  |
はてなキーワード: originとは
QRオーダー系のサービスについて、いくつか脆弱性が指摘されている記事を読んだ。
もちろん、スタッフ呼び出しAPIが本当に誰でも叩ける状態なら、それは直した方がいいと思う。店舗オペレーションを乱せるし、いたずらや業務妨害につながる可能性はある。
ただ、記事全体としては「脆弱性」と呼んでいるものの中に、実際にはそこまで問題ではなさそうなものがかなり混ざっているように感じた。
まず、Origin や Referer を検証していないことについて。
これは主に、ブラウザ経由で第三者のユーザーを勝手に操作させる CSRF 対策として意味があるものだと思う。
でも、APIを curl や自作クライアントから叩けること自体を防ぐものではない。Origin / Referer を見たところで、ブラウザ外のクライアントからのアクセスは普通に偽装できる。
なので、「Origin / Referer を検証していないから非公式クライアントから叩ける」という話にするのは、ちょっと論点がずれているように見える。
問題にすべきなのは Origin ではなく、そのAPIに認証・認可が必要なのかどうかだと思う。
ここは問題だと思う。
店舗IDやテーブル番号のような情報だけでスタッフ呼び出しができるなら、いたずらはできてしまう。これは直した方がいい。
ただし、これも「金銭被害が出る」とか「個人情報が漏れる」とか「注文を改ざんできる」といった話とは別だ。
影響としては、主に店舗オペレーションへの迷惑、つまり業務妨害寄りのリスクだと思う。
だから、重大脆弱性というよりは、認証・レート制限・QRセッションとの紐付け・異常検知あたりで潰すべき設計不備、という評価が近いのではないか。
これも、そこまで大きな問題には見えない。
メニュー名、商品ID、価格、カテゴリのような情報が取れるという話なら、それは基本的に来店客に表示される情報だ。
もちろん、未公開メニューや内部用フラグ、在庫、原価、店舗運用上の非公開情報まで取れるなら話は変わる。
でも、単にメニューのマスターが取れるだけなら、それはセキュリティというよりスクレイピング対策や負荷対策の話に近い。
公開される前提の情報をAPIでまとめて取得できることを、深刻な情報漏えいのように扱うのは少し違和感がある。
これも「そういう設計なのでは」と思う。
QRオーダーは、そもそもログインなしで使えることに価値がある。客にアカウント登録させず、席にあるQRを読んだ人をその席の利用者として扱う。これはUX上かなり自然な設計だ。
この場合、QRコードやURLは一種の bearer token になる。
もちろん、そのURLが漏れたら困る。だから、推測困難であること、一定時間で失効すること、会計後に無効化されること、注文時に追加の状態検証があることは大事だ。
でも、「QRを知っている人に権限がある」という設計自体を脆弱性と呼ぶのは乱暴だと思う。
もしそれを否定するなら、QRオーダーというUX自体がかなり成立しにくくなる。
どんなWebサービスでも、公開API、ログイン後API、管理API、参照API、更新APIは混在する。
メニュー検索のような公開に近いAPIが非保護で、注文や決済や管理機能が保護されているなら、それは普通の設計だと思う。
「保護APIと非保護APIが混在している」というだけでは、脆弱性の説明としては弱い。
今回の記事で一番気になったのは、非公式クライアントから叩けること、Origin / Referer の話、CSRF の話、スクレイピングの話、スタッフ呼び出しの話が、かなり雑に一つの「脆弱性」としてまとめられているように見える点だ。
もちろん、改善した方がいい点はある。
特にスタッフ呼び出しAPIは、いたずらを防ぐために何らかの制限を入れた方がいいと思う。
ただ、それ以外については、
が混ざっているように感じる。
でも、「重大な脆弱性です」という話にするなら、実際に何が守られるべき情報で、誰が、どの権限で、何を不正にできるのかをもう少し分けて考える必要があると思う。
少なくとも、自分には「スタッフ呼び出しAPIは直した方がいい。ただし、それ以外はそこまで大きな問題には見えない」というのが率直な感想だった。
まーた読んでない増田か
"Post-secondary participation and graduation", p43-44, https://unesdoc.unesco.org/ark:/48223/pf0000397622
Case study – Japan: Gender focused Affirmative Action Policy in Higher Education
Japan’s Diversity, Equity, and Inclusion (DEI) initiatives in HE offer a nuanced case study of affirmative action policies with a predominant focus on gender. These initiatives have largely centred on increasing female representation, particularly in STEM fields, through targeted admissionsand hiring practicessuch as female-only quotas. While inspired by Western DEI models, Japan’s implementation has been selective and narrow, often overlooking other dimensions of disadvantage such as socioeconomic status, rural origin, and even the underrepresentation of men in certain academic tracks.
