caprinのミク廃更生日記

初音ミクやVocaloid、ゲームやアニメのニュースサイト

はまちやを甘やかすな (kyoumoeの日記30歳)

はまちや 礼節

http://d.hatena.ne.jp/kyoumoe/20070201#1170317752

はてブ含めてこういうのを見ると日本も終わりだなと思う。
ガキが葬式で走り回ってるのと何が違うんだ。
何度も何度も言うが、こういうのは高校生が「校則がおかしい」と言って髪を染めたり、制服のサイズを変えたりしてるのと一緒なんだよ。
相手の態度がおかしいと思ったらちゃんと指摘するべきであって、馬鹿にした態度を取ればいいというものではない。
もちろん、相手が馬鹿にしてきたときにカウンターかけるなら分からないでもない。
俺もやってるしね。
でも、相手がちゃんとした言葉遣いをしてちゃんと対応しているのだったらこちらもそれなりの態度で応じるべきだ。
それができないのはただの馬鹿、ただの非常識でしかない。
それがキャラクターだというのなら、すべての生活をそのキャラクターで貫き通せ。
それができないのなら単なるガキだ。
それを認めてるのもガキ。

 「日本がこれで終わり」とかは思わないし、あとの追記の例えもちょっと分からないが、だいたいは同意する。でも、この人のテキストさえも最終的に「全然わかりませんよ><」とかちゃかされそうだ。(はてブでは『Hamachiya2 そうだね、きっと小魚たくさんたべるといいよ! ぼくも一緒にいっぱい食べてあげるから大丈夫!』と書かれたようだ。何、このコメント!?) TPOはある程度わきまえたい。はてな内ではてなユーザー同士が戯れたり、Disったりするのは自由だが、相手が真面目に仕事でやっているような場で「僕、はまちちゃん!!」とか言われたら、仕事で対応しなければいけない用件としては最下層の方に後回しにされるだけだ。


IPAの返事

はまちや2様

ウェブアプリケーション脆弱性関連情報を届出いただき、ありが
とうございます。

本件につきまして、ガイドラインの以下の項目に記載がありますよ
うに、届出の際には発見者様の氏名をご記入頂いております。
これは、責任ある届出を促すためであり、匿名やハンドルネームの
届出は受理できませんので、実名での届出にご協力をお願い致します。

                                                                                                                    • -

「情報セキュリティ早期警戒パートナーシップガイドライン」P.17
 V.ウェブアプリケーションに係る脆弱性関連情報取扱
2. 発見者の対応
4) 届け出る情報の内容
・発見者の氏名・連絡先

http://www.ipa.go.jp/security/ciadr/partnership_guide.pdf

                                                                                                                  • -

お手数をおかけしますが、実名をご連絡して下さるようお願い致します。

また、届出では、連絡先をウェブサイト運営者に通知しても良いとなっ
ていましたが、実名をウェブサイト運営者に通知したくない場合、その
旨をご連絡頂ければ、第三者にはまちや2様の実名が通知される事はあ
りませんので、ご安心ください。

以上、よろしくお願い致します。

 お堅いし、テンプレート的だが、それほどおかしな対応ではないと思うのだが……。究極的にはここで出てくる「実名を出せ」という要求に正当性があるかどうかだが、「はまちや2」の宛名で最初に送ったこの届出にも丁寧に対応していると思う。だから、匿名でも真面目に書けばちゃんと対応してくれるようにも思うのだが、なんでそこで「メタ推理」とか言うかなあ……。それに最初の返事があまりにもアレな内容だから、法人としてはちょっと様子見をしているようにも見える。相手がやばそうな相手ならこれくらいの態度は普通じゃないのか!?


・はまちや氏の返事

IPAさまへ

はいこんにちは!
先日のぼくからの報告についてダメ出しをいただいちゃいました
はまちや2ですこんにちは!

えーと要約すると、本名じゃなきゃ仕事しないもーん、って言ってるんですよね!
いいですいいですよ! わかります! go.jpですもんね!

で、問題にしているその「はまちや2」ってなまえですけれど
本名ですよ! ぼくという人格が書いたと特定可能という意味で超本名です!
それとも戸籍上の名前が必要でしょうか!
であれば、証明書等が必要でないかぎり、やっぱり「はまちや2」でいいですよ!
あなたはいまのところそれを戸籍上の本名か否かを判断する術が、
「メタ推理」するしかないわけなんだもんね。

それにほら、
検索クエリに3分待っても反応がないようなサイト運営してるところに
戸籍上の名前を預けるようなリスクを負う意味わかんないですよ><

もし、それでもIPAたんが仕事できないってことなら、
しかたないので、ぼくのブログかなにかで今回の脆弱性を大公開して、
利用者に注意喚起するしかないかな><
それってお互いに超ざんねん…!

