている脆弱性も分かりにくいっていう の全然あり得る世界だと思って
いて
確かにまぁでもLLMしか理解できない コードベースだったら攻撃者も
結局脆弱性探索できない
でも攻撃者もLLM使うし
それは確かにじゃあもうLLMバトル だなぁLLMデータね
LLMバトルになっちゃう
まぁでもちょっと
これがでも半業AIみたいなところ にもし仮にここから進化していく
とするとなんかターミネーター の世界になっていく
確かにねいややっと仕事辞められる ってことですね
このいやいやこのパッチを当てて くださいって言って当てたらなんか
全部乗っ取られました
それはターミネーターの世界だね
世界がね
ターミネーターの世界にならない ように頑張ってほしいところでは
あれ
そっちの
いやでも実際にはターミネーター を合わさずなんかターミネーター
を防ぐ人なんじゃない知らんけど
ターミネーターの内容覚えてねー よもう
なんかでもそこまで行くとさなんか いや分かんないけどなんかなり
そうだよな
まぁそうだね行くとこまで行くとね
なんかはない気がするんだけど ね行くとこまで行くとそうなり
57:00
そうだよね
まぁでもコード書くところはなぁ その0から100までっていう世界は
まだそんなに近くないんじゃない かって個人的に思ってるから
いやーでもつい何週間か前ぐらい になんかまだ全然ダメなんだよ
みたいな
DEF CONの話でしょあれとか今年の 夏にはまだ全然ダメなんだよみたいな
話をしてたにもかかわらずこれ でしょ今
まぁねまぁでもこれ多分かかってる コストが人情じゃない桁が違う
気はするけどねシンプルに
それはあるかもねそれはあるかもしれない けどでもそんなあっという間に圧縮
されていきそうじゃん
まぁそうねまぁまぁイタチゴック が始まるのか始まらんのか
人間の行動をシミュレートする っていうのがなんかこう今後の
発展としてどうなるのかちょっと 気になる
そうだね
LLMで言うのはそのなんて言ったら いいんだろうなあくまで言語モデル
であってっていう部分はあると思 っていてその中でこの人間の行動
をシミュレートするっていうの をLLMでうまくやる方法が見つかって
くるとなんかブレイクスルーが また起きそうだね
うんそうだねいや夢のいや早く 仕事やめたいなやめさせてくれよ
はいそんな感じです
いや夢のあるお話でした
これはねちょっと少しテンション 上がりましたあとは次はこれは
ねクラウドフレアアンバサダー っていう方アンバサダーそういう
名前じゃないですかクラウドフレア ジャパンのエヴァンジェリシャス
の方がいらっしゃってその人の 記事なんですけどEmailアドレス
の何度かobfuscation機能っていう タイトルの禅の記事でしてこれ
ちょっと取り上げたんですけど どういう記事かっていうとクラウドフレア
のタイトルのとおりの機能の名前 機能の紹介でクラウドフレアCDN
僕もそうだと思うんですけどアクセス 自体が人間が操作しているブラウザ
からなのかBotなのかスクリプト なのかっていうのを判定して判定
することができますとその判定を 利用して人間が見てないっぽい
ときはそのページにレンダリング されているEmailアドレスを何度
かするっていう機能があります っていうその紹介記事ですと僕
なんかあんま知らなかったんです けどこの辺のEmailを読まれ機械
的に読まれないようにする対策 っていうのをEmail部分だけ画像
化するみたいなアプローチで頑張 っている企業とかもいたりして
ただそういうアプローチってユーザー ビジットのトレードオフがあって
イマイチだよねみたいなところ に対してこういう機能が使えます
よっていう話をしていて 具体的に どうやってるのかっていう部分
はそのJavaScriptの何度か技術っていう のを使っていてこれ結構記事の
1:00:00
後半のほうぜひ読んでみてほしいん ですけど結構面白くて実際にデモ
みたいなの書いてあるんですけど Emailアドレスが書いてあるHTMLを
すごい短いHTML作ってそれをカール か何か経由で取ってくるとEmail
部分が文字列がマスクというか 謎の文字列に変わっててプラス
そこにその部分を人間が読める 形のEmailアドレスに置き換える
