アカウント名:
パスワード:
All users of PHP are strongly encouraged to upgrade to PHP 4.3.8 as soon as possible.
つもりだったのだろうが、第三者がソースのどこが変更されたかを見て、 それより先に問題を暴露したのだろう。
# PHP 4.3系でメンテナンスリリースが出るとすればセキュリティー修正のためである事は明らかだから
隠蔽だって? 何を言っているのだか。じゃあ「こうすりゃ任意のコードが実行できる」と開発チームからいきなり exploit でもオープンにして欲しかったとでも言うわけ?
OepnSSHだかなんだかで そんな感じの発表方法で 反感買ってた人がいたような気がしますなぁ. それを考えると あまりお馴染の方法とか言わない方がいいような気がします:-p
それから exploitを出さないと隠蔽ってことではなくて 『こんなsecurity holeがあったよ』ってことを前面に出してないってことを言ってるんじゃないですかね. 僕も隠蔽だとは思わないけど, そこら辺話が噛み合わないのはちょっともったいないですよ.
それ自体を作っているのならそりゃアップデートは簡単だろうさ。 しかしそれを使っている側からすればそうでない事の方が多いんだけどその辺りは余り解ってくれない。
オープンソースソフトウェアの中の一部がプロプライエタリなソフトウェアの一部よりも「バージョンアップに伴うソフトウェアの挙動の変化」をより軽視しがち、という話なら同意できます。
つか、「動作環境」としてそういうことに気を使っているのはdebianのstableくらいだと思います。SPやHotFixの適用後に、時として自社のアプリすら動作がおかしくなったりすることがあるMSは、確実に同様の問題を抱えていると言えます。
オープンソースか否かはあまり関係ないのではないかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
隠蔽 (スコア:0, フレームのもと)
> ChangeLogにも重要性を示唆する言葉は全くない
無責任なことですね。透明性が命のオープンソース
プロジェクトで隠蔽まがいのことをするなんて。
隠してないよ。あんたら英語が理解できないだけ (スコア:3, 参考になる)
つもりだったのだろうが、第三者がソースのどこが変更されたかを見て、 それより先に問題を暴露したのだろう。
# PHP 4.3系でメンテナンスリリースが出るとすればセキュリティー修正のためである事は明らかだから
隠蔽だって? 何を言っているのだか。じゃあ「こうすりゃ任意のコードが実行できる」と開発チームからいきなり exploit でもオープンにして欲しかったとでも言うわけ?
ジャイアン (スコア:1)
この精神にのっとり、
全ての情報や PG が必ず自分の物になると信じているのです。
OpenSource に何一つ、貢献しなくても、
みんなが自分の為に働いてくれると思ってしまうのです。
そっとしておいてあげて下さい。
どうしてもと言う時は、
「サポートがついている商用のプロダクト買えば。」
と、優しく教えてあげて下さい。
優しくですよ。
じゃないと、ヒステリーから泡を吹いて倒れちゃいます。
本当は良い子なんです。
優しくしてあげて下さいネ。
オフトピから本題へ(Re:ジャイアン) (スコア:2, おもしろおかしい)
何の略称か伝わっているみたいですが、確かに変な略称ですね。
HP と言えば電卓会社の事で、
Home Page では無いし Hit Point ではないよね。
# 最近、電卓作ってるのかな ?
CG と言えば Car Graphic だよね。
# 昔はね。
これから気をつけますね。
で、君達は「クレクレ君」にどう対処するのが良いと思うんだい?
Re:オフトピから本題へ(Re:ジャイアン) (スコア:0)
セキュリティ情報をしっかり開示し、影響範囲や重大性を明らかに
しろという立場をクレクレ君と言ってますか?
であれば、
「新バージョンをリリースしました。変更点はソース見てね。
セキュリティホール FIX してるかもしれないけど、いちいち
説明しないよ。だってオープンソースなんだし。いつまでも
クレクレ君ではいけないよ」
Re:オフトピから本題へ(Re:ジャイアン) (スコア:1)
> しろという立場をクレクレ君と言ってますか?
言うだけで、何も行動しない(しかもモチベーションを下げる)人を
「クレクレ君」と言ってます。
「セキュリティ情報をしっかり開示し、影響範囲や重大性を明らかにしろという立場」
に立っているかのように自分を誇張して、実は悪口を言うだけの人でも良いかな。
きっと Change Log ではなく Security Alert が欲しいんだと思うんですよ。
でも、おねだりの仕方がなんとも下手。
「隠蔽だ」とか「重要度の表示がない」とか、
陰口たたいてないで、自分が望んだ世界になるように仕組みとか作って下さい。
1. こんな風に情報を出して欲しい(FreeBSD-SA-04:03.jail.asc [freebsd.org])
2. FORMAT はこのままパクれば OK だろう。
3. コネがないから PHP-users の偉い人に相談してみよう。
ぐらい行動を起して始めてようやく、あなたの言う立場に立てるのではないでしょうか。
それまでは、ただのノイズ(クレクレ君)でしかないでしょう。
Re:オフトピから本題へ(Re:ジャイアン) (スコア:0)
> 陰口たたいてないで、自分が望んだ世界になるように
> 仕組みとか作って下さい。
ちゃんとやってる見本があるんだから、何も言われなくても
できて当然でしょう。それができてないからダメだと言われて
いるのです。
> ぐらい行動を起して始めてようやく、あなたの言う立場に
> 立てるのではないでしょうか。
お断りですね。昔と違って、オープンソースのプロジェクトも
大規模になりました。誰がキーマンなのか知ることすら部外者に
とっては難しい。しかも要望を出したとしてもすんなり受け入れて
くれるかどうかわ
Re:オフトピから本題へ(Re:ジャイアン) (スコア:1)
どの辺が、建設的な意見なんでしょうか?