 本来の脆弱性の話とか、匿名の正当性の話とかの前に、考えておくことがありそうだ。人によっては「常識的な態度を取れ」とか言っても「常識的って何ですか!?」って、なるかもしれないが。

 まず「名を名乗れ」と言ってることがそれほどまずいことなのか私には分からない。自分の安全性が確保出来ない!? IPAも別にあなたの本名なんか本来聞くメリットはない。ただ、責任の所在を持たせる障壁として「はまちや」と本名では偉い違いがあると思う。それよりも、なんでもかんでも個人情報保護法案なんかを盾にして、名前も伝えない方がよっぽど異常だと思うのだけど……。最近の小学校なんかも「個人情報を漏らしたくないから、電話番号は教えない」という親が多く、学校のお知らせのための連絡網も作れないらしい。この場合、連絡網が作れる学級とない学級ではどっちが異常なのか!? もしくは本名を名乗らないにしても「一身上の都合により匿名でお願いします」とでも最初に丁寧に言っておけば、受け取る側も大分印象も変わっただろうし、その場合はちゃんと対応してくれたように思う。「私はあなたを信頼しないけど、あなたは私を信頼してね」という態度でいろいろ皮肉られてもIPA側は対応に困る。たとえ脆弱性の話が本当でもだ。
 また、脆弱性の大公開というのはやりすぎると単に注意喚起以上の意味を持つようになる。一般ユーザーにも知れ渡る脆弱性というのはクラッカーにも当然知れ渡るということになるのだから。


はてブの反応が、結構はまちや2氏に賛同の意見が多くて萎える

■xevra 一見正しいが、本件については校則云々は当てはまらない。なぜならまちちゃんは行政サービスを受ける側ではなく善意の情報提供者だから。礼儀正しく規約に沿う方が望ましいが、強制はできない
■ululun はまちちゃんは、はまちちゃんだから。kyoumoeさんとは違うから。
■j0hn はまちやの話でなければ全面的に賛成なんだが。
■m-naze リアルでもはまちゃんなはまちゃんを想像して萌えた
■r-west 「やってることはチャンコロと少しも変わらないじゃないか」。こんな哀れな「大人」にならなくてよかった。
■kuenishi 飼い慣らされた人間のセリフだな。「ぼくはまちちゃん!飼い主募集中だよ!!」
■ch1248 モヒカン的には何ら問題が無かったりする。/そこまで角を立てるのも大人げ無い対応と言わざるを得ない。
■backupper 理解し難いなぁ。まぁ、色々な人が居て良いと思うけど。でも、この人はそれを認めないんだよな。それすらも認めるのが健全なんだろうね。
■da-yoshi 礼儀正しくなければ、重要な情報提供者も無視するのが日本らしいとは思わない。相手の作法に関わらず、礼を貫くのが真の日本の礼儀じゃないのかな? 特に公ならば尚更

 Kyoumoe氏の「ちゃんころ」発言で批判もあるようなので、2chを絡めて考えてみる。(今回のこの「ちゃんころ」は2chユーザーの蔑称として捉え、朝鮮系の人の蔑称とは考えない)
 今まであまりピンとこなかったのだが、今回のことでひろゆきに「真面目に回答しろっ!!」と怒鳴りながら取材しているマスコミの怒りがなんとなく分かるよう気がした。「ひろゆきはああいう性格だから」と知っている2chユーザーが彼の不遜な態度に怒ることはないが、そういう性格だと知らないマスコミにはふざけているようにしか見えないのだろう。でも「はまちやだからしょうがない」とか「はまちやだから許される」とかの雰囲気がはてなユーザーの中にあるのは、2chの「ひろゆきからしょうがない」という雰囲気と同じであまり良い傾向とも思えないなあ。ひろゆきが裁判に出ないのは、本当に忙しいとか、それに出る義務はないと本気で思っているからなのかは分からないけれど、相手の土俵に上がって自分の不利な状況で戦いたくないという要素も多少なりともあるように思う。でも、このはまちや氏の場合、最初から相手の土俵であるIPAの「ウェブアプリケーション脆弱性関連届出」に書いて返事しているわけで、それならばある程度向こうの倫理に合わせた書式で書いてあげる方がより親切というものだろう。そこはWeb上のことだから「はてな」とそこはリンクで繋がっている場所かもしれないが、そこに行けば決して「はまちや文体」とか「はまちや的理論」を知っている人ばかりではないのだ。と、いうか、はっきりいってmixiいじめに飽きた氏が次の獲物をIPAに定めて、最初から嘲笑すべく届出を用意し、「名を名乗れ」という言葉を引き出させるべく釣りの言葉を使い、それを広く公開することでみんなで笑おうという態度が裏に見えてどうにもすっきりしない。劇場型お笑いを求めるあまり、人を傷つける言葉はことごとくオブラートに包んでいるけれど、馬鹿にしている根底は少しも変わっていないので余計に底意地の悪さを感じてしまう。天然で最初からそういう人だと言われればそうなんだけど。