スクリプトがスッと差し込まれるん ですよねなんでCloudflareとかが動
的に生成したJavaScriptを読み込む ようにHTMLに差し込むっていうこと
をしててこの差し込まれたJavaScript の中身が何度かされてるからEmail
アドレスはEmailアドレスが一筋 ならでは読めませんよっていう
のがこの記事とかこの機能の概要 って感じですなんでそのEmailアドレス
を自動検知してマスクとかして くれるわけじゃなくてあくまで
何度かするだけなのでそれこそ ヘッドレスブラウザーとかでJavaScript
実行しちゃえば恐らく見えるはず なんでそういうBotとかあとその
何度か自体を解ける高度なBot とかに対しては効果がないですよ
っていうのが書いてありますっていう 記事でしたこれ結構おもろいし
結構やってること大胆だしあと 実際ユースケースどうなんだろう
なみたいなちょっと思ったりしたん ですけど
いやーのコメントで
ありがとうございますそうなんかCDN だからこそできるよなっていう
ちなみにこの機能はオプトイン なんで有効にしないと挙動はしないん
ですけど
なんか意味あんのかな
なんか個人的には困ったりしない ですか
まあでも確かに大量に集めたい ってなった時にそのヘッドレス
ブラウザーとか使ってらんねえよ っていうのは多分あるはずでだから
一定の効果はあるんだろうね今 の段階ではねしかなくても
分かんないけど名簿業者とかが 死ぬ気でクローリングしてもら
ったりするのかなそう結構ねへ っていうでもさなんかクローリング
されたからこういう実画があった みたいなとこまで繋がんないと
この機能あって便利ってならない 気がしててなんかこれがあって
嬉しい人の声を実際に聞いてみたい なって思いつつ
まあでもベタ書きできるってことは さあその
ああなるほどね
見る側からすると助かる部分は あるはずで
うんうん
でもこれメールトゥのURLの中に 入っているやつとかもやってく
れんのかな
その辺はどうだろうね分からん ねえあでもメールトゥででも
メールトゥになってる
うんでも自体はそうだねHRF
1:03:01
これはメールトゥなのかこれああ 本当だ
ちゃんと置き換わってるね
これでちゃんとメールトゥで
なんかHRFの中身はあれですね多分 動的に生成されたパスになってる
メールトゥ
メールトゥでhttpのリダイレクト できるのかなもう忘れちゃった
この辺
そもそもでもメールトゥじゃない そのパスに置き換わってるねこの
デモメール
そうそうだからhttpリダイレクト でメールトゥができればメール
トゥにリダイレクトできれば別に 飛ばした先で
メール収集みたいな
何とかなると思ったけどメール 収集じゃなくてそのメールクライアント
が立ち上がるでしょちゃんと
でもこの挙動自体は普通にアクセス したときにはならないから
普通にアクセスしたときには ならないの本当に表示されてる
だけでURLで読み込んでるのと同じ じゃないの
同じじゃないURLで読み込むとこの 内容が変わって違うか
違うでしょこれ同じものが返 ってるけどJSで複合して置き換えて
くれてるだけでしょ
そういうことかコピカのメール アドレスがHTML
ごめん読み違えてたそういう意味 かなるほどね確かにそういうこと
か
さすがにhttpダイレクションでメール トゥはできないと思うんだよな
だから挙動変わっちゃうよねこれ 違うな違うなでもHREFの中も置き
換えてくれてるの
そうHREFの中も多分パスの名前 的には同的に生成してるからクリック
すると吉那に処理するんじゃない かなメール
吉那に処理吉那に処理した先で だってメールクライアントの立ち上げ
ってユーザーインタラクション なしでは多分できないと思うん
だよねだからリンククリックして 飛んだ先で勝手に立ち上がるは
できないと思うんだけど
なるほどねどうなんでしょうか ちょっと実際にデモ見てみたい
な
やってみないねなんかデモのページ 貼ってくれればいいのにな
いやまあさすがに上昇させるわけ にはいかないんじゃない公式の
デモページとかあればいけるね
ちょっとなんかよくわからんけど
読み違えてたな
と思うんだけどね
なるほど確かにあとあれかデメリット としては遅延もちょっと増える
