■ - hoshikuzu | star_dust の書斎

■ケダモノリンクに関して対話を試みる。

kitanoさんのダイアリーコメント欄から抜粋

# kitano: 『いろいろ意見は読ませてもらっていますが、http://d.hatena.ne.jp/kitano/20040408 で書いた私の見解は、21日現在、変わっていませんし、今回のリンク、あるいはトラックバックスパムだのといった主張には理由が無いと考えています。8日のdoroyamadaさんの提案はいい考えだと思ったので、方法を変えて、キーワードへのリンクは継続します。後日、18日までのリンクについて私なりの分析、意見を書く予定ですのでそれを見てご判断下さい。hoshikuzuさんのご主張ですが、国家の市民社会への監視を、「監視＝悪」とミスリードしていると私は考えています。7日で私が使った「監視」という言葉が、「国家の市民社会への監視」の「監視」と“同じであるはずがない”のですが、同じだと解釈した人がいることに驚きました。正直、hoshikuzuさんのお寒いご主張にはコメントする価値がないというのが私の感想ですが、現時点では、私の行動を変えなければならない理由があるとは思えないとは書いておきたいと思います。もちろん、私の発言をどう批判しようとそれは言論の自由です。他者から参照され、批判される可能性を持っていることを前提に私は発言しているのですから。hoshikuzuさんが私のダイアリーにリンクを張ったように、リンクやトラックバックは言論の自由の利便性を増やしてくれます。』
# kitano: 『例のページでは600人ぐらいにリンクをはってますが、リンク外してくださいという人が一人、別に反対しないが注意書きを上にも書いてくれというのが一人いただけで（両者とも対応済）、トラックバック送らないでくださいと言ってきた人はひとりもいませんでした。メール自体は10件以上来てますが、前述の二人を除き、「ヒミツの大計画なり自作自演説に信憑性があるとの前提で話題にしていた人は一部の変った人だということがわかって良かった」「注意書き読んでいない悪意の人に何言ってもムダ」などといった評価をいただいております。まあそれが静かなる多数派の常識的な認識なのでしょう。』
# hoshikuzu: 『どうも。拙論をお読み頂いて恐縮です。kitanoさんが仰るには【私なりの分析、意見を書く予定ですのでそれを見てご判断下さい。】とのこと、お待ち申し上げます。ところでkitanoさんは現時点でリンクやトラックバックスパムについてのご自身のお考えには変わりがないと仰っています。しかし、トラックバックスパムと言われるような行為を現在停止なさっておいでですね。kotanoさんによる後日の分析、意見に際しては、現時点で「トラックバックスパム」と言われるような行為を停止した事由に関して明確な理由をお聞きできるものと期待をしております。また、くだんの所謂「ケダモノリスト」の「ケダモノ」記述に関してまして「■■■■」に編集しなおしていらっしゃることも注目させて頂いております。kitanoさんの内部でなんらかの意見の変化があったのではと思われますので、明確なアナウンスをお願いいたします。なお、「国家の市民社会への監視」に関してまして私のスタンスは「反吐が出る」というひとことですんでしまいます。私のこの立場は、kitanoさんと同様であるはずだと期待をしています。私は、「監視＝悪」であるとミスリードしているのではありません。例えば市民が国家などの政体をチェックする機能は民主主義に不可欠と思っております。私がKitanoさんの行動に疑念を申し上げている点は「多くの善良なはてな市民への一個人(kitanoさん)による侮蔑的なレッテルを貼りながらの脅迫的監視」を行っているのでは？という点です。「市民による国家への監視」は当然ＯＫですが、「国家の市民に対する監視」と「kitanoさんによるはてな市民への監視」は嬉しくない人もいるのでは？という気持ちです。kitanoさん、このへん、明確な御主張をお聞かせ下さい。また、「自作自演」キーワードによる【意味の無いように思える】多量のトラックバックに対して、kitanoさんは「自作自演というキーワードをはずせば送らなくなる」という趣旨のご発言をなさっておいでですが、なにゆえ、kitanoさん個人の行為によって、被リンク者が日記の編集内容を変更しなければならないのか理解に苦しみます。キーワードを自分の個人的見解による実験の為に私物化する行為を、どうかおやめ下さい。なお、kitanoさんの行為を迷惑である、あるいは、もっとひどくて、犯罪であると感じる人の多くは、「怪しい人に個人情報（メールアドレスなど）を渡してはならない」というインターネット社会の自己防衛の原則に従っている可能性があることも考慮にいれるべきです。従いまして、賛成メール反対メールの構成比はkitanoさんの行動がどのように受けとめられているかの正確な尺度にはなりません。 kitanoさんが仰るには【hoshikuzuさんが私のダイアリーにリンクを張ったように】とのことですが、明確な論説を記述し、そのご案内をkitanoさんに明示するものとしてリンクおよびコメント欄ポストを致しました。内容の吟味もなしにジュッパヒトカラゲな不当なラベルのついた機械的に生成した「ケダモノリンク」というのとはワケが違います。同一視しないで頂けたらと存じます。』