 みんなに聞きたいのだが、果たして彼の行動は善意だけで行われているようにみえるだろうか!? おもしろいからやってるだけではないのか!? モヒカン的論理をここで持ち出すことが正しいことなのか!? 真の礼儀って、相手にだけそれを求めることが真の礼儀になるのだろうか!? IPAたんってなんだよ!? ヲタクの私から見ても気持ち悪いぜっ!!


・引用

それとも戸籍上の名前が必要でしょうか!
であれば、証明書等が必要でないかぎり、やっぱり「はまちや2」でいいですよ!
あなたはいまのところそれを戸籍上の本名か否かを判断する術が、
「メタ推理」するしかないわけなんだもんね。

 IPAを信頼していない人が匿名で真面目とも思えにくい発言しているのだから、

えーと要約すると、本名じゃなきゃ仕事しないもーん、って言ってるんですよね!
いいですいいですよ! わかります! go.jpですもんね!

 「お役所仕事だね」と言いたいのだろうが、普通の会社でも、ぶっちゃけそういう人相手に真面目に対応する必要もないと思う。やばいところだけは速やかかつ粛々と修正するとしても。まあ、批判されやすい公務員ならそれでも実直に相手にするとか、風評被害が怖いブランドイメージの高い大企業ならいやいや相手することはあるのだろうが。自分がこれを相手にする忙しい企業人だとしたら、善意の情報提供者というよりは悪意の情報提供者と捉えるが他の人はどうなのだろうか!? 仕事だから我慢してやることもあるだろうけど、「電器屋さんの本音」なんかのやり取りにもよくあるように、お客や善意の情報提供者という強い立場から、無理難題ばかりふっかけている人が増えていないだろうか!?

 また、以前のmixi脆弱性にしたって、マーキュリー(現株式会社ミクシィ)にこっそり教えるなら親切なんだが、その脆弱性を実践公開して大多数の人に踏ませている点も留意すると、自分なんかは彼をクラッカーとしては信頼に値するけれど、ハッカーとしては信頼を置けないなあと思う。もちろん本当の賢い経営者はそういう人をうまく使って会社に貢献させるのだろうけど、私と同じくほとんどの無能な人達には彼は扱いきれないだろう。また、こっそり教えてもらったミクシィの対応としては脆弱性を埋めたのちに公式アナウンスする。「〜〜という税弱点がありましたが、○月○日に対応しました。現在は問題ありません。」あたりでOK!? これは、セキュリティの詳しい人にいろいろ聞きたいな。場合によっては、脆弱性を先に公開した方がいいのかなあ!? なんにしろ、脆弱性の検証はミクシィなどの会社がすることであって、脆弱性の大公開は個人ユーザーがするべきことじゃないと思うのだけどなあ。


はてブより

ymScott 少なくともコメ欄ではkyoumoe氏に理があるわな。匿名氏のは「ネット上に公は存在しない、しえない」という理屈だもの。"自分が客先からああいう態度の何かを送りつけられたらどう思うか"←これでFAじゃね?

 これに同意する。というか、自分も主張したいこともほぼこれが全てかもしれない。脆弱性がどうこうというのは、次の段階の話。脆弱性のことが本当のことだろうと、こんな態度の人にまともな態度を取ることはかなり冷静でないと難しい。