よっていう話はあるね動的に毎回 HTMLを書き換えてるからまあまあ
トレッドオフありつつ確かにな でもベタ書きできるのは嬉しい
っていうのは確かにメールトゥの 挙動はもし使いたい人がいたら
動作確認して教えてください
1:06:03
だって絶対これそのもともとの 挙動を再現できてないと思うん
だけどな本当にクリックしてメール クライアントが立ち上がります
まで書いて欲しいけどなできれば
まあはい
ノーコメントで
ありがとうございますノーコメント ありがとうございますはいじゃあ
次ラッシュ最後かな最後僕の今日 本当にうん最後ですよ
ああ本当だ
うんなんだかんだね
最後にオフトピが待ってる感じ ですね
そうですねNTTコミュニケーションズ のエンジニアズブログの特殊詐欺
のコミュニティで行われてる活動 についてという記事でして特殊
詐欺に関する詳しい手口等の紹介 がされてる記事ですはいでも本当に
そういう記事って感じで結構その 多分一般の人でも読めるぐらい
の解像度でいろんなことが書いて あって具体的には特殊詐欺に加
担させるためにどんな入り口を 悪い人たちが用意してるのかって
話とかそこに入り込んできた人たち にどういういわゆる闇バイト
みたいなものとかを持ちかけたり するのかっていうところとかまた
これへえと思ったんですけど特殊 詐欺のコミュニティ内で売買されてる
その犯罪道具みたいなものの紹介 とかまたアカウント系の買取や
レンタルや違法薬物の販売みたいな ところに関して紹介がされてます
面白いのが各特殊詐欺みたいな ところの具体的な例えばSNSのポスト
とか多分誘導された先のLINEなのか 何なのか分かんないですけどチャット
ツールか何かやり取りしてるときの 案件の文面みたいなものをキャプチャー
で紹介してくれていてなんで結構 実際に引っかかってしまうという
これ多分生の架空のデータとかじゃなくて 生データをリサーチで引っ張ってきた
キャプチャーしたってやつだと思 うんですけどその文面があらゆる
業態というか例えば受け子だったら こういう文面で募集かかってる
とか入刑空き屋の確認だったら こういうのみたいなのが具体的に
紹介されてるんで結構面白いな と思ったって感じですね
個人的には家族に分かんない高校 生ぐらいのお子さんがいる自分
にもしいたら読んでほしい記事 だなっていうのは思ってて結構
なんか僕らみたいな仕事してた りキャッチアップしてたら文面
見たら一発アウトっていうのは すぐ分かるんですけど特殊詐欺
1:09:03
について全然知らなくてリテラシー が低くてめっちゃお金に困ってる
若者とかだったらこれに引っかか ってしまうのは正直分かってしまう
なという気持ちにはなるなと思 っていて結構うーんみたいなところ
ですね 入受けバイトとか大阪に住んでる
人で月50万みたいな 荷物受け取ったり郵送したり空き
屋の確認をするだけですみたいな 感じで知識なかったら犯罪って
分かんないかなみたいな50万って 怪しいけどまあ50万もらえない
やっちゃうかみたいなまあまあ なっちゃうよねみたいなところ
思ったっていう感じですね またなんか記事の最後の方と最初
の方にも傾向があるんですけど まあこれやったらちゃんと犯罪
ですよっていうところと決して 狩り罪ではないっていうところ
でやっぱりねこのバイトやって しまって悪意がなかったとしても
多分その親玉大体捕まらずにその 実行犯の自分だけは捕まって善果
がついてしまってのは悲しいこと なんでまあ啓蒙していくしかない
だろうなあっていう気持ちとっていう ところですね
どうしたらいいんだろうねどうしたら いいんでしょうね本当に
これ後半の画面多分テレグラム かなんかだと思うんだけど
うんうんうんうんうんうんうん 本性になってるね
このありとあらゆるコミュニケーション チャンネルがある中ってそのいや
限界があるよな 限界うんその
これ募集かけてるだけだと多分 いやあ引っ張れるかって
バレー テレグラムって使ったことない
からわかんないんだけどこれって どういうなんかタイムライン的な
感じで流れてくるのかななんか グループみたいなのがあってそこに
流れてくるのかな グループライン的なやつがあるの
かなって勝手に思ってたねなんか そんな感じがするよね
