アカウント名:
パスワード:
今はまだいいけど、将来、たとえばGPLを遵守して特定のソフトにマルウェア的な機能を付与する改造を行い、ライセンスその他にはその旨も端っこに書いてGPLとして(ソースコードつきで)再配布する事案、とか出てきそうだな。
それを気がつかずに導入した人が踏み台にされる等で第三者への攻撃に荷担してしまった時、責任を追及されるような事案も出てくるかもしれない。(ライセンスとか説明とかにその旨がきちんと書かれていたら踏み台にした側だけに責任を負わせることは困難だと思う)
オープンソースの欠陥でGPLの欠陥ではないな。改変元のソースコードをしっかり読まないからそうなる。
ユーザ側のコンピュータリテラシの問題じゃないかな。 1) 公式サイト以外からは入手しない。 2) (入手経路に関係なく)コード署名などを確認する。
オープンソースだから云々という話でいうと、(非オプソと比べて)改変や見た目の模倣の難易度が低いので、似て非なるもの(俺カスタム版やマルウェア同梱版など)を再配布しやすい、ということはあるでしょう。でも、それは「○○の欠陥」というほどのことではありませんね。# 公式がコード署名などの検証方法を提示していない場合は...どうしよう。
気のせいでしょう。そのような事実はありません。
0.60~0.61の間は4年くらいリリースが無かったですが、リポジトリを見れば開発が続いていたのは判りましたし、その間もセキュリティ的な問題は特に見つかっていなかったはずです。
また、セキュリティ的な問題が見つかった時は迅速に修正版が出ています。(0.62, 0.63, 0.64)
> オープンソースの欠陥
その論法でいくと、嘘の情報や悪意の情報が書いてあることもあるのは、インターネットの欠陥だ、ということになってしまいますよ。インターネットから入手した情報を鵜呑みにすると間違うこともあるのはみんな知ってるとおり。
そのつもりで書きました。正確にはインターネットを含む現実社会の欠陥。そもそもソースコードと公式が配布するバイナリの同一性が保証されているわけではないし(もちろん配布者はそう主張するだろうが)公式サイトが改変される可能性もある。そもそも公式が悪さをする可能性もあるし第一ソースコードやバイナリを書き換えなくてもインストーラに細工をすれば良いわけで。//もーめんどーくさーいどーでもいー
元コメはどっかの信徒によってマイナスモデレートされてるけれど、元コメが言ってるのはGPL感染を利用して、悪意のコードを広める手口の話なので、GPLに対する問題提起だよね。
ソースをしっかり読まないのが悪いと言ってしまえば簡単だけど、ソースをしっかり読んで、悪意のコードではないクリーンであると理解できるくらいならば、GPLなコードなんか使わないでしょう。GPLは悪意のコードが埋め込まれることを前提に考えられておらず、誰かが作ったコードを皆で共有する、バグがあったら誰かが直す、そういうものなので、コードを検査して安全性をチェックするなんてことはほとんどないでしょう。
みつかったとしても、ソースコードをチェックしてて、ではなく挙動から発見されてるだろうし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
今はまだいいけど (スコア:-1)
今はまだいいけど、将来、たとえばGPLを遵守して特定のソフトにマルウェア的な機能を付与する改造を行い、ライセンスその他にはその旨も端っこに書いてGPLとして(ソースコードつきで)再配布する事案、とか出てきそうだな。
それを気がつかずに導入した人が踏み台にされる等で第三者への攻撃に荷担してしまった時、責任を追及されるような事案も出てくるかもしれない。
(ライセンスとか説明とかにその旨がきちんと書かれていたら踏み台にした側だけに責任を負わせることは困難だと思う)
Re:今はまだいいけど (スコア:1)
オープンソースの欠陥でGPLの欠陥ではないな。
改変元のソースコードをしっかり読まないからそうなる。
Re:今はまだいいけど (スコア:1)
ユーザ側のコンピュータリテラシの問題じゃないかな。
1) 公式サイト以外からは入手しない。
2) (入手経路に関係なく)コード署名などを確認する。
オープンソースだから云々という話でいうと、(非オプソと比べて)改変や見た目の模倣の難易度が低いので、
似て非なるもの(俺カスタム版やマルウェア同梱版など)を再配布しやすい、ということはあるでしょう。
でも、それは「○○の欠陥」というほどのことではありませんね。
# 公式がコード署名などの検証方法を提示していない場合は...どうしよう。
Re: (スコア:0)
Re:今はまだいいけど (スコア:1)
気のせいでしょう。そのような事実はありません。
0.60~0.61の間は4年くらいリリースが無かったですが、リポジトリを見れば開発が続いていたのは判りましたし、
その間もセキュリティ的な問題は特に見つかっていなかったはずです。
また、セキュリティ的な問題が見つかった時は迅速に修正版が出ています。(0.62, 0.63, 0.64)
Re:今はまだいいけど (スコア:1)
> オープンソースの欠陥
その論法でいくと、嘘の情報や悪意の情報が書いてあることもあるのは、インターネットの欠陥だ、ということになってしまいますよ。
インターネットから入手した情報を鵜呑みにすると間違うこともあるのはみんな知ってるとおり。
Re:今はまだいいけど (スコア:1)
そのつもりで書きました。正確にはインターネットを含む現実社会の欠陥。
そもそもソースコードと公式が配布するバイナリの同一性が保証されているわけではないし(もちろん配布者はそう主張するだろうが)公式サイトが改変される可能性もある。そもそも公式が悪さをする可能性もあるし第一ソースコードやバイナリを書き換えなくてもインストーラに細工をすれば良いわけで。
//もーめんどーくさーいどーでもいー
Re: (スコア:0)
元コメはどっかの信徒によってマイナスモデレートされてるけれど、
元コメが言ってるのはGPL感染を利用して、悪意のコードを広める
手口の話なので、GPLに対する問題提起だよね。
ソースをしっかり読まないのが悪いと言ってしまえば簡単だけど、
ソースをしっかり読んで、悪意のコードではないクリーンであると
理解できるくらいならば、GPLなコードなんか使わないでしょう。
GPLは悪意のコードが埋め込まれることを前提に考えられておらず、
誰かが作ったコードを皆で共有する、バグがあったら誰かが直す、
そういうものなので、コードを検査して安全性をチェックする
なんてことはほとんどないでしょう。
みつかったとしても、ソースコードをチェックしてて、ではなく
挙動から発見されてるだろうし。