言及リンク はまちちゃんに甘やかされるな (萌え理論Blog)

http://d.hatena.ne.jp/sirouto2/20070131/1170327180

 個人的には「萌え」と「geek」は相反する言葉だなあ。「geek」が「cool」&「Beauty」であることはっても湧き出る感情の「萌え」とはくっつきにくい。正しいgeekになる素質は理路整然たる数値的理論によってのみ導かれ、曖昧な感情によって振り回されたりしない。まあ、これは私の解釈の方がかなりgeekを少数で限定的にものに捉えているせいかもしれないなあ。つまり、私は会社の脆弱性を大々的に公表して、関係者を混乱させる、初心者を巻き込むような愉快犯的な行動・言動をgeekの正しい姿とは思わない。新しいエンターテイメントとしての新しい造語なら別にその言葉の普及を否定することはないが、エンターテイメントにしては今回はちょっとお遊びが過ぎるかなあと思う。「ピエロギーク」という言葉なら一票。
 ま、それでも会社がまだまだ甘いという点では一理はあるが。しかし、脆弱性がある方が悪いというのも、今のMicrosoftのOSを見てもそれを防ぐのは素人目でも難しいことが分かる。速やかに修正出来れば、基本的には問題ないよね!?


・関連リンク id:kyoumoeさんはid:Hamachiya2さんが「何故そうしたのか」を理解しているのかな・・・! (煩悩是道場)

http://d.hatena.ne.jp/ululun/20070202/1170384538

 ネタ1。はまちやの口調を真似してみました。

でも。それはルールを守ったほうが安全だったり、安心だったりするときに限られるんじゃないのかな・・・!

もし、その決められたルールを守った結果として利用者の安全が損なわれる可能性があったとしても守るべきなのかな? はまちちゃんが戸籍上の名前を入力しなかったのは IPAたんのシステムに脆弱性が認められていて、とてもではないが戸籍上の名前を入力出来る状況にないから入力を躊躇われたのだとしたら、はまちちゃんのとった行動は「正しい」とはいえないかな?

 脆弱性の届出くらいで本名を書かせるIPAにも確かに問題があるが、「名を名乗れ」と言われて安全性が確保されていないから名前を名乗れない社会というか、名乗らない人にも問題があるなあ。実際、はまちや氏やうるるん氏の本名や素性が分かったところで、自分はそもそも興味が無いし、本当を言えば別に知りたくもない。それとも、みんな名乗ることで脅かされるような激しい人生を生きているのだろうか!? まあ、知られたくない人がいるとしても、IPAも第三者に実名を通知する事はないと言っているし、全世界に晒し公開というわけではないと思うのだけどねえ。

私見ではありますが、はまちちゃんはkyoumoeさんのような不快感を意図的に引き受ける事も承知の上で一連のエントリを書いたものと思われます。

何故なら、こんなエントリを書かなくてもIPAとのやりとりは粛々と行う事が出来たからです。

ですから「何故一連のエントリは書かれたのか」「はまちちゃんは何故あのエントリを通して何を伝えたいのか」を考える必要があると思うし、わからなかったら聞くのが良いのかな、と思いました。

 いや、むしろ粛々としてやって欲しかった。


・関連リンク kyoumoeを甘やかすまでもない (404 Blog Not Found)

http://blog.livedoor.jp/dankogai/archives/50754319.html

ジジイが本やメディアでdisり回っているのと何が違うんだ。
何度も何度も言うが、こういうのは高齢者が「日本語がおかしい」と言ってメディアを嘘で染めたり、制度の細部を変えたりしているのと一緒なんだよ。
相手にサイトの挙動がおかしいと思われたらちゃんと対応すべきであって、態度が悪いから報告が受け取れないと言えばいいというものではない。
もちろん、相手が馬鹿なら分からないでもない。
俺もやってるしね。
でも、相手がちゃんとした証拠を提示して問題を指摘しているのだったらこちらもそれなりの対応をとるべきだ。
それが出来ないのはただの無能、ただの非常識でしかない。
それがスタイルというのなら、すべての報告をそのスタイルで突き返せ。
それができないのなら単なるジジイだ。
それを認めているのもジジイ。

 ネタ2。改変コピペネタ。今回はネタに走りすぎておもしろくない。改変ネタだけ披露して終わりなら、これは突っ込まなくても良かったエントリでは!?


・関連リンク Episode26 - はまちちゃんのもとを素子が訪れるシーン (Anonymous Diary)

http://anond.hatelabo.jp/20070202191406


・関連リンク 公式対応 重要なお知らせ IPAセミナー受付フォームにおけるクロスサイト・スクリプティングのぜい弱性について (情報処理推進機構)

http://www.ipa.go.jp/about/juyou/20070201.html

 この対応がなされたということで、この一件も終わりかな!?


・質問リンク xssが実行されているらしいのですが、何が行われているのか、よく分かりません。情報処理推進機構の「講演会受付」という画面が表示されるだけです。詳しく解説していただけないでしょうか。xssに関してはあまり詳しくないです。 (人力検索はてな)

http://q.hatena.ne.jp/1170218497