うんうんうんうんうんうんうんうん 別の記事とかでもそのなんかなんだ
っけフィッシングツールキット のグループライン的なところが
あってそこでやりとる云々みたいな 記述とかを見たから多分そういう
概念があるんじゃないかな いやあ根本的に無くすのはきつい
だろうねだってなんかなんだっけ なフレーズ忘れたけどツイッター
で普通にタイマーの販売募集ツイート とかめっちゃこのワードで調べる
と山ほど出てくるみたいなのを 何回もかけて
あるね検索したら死ぬほど出て きてこれ放置するしかないのか
みたいな 警察側もいちいち開示制御かけて
一個一個ショッピー切るわけでもない だろうし
追いつかないよね 結構厳しい戦い強いられてるよね
1:12:04
しかもこれこっち側のリテラシー が多分上がってきたらまた別の
手で騙してくるわけだろうし うーんって感じですねどっか
ここ押さえればもう何もできない っていうポイントがどっかにあれば
いいんだろうけどね いやないんじゃない
そうだね かなり厳しい気がするけどな
なんかいろんなものを犠牲にしない と多分実現できなくて
大多数の善良な人間のためにじゃあ そこまでやるのかって言っても
大多数の善良な人間守るために やるんだよみたいな話でもある
し その辺のトレードオフが果たして 世の中に許容されるのかっていう
あるいは世の中に許容されるところ までこの問題が大きく膨らむか
のどっちかだと思っていて 具体的にはじゃあ検閲しましょう
みたいな話になったときがあった ところかなり
その所定がさその緩む所定が通 ってしまえばあとはもうずるずる
いっちゃうだろうから そこをじゃあ本当に許容できるの
なんかこれこのためにそれをやって いいのみたいな
確かにいや厳しいですね あともうこの物理の普通の犯罪
も分業化が進んでるっていうのは なんかいや犯罪も行動化してます
ねっていう いやなんか今の義務教育とかって
どんな感じなんだろうねなんか そのいやゼロにはできないけど
さ僕らが育ったときはさこういう 話ってそんなになかったじゃない
ですか教育の中で いやでもなあ手を返しなおかえ
だしなあ 投資のことと不自然な報酬に対する
怪しさをぐらいはなんか義務教育 でインプットしてほしいな投資
中かいや投資はあれなんですけど そう
いやどうしたらいいんだろうね でもどう教育すんの教育すると
さ教わったこれじゃないから大丈夫 っていう正常性バイアスが今度
働くようになる ああまあそれでいうとそうだね
だから一ゼロじゃない教育が急 にそう難易度の高い教育が必要
かもね 疑うまあ嘘を見抜く力をどうにか
つけないといけないのかな いやでも詐欺とかが成立してしまう
1:15:00
ぐらいだからさこの世の中 ものすごく嘘のうまい人っていう
のはやっぱいるわけですよ 確かにね
なんかどうしたらいいのかちょっと まあ答えがない僕も別に何か持ち合わせ
てるわけじゃないんだ大案がない その知的でしかないんだけれども
これは 身のまあ自分の手の届く範囲にまあ
守りたい人とか何かがあるんだ ったらそこはせめて
それぞれがやるしかないよなぁとは 確かに思うんだけど
どこまで行っても行き届かない のはもう多分そうではあるから
はいまあ難しいなっていう どうしたらいいんだろうね
まあ例えば街中監視カメラだらけ になってもいいですかこれのため
にとか なんだか多分トレードオフが要求
されるレベルにもう来てしまっている 気はしていて
ここからもっと何かその どんどん広がっていくようなら
そうだねー
これしかり 今週か先週取り上げなかったけど
facebook のなんか 広告詐欺も
めっちゃいた地獄みたいな 見たりね
トレードオフがね はい
まあかなり難しい問題です
怖いよね普通に 普通に怖い
ちゃんと怖いんだなっていうのがね
まあその結構ねこのブログで書いて あるそのキャプチャーとか情報が
普通に正確としてたら手に入んない 情報がかなり入っている記事なんで
ぜひ1回目を通してみてください
はい じゃあ最後ですか
はい お願いします
オフトピでございますが 不機嫌に見えたとしてもあなたのせいではない宣言
いつものコニファーさんのブログですね
基本タイトルそのままのなんか割と短い 記事なんでぜひ読んでみてくださいっていう