現段階での私の判断

b4-ttさんが提唱した「トラックバックスパム認定」がkitanoさんの行動に歯止めをかけているのかどうかまでは判断しかねました。なんらかの必要性があって、kitanoさんは行動様式の変更をしているのですが私はkitanoさんの御主張の本意をつかみかねています。kitanoさんの今後の「ケダモノリスト総括」を期待して待つこととなりましょう。

iframe要素をもって他者の著作物を自分のページに埋めこみ「リンクなんだから正当な権利がある」と主張するのはやめましょう。iframe要素は自らのコンテンツに（例えば他者の）コンテンツを埋めこむ行為です。わかりやすく言えば、他人が描いた画像を自分のサイトのページにimg要素を使って埋め込む行為と変わりません。matunagaさんのサイトがiframeにより他者サイトのページに埋めこまれた事件を見ての感想。興味深かったのは、HTMLの原理原則に詳しいと思われる人の一部が上の簡単明瞭な事実にきがつかなかったこと。確かにiframe要素のレンダリングにあたってはブラウザ内部でリンク的なモジュールが動くのだろうけど。でも、それは、a要素のhref属性で参照するリンクとはワケが違います。閲覧者には、コンテンツがどこのサイトのものであるかを明確に知る権利があります。（セキュリティー面でもね（＾＾））マウスを使うユーザならば、コンテンツに対してクリックすることでURLアドレスバーにそのコンテンツのURLが明示されることが望まれます。iframe要素ではクリックする前に同一ページ内でレンダリングされますので、よほど注意しないと盗用になります。類似例では、frame要素を使って自作サイドバーと別フレームに他サイトのページを表示する行いがあります。これは非常によろしくないですね。

リンクはWEBの心臓部

私はＷＷＷでのリンクは制限されるべきでないと固く信じる者です。リンクは心臓です。心臓を止めれば死んでしまいます。リンクお断りとかトップページにお願いしますとかは、ＷＷＷの使い方を知らない者の誤りであろうと思っています。

逆に、上のことをもって、【リンクＯＫ、万事ＯＫ】であると言う人には、次のように言います。『あなたが言うリンクって正しい意味でのリンクですか？』

既に述べた、iframe要素はリンクだから好きにやらせよや、とか言う論をHTMLはかくあるべしと普段ご高説を垂れる人が言うのですから世の中こまったものです。フィッシング詐欺メールにも悪意あるリンクがテンコモリです。

WWWにおいてリンクする行為は、まず、自分の記述があり、その記述にとって参考になる意見、反対者の意見、などを閲覧者に紹介するものです。けして、ブラウザに備わっているリンク機能を誤用・乱用ないし濫用する行為ではありません。ちょっと固いことを言えば、学者さんの書く論文において参考文献をあげる行為がリンクに相当します。これが正しいリンクの使い方です。けして個人や特定の組織、集団の金銭的な利益の為に使われてはいけませんし、悪意ある風評を流す為に使われてはいけません。スパム的な行為は慎むべきです。エゴによるリンクは非常に見苦しいものです。

リンクは有用な道具です。Webの心臓部です。この大切なリンクを誤って使うことのないようにお願いしたいと思います。誤った使い方が氾濫すればWebはやがて衰退していくでしょう。リンクはケギライされ、厳格な身分提示のある者だけが少数で認証しあう会員制のクラブが乱立し、互いになんの連絡もない閉鎖的な社会が待ちうける事も蓋然性としてはあるのです。

