Hiromitsu Takagi @HiromitsuTakagi

@mabow ごく短い？私が検索サイトで見たときは「23 days ago」とありましたよ。さらにそれより前からでしょうね。 #librahack

posted at 12:25:45

8月31日

朝日新聞記事によると「7月中旬～8月4日…状態だった」とのこと。#librahack RT @mabow なんかここでの話と違う説明だ。篠栗町立図書館今回の報道に対する説明。http://town.sasaguri.fukuoka.jp/si/index_si031.html

posted at 10:21:23

2010年08月29日(日)38 tweets

@plaindiet 不正アクセス禁止法は関係ありません。 #librahack

posted at 13:35:14

15年前、一般的な検索エンジン等のクローラロボットからの連続アクセスでダウンするのは直さなければならない可用性欠如の脆弱性として既に合意はあった。当たり前すぎて忘れられていた15年間。三菱電機ISの意固地により、明文化が必要な事態となってしまった。 #librahack

posted at 07:29:31

@hmori 上界と上限を混同しなければいいだけのこと。 #librahack

posted at 07:24:22

いつまで無関係な話を続けているんだ。#librahack RT @a_kotani アクセスが多いと言う程度とか、しばらくっていう時間とかの一般的定義は難しいかな。極論しちゃえばアーキテクチャとしての絶対的な限界は存在するしね。

posted at 06:57:30

@a_kotani もうすぐ昇華するから。あなたと議論する価値はないようです。 #librahack

posted at 06:36:06

9年前、XSS脆弱性は直さなければならない欠陥として合意が形成されていなかった。7年前、オレオレ証明書は欠陥として合意が形成されていなかった。5年前、入力画面からSSLでないのは欠陥として合意が形成されていなかった。3年前… #librahack

posted at 06:35:12

@a_kotani 何が客観的に欠陥と言えるか。これは技術者での合意を経てやっと一般の常識へと昇華する。これはWebアプリケーションの専門家として私がこの10年、繰り返し作業してきたこと。今回の脆弱性もその一つ。まもなく昇華するところ。 #librahack

posted at 06:28:35

@a_kotani その通りで、何を今更言ってるの？ってところ。SQLインジェクション脆弱性発覚時でも同様。何年も前からいまだに。 #librahack

posted at 06:03:55

@omochimetaru 基本です。最初の朝日新聞記事に書かれています。一方、それについてのMDISの解釈は → http://twitter.com/kanda_daisuke/status/21708016913 #librahack

posted at 05:49:41

@a_kotani 契約がどうであれ、たとえばSQLインジェクション脆弱性があれば欠陥です。（それを否定してください） #librahack

posted at 05:30:42

http://archive.itif.org/index.php?id=247 Federal Government Policy on the Use of Persistent Internet Cookies: Time for Change or …

posted at 05:28:06

.@i2k http://twitter.com/tetsutalow/status/22376522346 によると、「保有個人情報」にあたらないという理由で許されるという返事が来そうです。結論は妥当でも、理屈がおかしいと思っています。

posted at 05:22:27

http://www.cmswire.com/cms/web-cms/web-analytics-us-federal-government-cookie-policy-under-review-004846.php

posted at 05:17:10

言えません。典型的な詭弁です。#librahack RT @a_kotani DB 接続を開放しない程度の実装が欠陥なのであれば、変数の参照を明示的に外さなかったり、GC に依存した上チューニングも行わなくても欠陥と言えるし

posted at 05:09:12

第一者cookieを使うGoogle Analyticsは良いのですが、第三者cookieを用いる他のビーコン型アクセス解析ツール等は（オプトアウト機能がなければ）問題があります。日本では何が該当しますかね。RT @tmsnr GAに限らずすべてのビーコン型ツールに言えますよね。

posted at 05:07:21

一方、日本の政府は……ショボーン

posted at 04:56:55

…今年6月に改訂されて緩和されたようですね。http://radar.oreilly.com/2010/06/omb-updates-rules-for-cookies.html http://go.usa.gov/3SV @i2k

posted at 04:56:00

2000年6月の http://www.whitehouse.gov/omb/memoranda_m00-13/ と2003年改訂の http://www.whitehouse.gov/omb/memoranda_m03-22 が根拠で、… @i2k

