アカウント名:
パスワード:
*迷惑かけたとか道義的な話は一旦おいといて、*
オープンソースに悪意のあるコードを差し込めるかどうかって興味深いし、そこにスポットを当てると意義のある実験。Linuxだからこそ対象にふさわしい。大手であり、重要なシステムに使われている。
意義なんて無いですよ。技術的にも・倫理的にも褒めるところがありません。
技術的な点でいうと、この実験はたとえば以下のようなC言語で書かれたカーネルのソースに対して----free(p);----
たとえばこんな2行に変更したり----if (p) free(p);----こんな3行に変更するだけの----if (p) return;free(p);----パッチを大量に投稿しただけなのです。
悪意のあるコードを差し込むとかそう言うレベルには達しておらず、ただのイタズラ、ただの迷惑行為でしかありません。こんなパッチでは実験はおろか、「興味深い」とか「意義がある」議論も難しいと思います。
次に倫理面ですが、被験者の同意を取らずに被験者実験をおこなった、という1点だけで研究倫理違反、研究業界から追放されてもおかしくないレベルの大失態です
たとえば「ヘルシンキ宣言」という宣言があります。https://ja.wikipedia.org/wiki/%E3%83%98%E3%83%AB%E3%82%B7%E3%83%B3%E3%... [wikipedia.org]端的にいえば「被験者となる人間のこと・気持ちを尊重しましょうね」って話です。
ヘルシンキ宣言は研究に携わる人なら知らない人は居ない話で(知らないという人が居たらその人はモグリの研究者)ヘルシンキ宣言を知らなくても普通なら「こんなことをしたらカーネルコミュニティの人は不快に思うはず」と予想できるはずです。カーネルコミュニティの人からみたら、こんなの時間の無駄でしかないからです。
「Linuxだからこそ対象にふさわしい。」こんな馬鹿なことは言わないでください。Linuxはソースコードじゃありません。開発陣、つまり心を持った人間のコミュニティなのです。
ただのイタズラ、ただの迷惑行為レベルの内容でもコミットされちゃうのか…
そりゃコミットはされるよ。誰からでも受け付けてるもん。レビューで弾くからマージはされない(はず)だけど。
つまり心を持った人間のコミュニティなのです。
だからやったんだと思うね。pakki001@umn.edu says:
I will not be sending any more patches due to the attitude that is not only unwelcome but also intimidating to newbies and non experts.
その返しは傍から見たらサイコパスなんスよ。
> その返しは傍から見たらサイコパスなんスよ。
この返しも傍から見たらサイコパスっぽいですよ。自覚ありますか?
元コメは「(出禁になった人はサイコパス)だからやったんだと思うね」って意味でサイコパスの特徴がよく出てる文面を引用してます。「その返しは傍から見たらサイコパスなんスよ」とあなたが思うのは当然で、それは元コメがそう言ってるからです。
傍から見ると「だからそう言ってるじゃん(笑」って感じです
小学生じゃないんだから。
細かいですけど、if (p) return;free(p);が本当ならメモリリークしているので悪意ありますねif (!p) return;free(p);なら、(後続処理がなければ)害はないですが
そういうcommitって、ある程度自動で判別できそうな気がするけど全部目で見てるのかな。
いやいや、手段(技術的・倫理的)に問題があったからといって、目的の正当性まで否定されないでしょ。親コメの意図を全然汲めてないし、例えも間違ってる。
> free(p);
を
> if (p)> free(p);
に変更するのは一般的にメモリの二重開放の脆弱性対策としてのセキュアコーディングに適っている。ただ、実際には変更しなくとも別のルーチンで二重開放を防いでいる場合があり、その変更が本当に必要なものかどうかはコードの文脈を読まなければならない。静的解析ツールが機械的に出力した結果は(しばしばGoogle翻訳があてにならないように)そうした文脈を読まないことが多く、
>> if (p)>> free(p);>>に変更するのは一般的にメモリの二重開放の脆弱性対策としてのセキュアコーディングに適っている。
freeしても引数がNULLになるわけではないし、仮にNULLになったとしてもfree関数は引数がNULLの時は何もしないので意味のない変更ですよ。
> いやいや、手段(技術的・倫理的)に問題があったからといって、目的の正当性まで否定されないでしょ。という仮定(例え)の後に、目的の正当性とやらをほったらかして長々と手段に関して書くセンスが根本的にわからん親コメの意図を全然汲めてないし例えとしても間違ってる
Linuxカーネルですらそんなレベルの変更を(コードフォーマッターではなく)人間がレビューしなければならない体制しか組めないのに「あたたかみがある日本企業の手作業」とか馬鹿にされるのなんか納得行かないな。それでコミュニティが疲弊するとしたら結局無能の証なのでは?
頼まれたわけでも公的な手順を踏んだわけでもなく、第三者が私的な興味でやったものを検査とは言わない。
それとも何か、救急搬送や病院が機能しているか検査したいと思ったら、お前さんのことぶっ刺して119番してみるとかもOKなのか?