はてなキーワードによる自動リンク

はてなダーアリーではキーワードによる自動リンクが大きな特色となっています。私はこの特色が良い方向で発展することを願うものです。ここでは詳細を述べませんが、ざっと書きとめておきます。キーワードによる全自動のリンクないし被リンクはデメリットが大きくなってきたので廃止すべきと考えます。逆に、キーワードによる便宜性の極めて高い半自動リンク機能の実装を、ダイアリー記述者に提供することを、はてな開発陣に希望したいなと思います。キーワードの一覧が提供され、記述者が明示的に被リンクを望むキーワードの選択を行うことが出来る機能が欲しいのです。また、出来ればそれとは独立にリンクする機能も欲しいところです。

現在、一部のキーワードリンクの品質が下がりまくっています。いや、多くの、かな？全自動なものだから、雑音が多すぎて有効な文献を拾うことが難しくなっているからです。思わぬ被リンクがツライこともありますしね。選択権をはてなダイアリー記述者に与えるべきと考えています。記述者による明示的なキーワードリンク参加こそがキーワードシステムの将来を決定的に助ける事でしょう。それははてなダイアリーのさらなる発展につながるはずです。

■ケダモノリンクに関して対話を試みたのだが。。。。

kitanoさんのダイアリーコメント欄からまたまた抜粋

抜粋させて頂きました。続きらしいのですが私との対話の因果関係が良く読み取れません。

# kitano: 『特に追加して申し上げることはございません。メールを寄せられる多くの方が仰る通り特にコメントの要は無いと存じますが、トラックバックスパム(と言われる行為の定義が定かではありませんが)は最初からないという前提で見解の相違があること、■■■■の表現についてはプライベートなメーリングリストでケダモノじゃなくてドウブツだ、バイコクだ、違うマケイヌだと議論になり、どちらでも解釈できる表現として変更したこと(とネタバラしたら面白さが半減してしまいますが)、を申し上げておきます。なんというか徹夜で書いたラブレター的な思い込みとミスリードの連続のhoshikuzu氏のコメントは、申し訳ありませんが正直どうでもいいです。以後、id:hoshikuzu氏の当ダイアリーでのコメントは当分の間ご遠慮願い、必要があればメールのみでの対応とさせていただきます。ご苦労様でした。』

トラックバックスパム(と言われる行為の定義が定かではありませんが)は最初からないという前提なのだそうで、では勇気ある被害者さん達が自らのダイアリーにて不快感をあえて表明している事実がないと、そういう意味なのでしょうか？いや、待てよ？トラックバックを使ってスパムもしくは「スパムでないこと」をしたことはkitanoさんが自らの日記で書きとめていらっしゃいます。間違いないことでしょうに。きっとスパムではないと仰りたいのかな。自作自演のキーワードを使っている人にはわざわざ監視の上毎日トラックバックを示威的に送ることを、かっこ悪いからスパムと呼びたくないということなのでしょうか？

まぁ私自身が参照できないkitanoさん宛てのメールとかプライベートなメーリングリストでkitanoさんへの支持表明があったと仮定するしかありませんね。どうやら身内だけの多数決で決めるらしい。いや、考えすぎかなぁ。少なくとも、私との対話においてしっかりと根拠のある自説を展開することはなくて、身内が支持しているからいいやと。さて、その身内？がいるメーリングリストでは、どんな話が出ているのかさっぱりわかりません。kitanoさんがおっしゃるには、kitanoさんを含めてどんな雰囲気なのかを引用すると、■■■■の表現についてはプライベートなメーリングリストでケダモノじゃなくてドウブツだ、バイコクだ、違うマケイヌだと議論になり、どちらでも解釈できる表現として変更したこと(とネタバラしたら面白さが半減してしまいますが)（強調はhoshikuzu)なのですか。そうですか。いったいぜんたい、なにゆえに、自作自演説に無縁な人々も含め無差別にはてな市民への、自分の示威的監視のラベルがケダモノであったりドウブツであったりバイコクであったりマケイヌであったりが面白いのか、、もはやまっとうな見解とは思えない領域ですね。なんでそんなにヒトサマで遊べるんだろう。kitanoさんはエライんですかね、たぶん？