Overall, the implementation of these initiatives has led toincremental gains in female participation, especially in traditionally male-dominated disciplines (Kunitake, 2025). However, statistical analyses from institutions such as Doshisha University reveal a more complex picture: while women are more likely to pursue higher education, men are increasingly underrepresented, particularly in non-STEM fields, and are more likely to enter the workforce directly after high school. Moreover, students from low-income households and rural areas face significant barriers to accessing higher education due to the high costs of tuition and living expenses, which are not adequately addressed by current DEI policies (Kunitake, 2025).
Kunitake’s (2025) findings highlight a critical issue: Japan’s DEI efforts have disproportionately focused on gender, often overlooking other dimensions of disadvantage such as socioeconomic status, geographic origin, and male underrepresentation in certain academic tracks. The study also references the gender equality paradox, suggesting that in more gender-equal societies like Japan, inherent gender preferences in career choices may become more pronounced, complicating the rationale for gender-targeted interventions (Kunitake, 2025).
The challenges identified include:
- Selective application of diversity principles, with limited attention to intersectionality.
- Potential reverse discrimination and social resistance to gender-exclusive policies.
- Lack of comprehensive evaluation mechanisms to assess the effectiveness and equity of DEI initiatives.
YouTube見る時はuBlock Originを導入したFirefoxを使えばいいだけのこと。PCでもスマホでもね
バックグラウンド再生はPCなら単純にすべての動画でできるピクチャーインピクチャーをホバーアイコンから有効化すればいいし
スマホでもVideo Background Play Fixというアドオンを導入したらよくてロック画面でも音だけ流したりできる
https://gigazine.net/news/20250306-video-background-play-fix-firefox/
PCユーザーでどうしてもFirefoxに移行するのが嫌で使いたくないって場合はChromiumベースのHeliumを使うといい
はてなブックマークや増田で機能する、NGワードを元に記事を非表示にする方法をまとめました。
現在も機能する方法という観点で調べてみましたが、有力な抜け漏れがあったら教えてください。
ChromeとFirefoxの拡張で、はてなブックマークに有効。デフォルトで非表示になるサイト多数あり。AndroidならFirefox版が動くかも。
はてブの記事を、キーワードや URL でミュートする Chrome 拡張を作った (はてなミュート)
[はてブ]uBlock Originで特定のエントリーを隠す方法のメモ
増田でuBlock Originを使って特定の単語を含むエントリーを隠す方法のメモ
