Bookmarklet版COCOA接触キー確認
- ryunosinfx
- 1029
- 0
- 0
- 0
成る程・・・こんな需要があるなら Web版作ってみるかな・・・ブラウザOnlyで動くやつ。 twitter.com/rocaz/status/1…
2020-08-09 01:56:16夜なべして、 #COCOA のTEK解析するPythonスクリプト作りました。 まだオプションとか表示とか使いにくいと思いますが、一応一通り動作するかと思います。ご要望はIssuesまで。PR送ってくれても勝手にForkしてくれてもいいんですよ? #COCOAボランティアデバッグ github.com/rocaz/probeCOC…
2020-08-09 01:48:55さて、G4 Cubeの呪いも払い除けたので 実装を考えると 感染報告のテンポラリキーをダウンロードする必要が有るのだが、はたしてそこのAPIがCORSに対応しているのかという根本的な問題に気がつく。 これから確認しに行こう。
2020-08-12 00:23:03生ヘッダーを見る限りではCORSに対応してないな・・・ これは困ったぞ。 まあ、そう易易とはさせてくれぬか・・・ GithubPagesに置いたらよかんべと安直に考えてたが、 それは出来ないので、GithubActionで取りに行って 自分のリポジトリにコミット、そこから取ってこようという話になるな・・
2020-08-12 00:32:30問題は、それって法的に大丈夫なの?感は若干あるな まさか著作権はないだろうが、個人情報保護法に場合に拠っては抵触するのか? うーんへんな情報と合体させなきゃ大丈夫だと思うが。 まあいいや。 新しい生贄スマホを使ったアカウントでやるか。
2020-08-12 00:38:42中継サーバーを立てるのも手ではあるものの ・中継サーバーが転送するデータの真正性はどうやって確認する? ・中継サーバーと言いつつ明後日データを持ってきてるかもよ? ・中継=データ転送量であっという間に無料枠を使い切る など有るので正直にコピー+シグネチャファイル用意したほうが良さげ。
2020-08-12 00:43:33むこうのサーバーからGithubActionのIPをBANされる可能性はあるな・・・ まあままよ。 ただ、あのファイル自体いったい何なんだろうか。 所有権とか著作権は存在するのだろうか。まさか営業機密とかいいださないよな・・・ アプリ内だけの利用に限るなどと言い出しそうでは有る。
2020-08-12 01:04:19問題はその利用規約に関して何か参照できるかだな・・・ 何処を見たら良い? 厚労省の事業(COCOA)のこのページかな? mhlw.go.jp/stf/seisakunit…
2020-08-12 01:29:57mhlw.go.jp/stf/seisakunit… うむー、ここを根拠に著作権を主張されると泥沼の世界にひきずりこまれそうではあるね。 これはGASを使わざる得ないのか・・・
2020-08-12 01:34:34covid19radar-jpn-prod.azureedge.net あ! ここ400ページが存在するぞ! お、これならブックマークレットで出来るんじゃね? CSPも設定されてないから好き放題出来るな・・・ 問題と言えばスマホでブックマークレットをどうやって動かすかだな。
2020-08-12 01:46:44appps.jp/254662/ まあ、見た感じ ・ブックマークを作成 ・ブックマーク名を修正 ・リンクをjsに書き直す ぐらいですかね。 さあ、次の障壁は外部jsを召喚できるかという点か。 この辺り非常にセキュリティがきつくなっている印象があるがどうだろうか。
2020-08-12 01:56:21zariganitosh.hatenablog.jp/entry/20140811… 先達あらまほしけれ ですな。 まあCSPも設定されてない400ページだし 好き勝手出来るでしょう! よーしパパ、Vue.jsで作っちゃうぞー
2020-08-12 02:06:53厚生労働省が嫌がったらCSPを400ページにも設定して 弾けばいいだけなので、無問題ですね。 データは一切持たない、全部静的サイトで提供可能! なんと素敵なことか。 まあWebWorkerとかServiceWorker、オフラインキャッシュは使えないんだけどね。