posted at 04:53:23

@a_kotani たとえば、SQLインジェクション脆弱性があれば欠陥です。 #librahack

posted at 04:38:13

@a_kotani 欠陥です。それとも「欠陥」という言葉の定義を云々する言葉遊びがしたいのですか？ #librahack

posted at 04:32:14

@a_kotani もしかして未だに欠陥の原因を理解できない非技術者の方ですか。 #librahack

posted at 04:26:33

すごいなあ。「convert … to session cookies. …to comply with US government regulations forbidding the usage of persistent cookies on .gov websites」

posted at 04:23:33

なんと興味深い。「convert all persistent cookies to session cookies.…to comply with US gov…」 RT @i2k ちなみにアメリカでは政府向けにカスタマイズされている。 http://bit.ly/bNo3UQ

posted at 04:22:02

ちなみに私の基準では、Google Analyticsは第三者cookieを使用していないことから問題性は相当に小さく、オプトアウト不要、通知または表示があれば十分という判断。ところが個人情報保護法は、経産省解釈では設置サイト側で識別性があれば個人情報という。本末転倒と言いたい。

posted at 04:07:16

@_sofira いいえ。

posted at 03:54:02

…これをGoogleに提供するのは合法か？個人識別性を送信元での照合可能性で判断するのは経産省解釈。しかし、行政機関個人情報保護法で提供が制限されるのは保有個人情報で、保有個人情報とは「職員が組織的に利用するものとして…保有しているもの」だから、この閲覧者識別番号は該当しない？

posted at 03:52:06

…番号は当該フォーム送信データと照合することで特定個人の識別ができることとなるものとなる。この番号はGoogleに送られており、Google側では何と照合しても特定個人を識別できない（サイト毎に独立した番号なので）が、送信元の行政機関では照合可能性があり個人情報。これを…

posted at 03:48:34

Google Analyticsを導入すると、設置したサイトごとに独立した閲覧者識別番号が第一者cookieとして発行され、この番号と当該サイトでのアクセスの履歴がGoogleへ送信される。当該サイト上に意見フォーム等の住所氏名の送信機能があると、それを使用した人について、番号…

posted at 03:44:21

@suzukimasatomo むむ、つまり、保有個人情報とは「行政機関の職員が職務上…であって当該行政機関の職員が組織的に利用するものとして当該行政機関が保有しているもの」なので、Google AnalyticsでGoogleへ提供されているものは該当しない？

posted at 03:38:04

@rakugodesi 言いたいことがあるなら他人に意味がわかるように書きな。 #librahack

posted at 02:54:51

@a_kotani 意味がわかりません。 #librahack

posted at 02:52:52

@rakugodesi で？馬鹿なの？ #librahack

posted at 02:46:58

@plaindiet 全然おわかりでない。仮にこれが欠陥が原因でなく、連続アクセスで停止するのが普通という架空世界でなら、停止させた者は故意が疑われ、刑事事件になるのは当然。その仮定が間違いだから問題なのであって、だから欠陥が原因であることを示すことが重要。 #librahack

posted at 02:34:28

Hiromitsu Takagiさんがリツイート

Masanori Kusunoki / 楠正憲@masanork

期待の展開 QT @HiromitsuTakagi: うああ。質問状送る。 RT @take0704 http://www.meti.go.jp/ QT @HiromitsuTakagi:急募：行政機関のWebサイトでGoogle Analyticsを導入しているところってある？

retweeted at 00:32:33

うああ。統一基準ではどうなってるんだっけ？（「情報セキュリティ対策のための」だから行政機関個人情報保護法遵守の手段は対象外？） RT @dechnostick 首相官邸

posted at 00:28:31

札幌高等検察庁と広島高等検察庁もか。

posted at 00:15:26

うああ。質問状送る。 RT @take0704 http://www.meti.go.jp/

posted at 00:02:52

行政機関個人情報保護法は、一般の個人情報保護法と違って、「個人情報」の定義において「容易に」の限定が無く、他の情報と照合することができる可能性が存在すれば（それがたとえ容易でなくても）個人情報であり、つまり、一般より幅広く個人情報と定義していて、一般より厳しいのです。

posted at 00:01:56

2010年08月28日(土)20 tweets

急募：行政機関のWebサイトでGoogle Analyticsを導入しているところってある？

posted at 23:45:45

@YanaseTooru …市議会はどうお考えなのか、全国に向けて立場を明らかにして頂きたくお願いするしだいです。 #librahack

posted at 23:36:44

@YanaseTooru …払拭されるかに見えましたが、図書館長が会見で「図書館には非がなく、男性のプログラムの方法がまずい」（毎日新聞より）と述べたことで元の木阿弥となりました。岡崎市によって日本全体の技術進歩が阻害されようとしています。この点を市議会は… #librahack