なかなかスリルがある良い例えだ。
お巡りさんコイツです
一般企業でもその企業が承認していないのに抜き打ちチェックはやらないだろ
Googleさんは勝手に他社の脆弱性を公開してますよ
今回のは脆弱性を公開することに対応するのではなく、脆弱性を見つけるためと称して公開サービスに攻撃を仕掛けることに対応する。
Googleのやってることと同じだ他社への攻撃が真の目的だから
Googleの真意がどうあれGoogleはルールに則ってるから話が違うのは分かるよね
Googleの裏の目的を遂行するためにGoogle自身が作ったルールなんか意味ないだろ
Google自身はルール破っててそれを隠蔽しようとしてましたけど?
Google憎しで支離滅裂すぎだわw
え? Googleが守ってるルールは別に自身で作ってないけど
こういう手合はとにかく憎いって支離滅裂が先に存在して空欄に固有名詞をハメてるから
まず正しい日本語覚えましょうwご自身が支離滅裂ですよw
日本語でおk
一般企業が他社の製品に抜き打ちチェックで悪意のあるコードや部品を混ぜ込むと?自分の持ち物で、影響範囲が自分の手に収まる範囲であれば好きにチェックして良いですけど、それを外にもやるって犯罪に近いんじゃないかなと
信用を相手に求めている時点で OSS 使うのに向いてないですよソース差分を自社の人間が見て問題ないことを確認して使うのが、有るべき姿じゃないですかね
犯罪に近いというか、日本の法律だと「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」にあたると思うんですよね。
確かに。
>我々の時間を無駄にする行為だとして批判
するようなのはOSS使うのに向いてないな。
ヒトを対象とする研究者なら知ってないとおかしい。年に一回程度の受講が義務付けられている倫理講習で必ず出てくる。
ヒトを対象としないのならその限りではない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
結局すぐに検出できなかった? (スコア:-1, フレームのもと)
*迷惑かけたとか道義的な話は一旦おいといて、*
オープンソースに悪意のあるコードを差し込めるかどうかって興味深いし、
そこにスポットを当てると意義のある実験。
Linuxだからこそ対象にふさわしい。
大手であり、重要なシステムに使われている。
技術的にも倫理的にも褒めるところがない (スコア:5, 興味深い)
意義なんて無いですよ。技術的にも・倫理的にも褒めるところがありません。
技術的な点でいうと、この実験はたとえば以下のようなC言語で書かれたカーネルのソースに対して
----
free(p);
----
たとえばこんな2行に変更したり
----
if (p)
free(p);
----
こんな3行に変更するだけの
----
if (p)
return;
free(p);
----
パッチを大量に投稿しただけなのです。
悪意のあるコードを差し込むとかそう言うレベルには達しておらず、ただのイタズラ、ただの迷惑行為でしかありません。
こんなパッチでは実験はおろか、「興味深い」とか「意義がある」議論も難しいと思います。
次に倫理面ですが、被験者の同意を取らずに被験者実験をおこなった、という1点だけで
研究倫理違反、研究業界から追放されてもおかしくないレベルの大失態です
たとえば「ヘルシンキ宣言」という宣言があります。
https://ja.wikipedia.org/wiki/%E3%83%98%E3%83%AB%E3%82%B7%E3%83%B3%E3%... [wikipedia.org]
端的にいえば「被験者となる人間のこと・気持ちを尊重しましょうね」って話です。
ヘルシンキ宣言は研究に携わる人なら知らない人は居ない話で(知らないという人が居たらその人はモグリの研究者)
ヘルシンキ宣言を知らなくても
普通なら「こんなことをしたらカーネルコミュニティの人は不快に思うはず」と予想できるはずです。
カーネルコミュニティの人からみたら、こんなの時間の無駄でしかないからです。
「Linuxだからこそ対象にふさわしい。」こんな馬鹿なことは言わないでください。
Linuxはソースコードじゃありません。開発陣、つまり心を持った人間のコミュニティなのです。
Re: (スコア:0)
ただのイタズラ、ただの迷惑行為レベルの内容でもコミットされちゃうのか…
Re: (スコア:0)
そりゃコミットはされるよ。誰からでも受け付けてるもん。
レビューで弾くからマージはされない(はず)だけど。
Re: (スコア:0)
だからやったんだと思うね。pakki001@umn.edu says:
Re:技術的にも倫理的にも褒めるところがない (スコア:2)
その返しは傍から見たらサイコパスなんスよ。
Re: (スコア:0)
> その返しは傍から見たらサイコパスなんスよ。
この返しも傍から見たらサイコパスっぽいですよ。自覚ありますか?