手は動かさないが、口は出す。
で、それは奨励されるべき。って事ですよね ?
Re:オフトピから本題へ(Re:ジャイアン) (スコア:0)
誰かが「建設的な意見以外は言ってはいけない」とでも書いたのですか?
# ま、わたしから言えばプロジェクトと部外者の関係を
# よりよくするという建設的な意見のつもりですけどね。
# 「何かを行う or 何かを作る=建設的」とお思いで?
> 手は動かさないが、口は出す。
> で、それは奨励されるべき。って事ですよね ?
手を動かして口を出さない
Re:オフトピから本題へ(Re:ジャイアン) (スコア:0)
「脆弱性の開示の仕方がなっとらん」と批判するのは、十分に
建設的な意見のうちに入ります。
率直に言って、この文脈で「建設的な意見」という言葉を持ち
出した tyuu さんの意図は理解しがたい。
おそらく世の
Re:ジャイアン (スコア:0)
Re:隠してないよ。あんたら英語が理解できないだけ (スコア:1)
OepnSSHだかなんだかで そんな感じの発表方法で 反感買ってた人がいたような気がしますなぁ.
それを考えると あまりお馴染の方法とか言わない方がいいような気がします:-p
それから exploitを出さないと隠蔽ってことではなくて 『こんなsecurity holeがあったよ』ってことを前面に出してないってことを言ってるんじゃないですかね.
僕も隠蔽だとは思わないけど, そこら辺話が噛み合わないのはちょっともったいないですよ.
Re:隠してないよ。あんたら英語が理解できないだけ (スコア:0)
まあ、いつも、作っている側は、ユーザは簡単にアップデートできるはずだと思っているんですよ。自分たちはすべてを把握しているからね。「常に最新版をお使いください」ってわけさ。
Re:隠してないよ。あんたら英語が理解できないだけ (スコア:0)
しかしそれを使っている側からすればそうでない事の方が多いんだけどその辺りは余り解ってくれない。
既に皆が試しにインスト
Re:隠してないよ。あんたら英語が理解できないだけ (スコア:2, 参考になる)
オープンソースソフトウェアの中の一部がプロプライエタリなソフトウェアの一部よりも「バージョンアップに伴うソフトウェアの挙動の変化」をより軽視しがち、という話なら同意できます。
つか、「動作環境」としてそういうことに気を使っているのはdebianのstableくらいだと思います。SPやHotFixの適用後に、時として自社のアプリすら動作がおかしくなったりすることがあるMSは、確実に同様の問題を抱えていると言えます。
オープンソースか否かはあまり関係ないのではないかと。
Re:隠してないよ。あんたら英語が理解できないだけ (スコア:2)
> debianのstableくらいだと思います。
確かに一昔前まではそうだったかもしれないが、RedHat Enterprise
LinuxやSuse Enterprise Serverが登場してからは、そうとは
言えない。
データベースをはじめとする商用製品のプラットフォームとして
重要な役割を果たしつつあるだけに、動作環境への配慮は
debian以上にされているみたいだ。
Re:隠蔽 (スコア:2)
php-4.3.8 は Security Fixes release であり,
PHPの利用者は出来るだけ早く4.3.8にアップグレードすることを
お勧めします.
とありますので,隠蔽まがいではないと思います.
Re:隠蔽 (スコア:1, おもしろおかしい)
Re:隠蔽 (スコア:0, 余計なもの)
Re:隠蔽 (スコア:1)
PHP [php.net]のトップページにも明瞭に書いてあるし、ChangeLogからもすぐに読める場所に、
"Security Fixes release" とか、
"All users of PHP are strongly encouraged to upgrade to PHP 4.3.8 as soon as possible."
とか書いてあるので、セキュリティ関連が原因でできるだけ早くアップデートする必要があることがすぐに分かります。
具体的にどういう問題があったのかは、よく調べないと記述がない点はよろしくないですが、このアップデートの「重要性は十分に示唆されている」と思います。
Re:隠蔽 (スコア:1)
目立たなかった原因の気がします。
修正版だけがリリースされていれば隠蔽という印象はなかったはずです。
-- http://catbot.net/
Re:隠蔽 (スコア:0)
釣られすぎ。
Re:隠蔽 (スコア:0)
ちと言い過ぎですよ。
相手方のやる気を削ぐような物言いをしてもしょうがないんです。
少なくともここでアナウンス(コピペだが)したんだし。
# さあ、俺の自宅鯖もアップデートだ。
Re:隠蔽 (スコア:0, フレームのもと)
> プロジェクトで隠蔽まがいのことをするなんて。
オープンソースプロジェクトに責任を求めるんですか?
もしかしてフランス [srad.jp]の方?
#本意ではないが思いついたので発言してみる
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
Re:隠蔽 (スコア:1, 興味深い)
PHPのように広く普及していて、しかもコミュニティが自ら積極的な普及活動もしているようなソフトウェアにおいては、バグが見つかったら誠実に対応、修正し、正しく告知する社会的な義務があると思うべきだと思います。
でないと、利用者(間接的なユーザも含む)が困るのはもちろんのこと、「オープンソースは、ソフトウェアは無償だし、コミュニティもボランティアベースだから信用できない」という偏見を乗り越え、覆してきた歴史に逆行することにはならない?
今回の件が無責任とまでは思わないけどね。
(あ、「無償」の部分についての無粋なツッコミはやめてね)