広告ブロック uBlock Origin を使っている場合に活用できる。同 Lite 版でも「カスタムフィルター」機能を使って対応できる。はてなブックマークだけでなく増田にも有効。面倒だろうけどAndroidならFirefox版が動くかも。
Tampermonkeyなどのユーザースクリプトを適用する拡張と共に、またはブックマークレットとして使う。はてなブックマークの増田一覧にだけ有効。スマホの場合アプリでは動かないが、面倒だけどブラウザでは動く※。キーワードはノイズとなりやすいユーザーを中心に常時メンテナンス中。
[増田しぐさ] 増田CSSを紹介する記事(英文スパム対策付き)
Stylusなどのスタイルシートを適用する拡張と共に使う。増田にだけ有効。面倒だけどスマホでも動く。スパム対策はビジネスや詐欺のURLを中心に常時メンテナンス中。
※ スマホでのユーザースクリプトの動かし方
https://chatgpt.com/share/6936aa6a-e2dc-800f-ab39-021d68a25b87
検索用: はてなブックマーク はてブ はてな匿名ダイアリー 増田 スパム キーワード NGワード フィルタ ミュート 非表示 削除 隠す ブロック ユーザースクリプト ユーザースタイル hatena bookmark anond spam keywords ngwords filter mute hide hidden display none block userscript JavaScript js css style
2時間以内の返品を本気で考えた初めてのタイトルになっていたはずだからだ。
自分の溜飲を下げるためだけにこのしょうもない長文を書いている。
内容としては、ツクールMZ製のごく一般的・平均的な一本道ノベル+ミニゲーム。
まあ話の筋は普通に面白いけど、面白いのはARG的にお出しされる業界裏話が露悪的だからで、特にゲーム性が面白いとか、ミニゲームが歯ごたえあるとか、そういうことはない。
ミニゲームパートからノベルパートに遷移する方法を探る辺りに少しゲーム性があるくらいだ。
だったらそこにフォーカスして20面くらい出してくれたほうがまだよかった。
エピローグを見るためには、ノベルパートとは直接関係ないポイントをクリックして得られる情報の中にあるパス群を探し、所定の場所で入力する必要がある。
それ以外に分岐も何もなく、ただただパスを探してノベルを周回する作業が発生する。
勘の良いプレイヤー、あるいは全てを隅々まで調べないと気がすまないプレイヤーなら一周で済ませられるだろうが、ちゃんと見つけにくい仕掛けも意図的に仕掛けられている。
表示速度がややゆっくりで、かつ速度変更できるコンフィグ画面もないので、イライラして連打しているとクリックポイントに気付いても触る前に次の画面に進んでしまう事故が発生する。
なぜイライラするのか、というともう一点、クリックポイントを探すべきノベルパートに行くためには、必ずミニゲームパートをやらなければいけないからだ。
このミニゲームパートが、クリアしてもクリア済みステージをスキップできないし、一応加速も出来るようだが大して早くならない。
前のステージにも任意で戻ることが出来ず、通過済みステージをリプレイ(し、そのシーンから遷移するノベルパートを再読)するためには、全5ステージのミニゲームを一度最後まで完走して、その後に表示されるステージセレクト画面に移動しなければいけない。
つまり、一つでも見落としたが最後、スキップできない5ステージを、ノベルパートに移行するフラグを踏まないよう注意しながら最後までクリアし、そこからまた任意のステージを選んで戻るということを繰り返しプレイしなければならない。
このミニゲームは作中で「嫌々作らされたクソゲー」ということになっているが、いくらクソゲーという体だからって本当にクソ仕様でお出しするバカがあるか。
そしてこのミニゲーム、「当時のPCゲーの再現」という側面も持っていて、その点においてグラフィック・ボイス共に非常に秀逸なのだが(一度何某かの情報サイトで見ることをおすすめする、買うのはおすすめしない)、その秀逸さ故に何度も見せられるとだんだんしんどくなってくる。
今の時代にまだこんなしんどい声色できる人いるんだ…と最初は笑ったが、後々幾度となく頭を抱える羽目になった。
令和やぞ。令和にコンフィグ画面無しで有償リリースってしていいんだ。
考えれば怪しい部分はいくつかあって、その中の一つに「SEにツクールMZデフォルト決定音が使われている」というのがあった。
これの何がいけないのかというと、ツクールMZのデフォルト決定音というのは由緒正しいSE素材で、古くはツクール2000でもRTPに採用されている、親の声より聞いたあまり音質の良くないSE素材にあたる(XP頃に一度不採用になったが、その後VXかVXAceあたりで復活したと記憶している)
個人的な持論として、こだわりのあるゲーム制作者であれば、まず効果音を独自のものにするのは最初の変更箇所の一つに数えられるものだと考えているのだが、もうとにかく好きでこのSE以外決定音に使うつもりは一切ない!だとか、何らかの意図なくツクールデフォルト決定音を採用している辺りで、このゲームに対してどのくらいこだわりをもって作られているのか、ある程度察するべきだった。
チープさの演出にしたってもうちょっとなんか、なんかあるだろ……!