posted at 23:35:58

@YanaseTooru もう1つ大局的見地で岡崎市の問題があります。今回の事件で連続アクセス＝犯罪という誤った認識が広まってしまいました。新技術の芽が摘まれて日本の産業の発展にブレーキがかかる虞れが生じています。朝日新聞報道によってそれは払拭されるかに… #librahack

posted at 23:32:44

@lamaille_mayuko ですから、私宛に言うのではなく、議員さん宛に。#librahack タグは多すぎてて追いかけられていないと思われ。議員さん宛には、要点を整理して簡潔に述べること。

posted at 22:35:46

@lamaille_mayuko ちゃんとID指定で自分の意見を伝えましょう。 #librahack

posted at 21:58:02

@lamaille_mayuko そういったことは市議会議員の先生に取り組んで頂くことではないでしょうか。 #librahack

posted at 21:40:58

@rakugodesi 官報。 #librahack

posted at 21:22:55

@YanaseTooru 是非お願いしたいのは新聞報道された図書館長の「図書館側のソフトに不具合はない」を訂正して頂くことです。「不具合がないならなぜrobots.txtを置いていたのか？他で行われていないのになぜか？」を問えばよいのではないかと思います。 #librahack

posted at 21:22:38

@YanaseTooru 22日朝刊の記事で図書館長曰く「図書館側のソフトに不具合はない」とのこと。しかし、不具合があるからrobots.txtを設置してきたのであって、他の全国の公共機関を見てまわっても、こんなことをしているのは三菱採用の図書館だけです。… #librahack

posted at 21:15:10

@YanaseTooru …なったばかりか、国会図書館法違反の状態になっていたというものです。国会図書館向けに設定を直せば済むという問題ではないわけです。また、業者の欺瞞だけならまだしも、今回、図書館までもが嘘を通そうとしている点が問題です。朝日新聞22日… #librahack

posted at 21:07:58

@YanaseTooru …欺瞞というのは、業者が自社システムの欠陥の原因に気づきながら、欠陥を認めないためにそれを直さず、場当たり対処として/robots.txtを置いてクローラを排除してきたことです。その結果、Googleにもちゃんと表示されなくなった… #librahack

posted at 20:59:33

@YanaseTooru 国会図書館法違反の件はそれ自体は問題性が小さい（設定の修正で違法状態を解消できる）もので、重要なことは、この違反に今まで気づかなかったことが示す図書館の不勉強さと、この杜撰な設定を続けてきた保守委託先業者の無能もしくは欺瞞です。… #librahack

posted at 20:57:08

@YanaseTooru …台数を増やすことを要求されていて、根拠のないコスト増を強いられようとしているという話です。中野区の場合についての詳しくは、Twitterの検索欄に「moritakayuki HiromitsuTakagi」と入れると一覧できます。 #librahack

posted at 19:52:38

@YanaseTooru 岡崎では今年中に随意契約で三菱電機ISの図書館システムを新型のソフトに移行することになっていると聞きましたが、東京中野区と同じ問題がないか確認されてはいかがでしょうか。つまり、ソフトを新型に置き換えるにあたって、ハードウェアの台数… #librahack

posted at 19:47:53

@lamaille_mayuko たしか、WebサーバとDBサーバは物理的に2台あるという話だったはず。「目録サーバ」がWeb向けDBサーバで、「目録更新端末」からの操作で、「業務サーバ」のDBとの同期をしているのかな？ #librahack

posted at 19:43:07

Hiromitsu Takagiさんがリツイート

神田大介@kanda_daisuke

@HiromitsuTakagi 警察はMDISに捜査協力を求めたことを、取材に対して明らかにしています。専門的知見を求めるためとのことですが、具体的内容についてはわかりません。 #librahack

retweeted at 07:22:29

…なので、社会的に意義があると信ずるなら他人のプライバシーを暴くことがあるのも、私の行動として矛盾したものというわけではないわけです。

posted at 04:20:09

…この点を取り違えている人をよく見かけますね。Facebookではどうたらとか持ち出す人々など。

posted at 01:02:38