感じなんですが 常にご機嫌でいるのってまあ人間だし難しいよねっていうことを書いてくれていて
いっそそのまあご機嫌でいられない時はなんか不機嫌に見えるかもしれないけどあなたのせいじゃないよっていうのを先に伝えておくといいかもしれないねっていうのを書いてくれている
僕はなんか割と声にやりがちというか
見られそう
今日元気ないですとかなんか あんま機嫌よくないですとか言うんだけど
こういうの言語化してくれるのありがたいなと思って
確かにねこれねマジで
めっちゃ僕もわかるわかるって気持ちで
なんかねエンジニアリングマネージャーの仕事っていう本があるんですけどこれにね書いてあったんだよね確か
1:18:04
どこだっけなちょっとまあパッと見つけられたらって気持ち今開いててパッと見つけられないんであれなんですけど書いてあることも全く一緒で
特に多分
エンジニアリングマネージャーの文脈はそのワンワンの多分文脈で
ワンワンの時にその日自分の調子が悪いとか体調が悪いとか機嫌は何かしらの理由で悪いって時にその態度のままワンワンした時に
その立場上そのマネージャーというメンバーっていう関係性の中でメンバー目線でそれを見た時に何も情報がなかったら
自分のパフォーマンスが悪いからなのかとか
何かフィードバックしたいことがあって言ってないのかとかそういう無意味なその思考を生み出す
バイアスがねそうプロセスでしかないからもう一番最初にまあそういうのは絶対に言うべきみたいなのが
まあ小西さんが言ってることと全く一緒なんだけど本当に個人的には思うしあとこの僕ら
全員がそうではないですけどまあ少なくとも僕らは結構リモートで働くことが多い中でそのリモートワークだと特にこれ大事だなって気がしていて
まず何か取れる情報量がやっぱオンラインだと少ないし
あとその今日調子悪いですかみたいなのも結構な関係性がないと多分聞けない
大丈夫ですか起きてますかみたいな
対面とかだったらさまだちょっと例えばワンワンする部屋間会議室まで歩くまでの間とかでちょっと雑談してとかあるけどまあそういうのもないし
またその人によってはそのいろんな事情でカメラをまあスタイルとか事情でカメラを映さない人とかいるけどまあそうなっちゃうともうとうとうわかんないじゃんね
何を考えてるのかみたいな
いい面悪い面あると思うけどねそのある種その感情のブレが大きい人のその感情のブレみたいなのが逆にぼかされる面もあると思っていてそのリモートで
あーまあ確かに確かに
確かにその同じ場同じ空気だからこそ余計わかってしまうものっていうのも多分あるはずで
確かにねそれは確かに
これなんか逆にすごいマジで人の心がない発言なんだけどその
自分のせいで相手が不機嫌だったとしてもそれは俺のせいじゃないっていう精神も必要だと思っていて
あーなるほどね
うん
それはその心は
え?別に
いやいくつかパターンがある
いろんなパターンはあると思うけど例えばなんか別にわかんないけどこういろんなパターンがあるよなその別に
なんだろうこう正論パンチをすることによって相手が不機嫌になるかもしれないけど別にそれは俺のせいじゃない
あーそれはそうだねそれは間違いない確かに確かにそういうケースはそうだね
1:21:01
で別に俺がなんかミスした相手が不機嫌だったとしてもまぁ別にしないよてめえの機嫌はてめえで取れっていうスタンス
確かに俺なんか俺もなんかまぁわかると思いつつ俺のロジックはそのわかんないなんか
いやわかんないまぁ人間なんで100点取るのは無理なんですけどその不機嫌さをろこつに
出すことしか発散できない事自体が社会人種として未熟じゃないと思うから
それはそうまぁとはいえ人間だものっていう話なので
そうだねそうだね
それを良しとする話では全然ないんだけど
とはいえっていう話ねあくまでねあるじゃんどうしてもね
うんうんいやあると思う
逆に裏返すとその何を裏返してるのかわかんないけどその
あなたのせいで不機嫌だけど別にあなたのせいではないですっていう宣言も実は必要なパターンがあるのかもなってちょっと思った
ごめんもう一回言って
あなたのせいで不機嫌だけど別にあなたのせいではないですって宣言するパターンももしかしたらあるのかもなって思った
あなたのせいで不機嫌ではないけど
あなたのせいで不機嫌だけど別にあなたのせいではないです
どういうこと?