当時の美少女PCゲーってもっとこう、ぷにぷにしたかわいいSEとかじゃないのか……!
ツクール感をほぼ感じさせない作り込みで、常に背景のどこかしらに動きがあり、緊迫したシーンを盛り上げ飽きさせない仕掛けになっている。
それだけに、僅かなシーンで採用されているツクールMZデフォルトのマップ画面がチープさを際立たせている。
ぶつかるだけでイベントが発生するキャラクターが狭いマップに詰め込まれているせいで操作性も最悪。
そういうシーンといえばそうなんだけど、作中人物に対しての理不尽をプレイヤーへの理不尽と同一化するな。
エンディングには申し訳程度に取ってつけたようなトリックがあったりするが、いきなりの上に薄すぎてそっかぁ…としかならなかった。
それをやりたいなら最初から匂わせておいて、最後に「やっぱりね!」ってプレイヤーに思わせてくれよ。頼むよ。
こんな見えてる地雷になぜ引っかかったのかというと、PRに限りなく力が入っていたからだ。
イベント出店時のブースは見栄えするように作られており、SNSも活発で非常に力を込めて制作していることのアピールを繰り返し行っていた。
あるイベントでは持ち歩き用のタイトル入りショッパーを配布するなど、もうお誕生日壁席大手サークルみたいな動きを堂々としていたからだ。
だから、「これはインディーの中でも触っておいたほうがいいタイトルなのかな……」という気分にさせられた。
これがPRの力であり、人間は簡単に広告で騙されるという愚かさの証明になっている。
みんな同じような感想を抱えているのか、それともARGとしての今後の展開を期待して口を噤んでいるのかは分からない。
総じて、ARGで、人間関係のドロドロがテーマで、こんな凡作に収めることが出来るのか。という驚きが強い。
ゲーム中から見つけられるXの関連アカウントも、思わせぶりなPOSTと写真がいくつか上がっているだけで、特に動きは見られない。
いったい何がしたかったのか、それとも今後大きな動きがあるのか。それを期待する熱はとうに失われている。
おそらく、自分自身はこの制作陣のゲームは二度と買わないと思うし、なんならパブリッシャーの今後の動きも全てスルーしてしまいたい考えになっている。
そして問題だと思うのは、「インディーゲー売りたかったらイベント出展!ウィッシュリスト数稼ぎ!」と声高に叫ばれている中、自分は「イベントに力入れてるタイトルは広告詐欺なんちゃうか??」という疑念を抱いてしまったことだ。
インディーゲーム自体がそろそろ、面白い奴が面白いことをやっている時期が過ぎて、面白くない奴が面白い奴の真似事をし始めたのか……?という疑問を抱く。某ニコニコ動画で何度も見た懐かしい流れだ。もうこの後は全く面白くもない有象無象が荒らして情報商材屋が暴れてスパムとAIにまみれ、面白い奴は別のところでまた別のことを始めるんだろうか。
uBlacklistとかいうの、権限が怪しいから削除して、uBlock originのルールに置き換えた。
! 検索結果からの除外リスト (Google検索用 - jscontroller属性方式) google.*##a[href*="facebook.com"]:upward([jscontroller]) google.*##a[href*="meta.com"]:upward([jscontroller]) google.*##a[href*="x.com"]:upward([jscontroller]) google.*##a[href*="twitter.com"]:upward([jscontroller]) google.*##a[href*="reddit.com"]:upward([jscontroller]) google.*##a[href*="chiebukuro.yahoo.co.jp"]:upward([jscontroller]) google.*##a[href*="threads.com"]:upward([jscontroller]) google.*##a[href*="tiktok.com"]:upward([jscontroller]) google.*##a[href*="togetter.com"]:upward([jscontroller]) google.*##a[href*="5ch.net"]:upward([jscontroller]) google.*##a[href*="hatena.ne.jp"]:upward([jscontroller]) google.*##a[href*="hatelabo.jp"]:upward([jscontroller]) google.*##a[href*="quora.com"]:upward([jscontroller]) google.*##a[href*="youtube.com"]:upward([jscontroller]) google.