ええっと、出来るだけ理性的に対話をしようと思っていましたが、こんな状況では無理ですね。以後、id:hoshikuzu氏の当ダイアリーでのコメントは当分の間ご遠慮願いという要請もありますが、自分の土俵でカッコワルイことをこれ以上晒せないのでしょうかね。民主主義者としての力量はありませんね。私からの意見なりなんなりの主要部分に関してはまったくもって回答不能な状態ですのでこれ以上の対話は出来ませんと、そういうことなのでしょうか？

市民監視をして示威的なイヤガラセをまきちらして公の場ではイイカオして影で仲間内や取り巻きと共に被害者達、人間をあざ笑う、そんな人？には激しく疑問符をつけざるをえません。こんな人がのさばると人権無視の、取り巻きだけゴキゲンうかがっていれば機嫌の良い独裁政権のボスになるでしょうね。反論者かどうかは関係無く全市民を監視し検閲し、討論はせずに意見があれば黙殺し、回答不能になれば詭弁をろうしたデマゴギーをふりまき、、、権力握られたら、きっと普通の感覚の人間は死刑ですよ。

腐臭が漂っています。その腐った口でこれ以上『正義』を語るな！穢らわしい。

えんがちょきった。

■はてなカウンターでのXSS脆弱性について

はてなカウンターでのXSS脆弱性について発表されています。

はてなカウンターでのXSS脆弱性についての発表がなされています。この手の発表は、けしてはてなの各システムが脆弱である事を示しているのではありません。むしろ脆弱性対処の鑑（かがみ）として誇るべき発表と考えて良いでしょう。昨日の深夜に報告メールを私がしていますので、修正は半日未満で完了という迅速さです。技術陣の誠実さ、優秀さを表しています。はてなダイアリーのベータ版から私はユーザですが、一貫した「はてな」の誠実さにはベタ惚れです。他に移る気がしません。

指摘した人物の公表がなされない点について

不正アクセス禁止法の運用に関する判例が少なく、また、充分に社会的なコンセンサスが得られていない為か、指摘した人物の発表がなされないことになったと思われます。推測とは言え、この配慮には感謝いたします。これで良いのだと思います。さて、自分が使っているツールのセキュリティー上の問題点があるかどうかを自衛の為に検査すること、今回私が行った事ですが、これすら不正アクセス禁止法に抵触するという説すらある現状です。悲しむべき事態です。私ははてなカウンターの利用者として自衛をする権利を選びましたし、このことがカウンター利用者の益にもなるものと確信しております。いつになるかわからない公の報告の窓口設営までは待っていられません。危険性の放置は出来ませんから。

技術的に見て、この度のはてなカウンターでのXSS脆弱性の珍しい点

なにかのご参考になろうかと技術者向けにトピックを設けました。はてなカウンターを設置後、通常利用するにあたって、設置者はキーボードを使う必要性がありません。（あらたにカウンターを設置するときぐらいでしょうか。）カウンター解析結果を参照する各画面には事実上ユーザ入力欄がなく出力表示項目だけがあるのです。すべてのユーザ入力を信用するな、とはXSS対策の定石です。この定石の観点では、はてなカウンターのXSS対策はほとんど完璧だったのではないかと思われます。リファラの検査もなされていることなど含め、ログとして記録されつURLもしっかりエスケープされています。ましてやユーザによるキーボード入力を表示することもなさそうでした。

私は設置した当日、これらの検査をざっとですがおこなっています。その際には調査に漏れがあることに気がつきませんでした。どこに見落としがあったかと言うと、ズバリ、解析結果を表示しているページのURLアドレスです。これが汚染されることによって、複数ページにまたがった場合の各ページ間の移動を行う為のリンク部分も汚染されてしまうのでした。このケース、厳密に言えばHTTPの404エラー画面がURLをエスケープせずに表示することと似ているのかもしれませんが、なにぶんにもそのURLは今回の場合には画面上に陽に現れているわけではありません。このことが開発時の脆弱性検査の網を逃れた理由でしょうし、私が偶然（パンチミス・タイポ）で見つけなければ発見できなかった理由でもありましょう。本当に珍しい事例です。技術者さん達は心に留めておくとよろしいでしょう。

hoshikuzu | star_dust の書斎

■