元コメは「(出禁になった人はサイコパス)だからやったんだと思うね」って意味で
サイコパスの特徴がよく出てる文面を引用してます。
「その返しは傍から見たらサイコパスなんスよ」とあなたが思うのは当然で、それは元コメがそう言ってるからです。
傍から見ると「だからそう言ってるじゃん(笑」って感じです
Re:技術的にも倫理的にも褒めるところがない (スコア:2)
小学生じゃないんだから。
Re: (スコア:0)
細かいですけど、
if (p)
return;
free(p);
が本当ならメモリリークしているので悪意ありますね
if (!p)
return;
free(p);
なら、(後続処理がなければ)害はないですが
Re:技術的にも倫理的にも褒めるところがない (スコア:1)
Re: (スコア:0)
そういうcommitって、ある程度自動で判別できそうな気がするけど全部目で見てるのかな。
Re: (スコア:0)
いやいや、手段(技術的・倫理的)に問題があったからといって、目的の正当性まで否定されないでしょ。
親コメの意図を全然汲めてないし、例えも間違ってる。
> free(p);
を
> if (p)
> free(p);
に変更するのは一般的にメモリの二重開放の脆弱性対策としてのセキュアコーディングに適っている。
ただ、実際には変更しなくとも別のルーチンで二重開放を防いでいる場合があり、その変更が本当に必要なものかどうかはコードの文脈を読まなければならない。
静的解析ツールが機械的に出力した結果は(しばしばGoogle翻訳があてにならないように)そうした文脈を読まないことが多く、
Re: (スコア:0)
>> free(p);
>
>に変更するのは一般的にメモリの二重開放の脆弱性対策としてのセキュアコーディングに適っている。
適ってねえよボケ。
if(p)で二重解放しようとしてるかのチェックなんてできないしfree(NULL)は無処理って決まってるからただの無駄コードだよ。
5000兆歩譲って二重開放と強弁するならこうだろうが
> free(p);
> p = NULL;
Re: (スコア:0)
二重開放「対策」のtypo
Re: (スコア:0)
>> if (p)
>> free(p);
>
>に変更するのは一般的にメモリの二重開放の脆弱性対策としてのセキュアコーディングに適っている。
freeしても引数がNULLになるわけではないし、仮にNULLになったとしてもfree関数は引数がNULLの時は何もしないので意味のない変更ですよ。
Re: (スコア:0)
> いやいや、手段(技術的・倫理的)に問題があったからといって、目的の正当性まで否定されないでしょ。
という仮定(例え)の後に、目的の正当性とやらをほったらかして長々と手段に関して書くセンスが根本的にわからん
親コメの意図を全然汲めてないし例えとしても間違ってる
Re: (スコア:0)
Linuxカーネルですらそんなレベルの変更を(コードフォーマッターではなく)人間がレビューしなければならない体制しか組めないのに「あたたかみがある日本企業の手作業」とか馬鹿にされるのなんか納得行かないな。それでコミュニティが疲弊するとしたら結局無能の証なのでは?
Re:技術的にも倫理的にも褒めるところがない (スコア:1)
頼まれたわけでも公的な手順を踏んだわけでもなく、第三者が私的な興味でやったものを検査とは言わない。
それとも何か、救急搬送や病院が機能しているか検査したいと思ったら、お前さんのことぶっ刺して119番してみるとかもOKなのか?
Re: (スコア:0)
なかなかスリルがある良い例えだ。
Re: (スコア:0)
お巡りさんコイツです
Re: (スコア:0)
一般企業でもその企業が承認していないのに抜き打ちチェックはやらないだろ
Re: (スコア:0)
Googleさんは勝手に他社の脆弱性を公開してますよ
Re: (スコア:0)
今回のは脆弱性を公開することに対応するのではなく、
脆弱性を見つけるためと称して公開サービスに攻撃を仕掛ける
ことに対応する。
Re: (スコア:0)
Googleのやってることと同じだ
他社への攻撃が真の目的だから
Re: (スコア:0)
Googleの真意がどうあれGoogleはルールに則ってるから話が違うのは分かるよね
Re: (スコア:0)
Googleの裏の目的を遂行するためにGoogle自身が作ったルールなんか意味ないだろ
Re: (スコア:0)
Google自身はルール破っててそれを隠蔽しようとしてましたけど?
Re: (スコア:0)
Google憎しで支離滅裂すぎだわw
Re: (スコア:0)
え? Googleが守ってるルールは別に自身で作ってないけど
Re: (スコア:0)
こういう手合はとにかく憎いって支離滅裂が先に存在して空欄に固有名詞をハメてるから
Re: (スコア:0)
まず正しい日本語覚えましょうw
ご自身が支離滅裂ですよw
Re: (スコア:0)
日本語でおk
Re: (スコア:0)
一般企業が他社の製品に抜き打ちチェックで悪意のあるコードや部品を混ぜ込むと?
自分の持ち物で、影響範囲が自分の手に収まる範囲であれば好きにチェックして良いですけど、それを外にもやるって犯罪に近いんじゃないかなと
信用を相手に求めている時点で OSS 使うのに向いてないですよ
ソース差分を自社の人間が見て問題ないことを確認して使うのが、有るべき姿じゃないですかね
Re:技術的にも倫理的にも褒めるところがない (スコア:2)
犯罪に近いというか、日本の法律だと「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令」にあたると思うんですよね。
Re: (スコア:0)
確かに。
>我々の時間を無駄にする行為だとして批判
するようなのはOSS使うのに向いてないな。
Re: (スコア:0)
ヒトを対象とする研究者なら知ってないとおかしい。
年に一回程度の受講が義務付けられている倫理講習で必ず出てくる。
ヒトを対象としないのならその限りではない。