*##a[href*="instagram.com"]:upward([jscontroller]) google.*##a[href*="pinterest.com"]:upward([jscontroller]) google.*##a[href*="hatenablog.com"]:upward([jscontroller]) google.*##a[href*="hatena.co.jp"]:upward([jscontroller]) google.*##a[href*="zendesk.com"]:upward([jscontroller]) google.*##a[href*="2ch.sc"]:upward([jscontroller]) google.*##a[href*="vietnam.vn"]:upward([jscontroller])
数日前に配信された、マイクロソフトとソニー、それぞれの最新情報紹介映像で発表されたタイトルについて、競合機種で遊べるものがどれくらい含まれるか軽くチェックしてみた。
こうしてみてみるとソフトの充実度合いではもう完全に差が開いてしまってる感があるな。
| タイトル | PS5対応 | 備考 |
|---|---|---|
| Forza Horizon 6 | △ | PS5版は後から発売予定 |
| ガングレイヴ・ゴア:ブラッドヒート | 〇 | |
| Aniimo | ? | コンソール機対応とのみ表記 |
| モンハンストーリーズ3 | 〇 | |
| ホテル・バルセロナ | 〇 | |
| Rhythm Doctor | - | |
| ロマンシング サガ2 リベンジオブザセブン | 〇 | PS4/PS5版は2024年10月発売済 |
| 星砂島物語 | 〇 | |
| Microsoft Flight Simulator 2024 | 〇 | |
| NINJA GAIDEN 4 | 〇 | |
| Age of Mythology:Retold | 〇 | |
| CoD: BO7 | 〇 |
| タイトル | Xbox対応 | 備考 |
|---|---|---|
| ウルヴァリン | - | |
| Microsoft Flight Simulator 2024 | 〇 | Xbox版は2024年11月発売済 |
| BATTLEFIELD 6 | 〇 | |
| CODE VEIN II | 〇 | |
| SAROS | - | |
| 紅の砂漠 | 〇 | |
| 仁王3 | - | |
| クロノスクリプト | - | |
| Deus Ex Remastered | - | |
| LET IT DIE: INFERNO | - | |
| ZERO PARADES | - | |
| 七つの大罪:Origin | - | |
| ハロウィン:ザ・ゲーム | 〇 | |
| Last Epoch | - | |
| グランツーリスモ7 | - | |
| ソニックレーシング クロスワールド | - | |
| 真・三國無双2 with猛将伝 Remastered | 〇 |
webサービスのほうでブロック機能を用意してほしい所ですが、実際のところ期待できないというのが正直なところです。
また、サービス毎にブラウザ拡張を用意するのも、それはそれで面倒だし複雑なので、uBlock Originのマイフィルターでブロックできるようにしてみました。
! 2025/00/00 https://news.yahoo.co.jp
! 2025/00/00 https://b.hatena.ne.jp/
b.hatena.ne.jp##.entrylist-contents:has-text(/堀江貴文|ホリエモン|西村博之|ひろゆき/)
b.hatena.ne.jp##.entrylist-contents:has(a:is([href*="anond.hatelabo.jp/"], [href*="togetter.com/"]))
! 2025/00/00 https://www.youtube.com/
! [YouTube] Title Keyword Filter
youtube.com##:is(ytd-rich-item-renderer, ytd-video-renderer, ytd-compact-video-renderer, ytd-grid-video-renderer, ytd-playlist-panel-video-renderer):has-text(/堀江貴文|ホリエモン|西村博之|ひろゆき/)
youtube.com##:is(ytd-rich-item-renderer, ytd-video-renderer, ytd-compact-video-renderer, ytd-grid-video-renderer):has(#channel-name:has-text(/堀江貴文|ホリエモン|西村博之|ひろゆき/))