どういうふうってなる?詳しくってなるよそれ
今めっちゃ不機嫌だけど別にそれはあなたが悪いわけではない
別にあなたのせいだけど別にあなたのあなたが悪いわけではないよ
あーなるほどまぁまぁまぁわかるかも
実としてあなたのせいで不機嫌だけど私は今
別にそれはあなたがあなたが悪いわけではないよと
人間宣言だよねその自分人間宣言ってことだよね
あーそれはいいかもね
私にもその一端はあるし何なら組織にもその一端はあるかもしれないし
まぁ色々多分パターンはあると思うんだけど
今あなたのせいで不機嫌だけどっていうのは絶対あると思っていて
おもろいなぁ確かにいいねなんか人間性出るな
俺だったらそういう場面あったら別の方法でフォローしてお茶を濁して
言わないけど俺も言わないと思うけどね
言わないと思うよ絶対言わないと思う言えないよ言えない
どうやったらなんかへし折らずに今この場を乗り切れるかなっていうことしか
頭がもうそっちに全然向かなくなっちゃうむしろ
確かにねなるほど
いやおもろいね
いやーこれはね
まぁでも大事ですね
マネージャーでなくても個人的に大事だと思うな
そういうそのコミュニケーションがあるっていうのを知った上で
そのある種の図太さというか別になんか
こいつなんか不機嫌だけど別に
俺のせいであろうが俺のせいじゃなかろうが別に俺のせいじゃないよねっていう
そのある種の図太さは多分必要で
そうだね
左右されちゃうとね
そういう雰囲気でコントロールできると思われたくないって気持ちはあるわ
1:24:01
なんかその意地とかじゃなくてその仕事の仕方として
大事な気がするね
いやーいいっすね
むしろ何不機嫌になってんだよって別に言うまであるからな
そうだねそうだね
いやー
不機嫌になってんじゃねーよって多分
なると思う
人間だねー
お互いに不機嫌になるっていう
地獄かな
闇が深すぎる
いやーありがとうございます
いいっすねー小林さん
小林さんすごいペースで記事書くよな
なんか雑アウトプットのなんかその
そう
みんなあると思うんだけどさ
これを出し続けるのすごいよね
そうだねー
習慣なんだろうね
一日
一日一本書いてんのかこれ
っていうよりなんかその
なんかその
誰かの何かの助けになるかものハードルをこうすごく
自分で頑張って下げてやってるんだろうなって思うから
あーそうだね
いやーでも
まあそうだねそれもあるしでもこのペースでアウトプットはすごい
普通に習慣としてすごいわ
流れてっちゃうもんねなんか
積み重ねなんだろうね過去も
そうだね
ここ最近がすごい量なのか
ここ最近なんか雑にアウトプットするようにしてるみたいなのがツイッターで見かけた気がする
いいねまあアウトプットは正義ですからね
真似したいなー
終わりたいなーとは思うんだけどね
僕はオフとしてこれを拾うことしかできない
そのコメントを
まあねブロック書くの大変だからな
なのでまあこの場でねこうやって拾って
適当に雑に触れて雑に話して
なんか行くことしかできない
大事ですよ血肉にしてこう
まあというなんかある種の図太さというかなんか
両面あるよねその
私人間です宣言をするのはなんか
勇気のいる場面はもしかしたらあるかもしれないし
いやー
ありがとうございます
こんな感じですか
はいこんな感じですね
すごいなんか最後すごいすごい
いい話で終わってしまったけど
いい話で終わりましたよ
いやーなんか
いいっすねなんだかんだ色々あるなー
いやーAIに早く仕事バットしなー
やっぱAIのトピックなんだかんだ多いなー
時代だねー
早くAIにこのポッドキャストやってほしい
それ俺らが聞きたいよね
やろうと思えば多分できるんだよ今も
その記事のような
まあね要約させてね
AさんとBさんで
こういう特徴ってインプットして
1:27:00
対話形式
あの1時間喋ったら
1時間半ぐらいになるプロット作ってって言って
文章作って
それを
俺らが読んでいくの
いやずんだもんが読むんだよ
ずんだもんが読むんだよね
それでもう完成です
できちゃいそうでヤダな
やってみる
9.5とか
50回記念とかでやろうぜ
9.5でさ
今回と9.5で
今回のやつをトレースさせてみて
それぐらいクオリティの差が出るの
それをちょこちょこ9.5で挟んでやってって
進化を体験していく
なるほどね確かに
オフトピで
記事ごとの分量の差が
めっちゃ出そうで面白そうだな
あとハルシネーションが怖すぎるな
さすがに
多分ヤバいと思う
ただいろんな
定まらない
概念があるから
っていうのもあるし
難しいと思う
でもビッグスリープが
何かできてるからな
それっぽいこと
ビッグスリープは
生み出してるっていうよりかは
探索してるわけでしょ
審議判定が
究極やりやすい
領域じゃん
POCとかこいつが出してきたとして
それがまず動くのかっていう
こうなったらNGっていう
そうそうそうそう
作り出す方は結構
難しいよね
確かにね
あれから連想して
これを引っ張り出してくるみたいな
まだ難しいと思うんだよね
だいぶ不正な話から
野村証券の
出せないと思うし
不機嫌に見えたとしても
あなたの制限について
どう話を膨らませるのか
すごく興味あるけど
まず不機嫌という概念を
どう
それっぽいのは出せるだろうけど
全然別物になりそうだね
AIが発達するまでは
コツコツ週一で頑張っていきましょう
はい
じゃあ今週はそんな感じで
皆さんおやすみなさい
おやすみなさい