2020-08-12 02:23:46じゃあユースケースを考えてみよう。 ・スマホアプリを開く ・jsonファイルを手元にダウンロード ・本プロダクトのgithubpagesを開く ・ブックマークレットを登録する ・厚生労働省のキーファイル配布ドメインを開く ・400エラーページが出るのでそこでブックマークレットを実行する。
2020-08-12 12:48:27・開いたページに対して自分のjsonファイルを投稿する ・本プロダクトは厚生労働省のzipファイルをダウンロード解凍 ・ユーザーの投稿データと突き合わせを実施する。 ・引っ掛かった情報を補助として表示する ですかね。 本家アプリではないので一致が出てもアレですが。
2020-08-12 12:52:10ストーキングのネタになるだろうか? うーん。 あのキー情報は登録時間でしか分からないからいつ接触したかは事実上追跡できないな。 こうキーの登録が二三日おおよそ推測不能な時間ランダムで遅延するとなかなか単体データでは追跡できないのでは? 履歴を貯めれば不可能じゃないけど趣旨に反する。
2020-08-12 12:57:27まあVue.jsを入れる所までは作った。 流石Optane805Pを積んだマシンはnode_moduleのインストールも瞬間終了だ。
2020-08-13 02:38:42なんと言うか、このCOCOAの情報を 悪用しようとする方法に近しい事を思いつく ・まず、飲食店を想定する ・店内をカバーする範囲にCOCOAの入ったスマホを配置する ・毎日収集したTEKを採取する ・感染者のTEKと比較する まあスマホで有る必要は殆ど無いし、ラズパイWHなんかで拾えるならひえろえばいい
2020-08-14 12:17:18要するに、有る拠点に集客する系はこのTEKを採取して 後は厚生労働省からダウンロードしたデータと突き合わせれば良い訳で、 1日で変わるとは言え、事実上の監視には使えるわな。 また電波の到達距離を時間差で位置を正確に測れないことはない ※時計が光速を測れるぐらい正確であれば。
2020-08-14 12:21:49一瞬、この手の感染者来訪検知システムを導入した店舗なら、感染症対策完備シール出してあげれば? とか思ったが、まあ行政に直結で感染者検知されるのは嫌がられるだろうなとも思う。 みんな、叩いちゃうでしょ。 感染者が出たことと、監視している事で。
2020-08-14 12:25:32多分、今回のパンデミックが長引けば この手の監視アプライアンスが出てくるのは時間の問題だと思っていて、 後はお値段次第。 36席ぐらいの広さなら、8テーブル、カウンター4席で 天井に5〜6TEK収集端末ぐらいつけとけば あとはそれを鯖に転送して集計、判定するぐらいだしね。 まあ30万ぐらいか
2020-08-14 12:32:58これが実際にこの手の製品が出回るかと言うと AppleとGoogleが来年には廃止すると言っているので ほぼ確実に2年後には使えなくなっている。 それを覚悟しても投資するか?があって 邪悪なストーカー企業に対する良い牽制になってると思う これが標準機能として付けますと言うと彼らは大歓喜するだろう
2020-08-15 03:12:43なんやな、bookmarkletちゃんを XMLページでscriptタグ埋め込んでもHTMLじゃないので jsファイルはロードされないのね・・・・ 仕方ないので、更に野蛮なfetch+evalでjsファイルを召喚することにする。
2020-08-18 01:57:55うーん・・・駄目だな Githubが403を返す(当たり前と言えば当たり前) だとすると、手がない訳ではないが・・・ postMessageAPIを使うか・・・ developer.mozilla.org/ja/docs/Web/AP… GithubPagesにソースコードを送り出すpostMassageの受け手を設ければいけるはず。ほしいのはjsコードなんや。
2020-08-18 02:08:01思った以上にDTDがnullの世界で出来ることの少なさに白目を剥いている。 bookmarkletに全部乗せればいいんだけど、 安全範囲が64kbの世界なので、凄く辛いです。 何処かcorsで好き勝手ダウンロードできる場所が有ればいいんだけどねぇ。
2020-08-19 19:46:16うーんドキュメントが生のXMLと言うだけで styleが効かない。まあドキュメントを生成して追加したらどうなるかは試してみるか。
2020-08-19 21:39:02