アカウント名:
パスワード:
最近怖くてオープンソースの物使いにくいマイナーなものは特に
しかも最近はビルド時勝手にオンラインで引っ張ってくるという凶悪さ
酷いとHTTPの平文でな。
平文で何が悪いって感じがする。
オプソかプロプラかを問わず、インストールしようとした時に自動的に「ソフトの依存するソフトの依存するソフトの…の依存するソフトを自動的にインストール」となって関係者の数が増えすぎる(==ポンコツ開発者が混じってる可能性が高まる)のが怖いんだよね
オンライン上のインストール用のシェルスクリプトのファイルをsudoで直で実行してインストール、という方法も頭おかしいと思うんだけど、結構使われてるよね・・・
ダウンロードしてsudoなり管理者権限のパッケージマネージャでインストールなりでもリスクは大差ないよ。あえて気にするならHTTPSかHTTPかを気にすべき。
supply chain attackを考えればOSSに限ったことではないです。
例えば最近ではASUSやCCleaner等の更新がマルウェア内蔵に置き換えられています。https://www.pandasecurity.com/mediacenter/mobile-news/supply-chain-asus/ [pandasecurity.com]
Chromeの機能拡張が買収された後にadwareを仕込まれた話等も枚挙に暇がありません。OSSだけが危険だというのは危険な考えです。
>最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかった
塩漬けアカウント的なのは、仕事じゃないから発生するでしょうなぁ…一定期間後にアカウント無効化かなぁ…
オープンソースと何も関係ない件Google Playに偽物アプリが公開されるのと何が違うの
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
オープンソースはこういうとこに弱いよね (スコア:0, 興味深い)
最近怖くてオープンソースの物使いにくい
マイナーなものは特に
Re:オープンソースはこういうとこに弱いよね (スコア:4, すばらしい洞察)
しかも最近はビルド時勝手にオンラインで引っ張ってくるという凶悪さ
Re:オープンソースはこういうとこに弱いよね (スコア:1)
酷いとHTTPの平文でな。
Re:いや割と真剣に (スコア:0)
平文で何が悪いって感じがする。
Re: (スコア:0)
オプソかプロプラかを問わず、インストールしようとした時に自動的に「ソフトの依存するソフトの依存するソフトの…の依存するソフトを自動的にインストール」となって関係者の数が増えすぎる(==ポンコツ開発者が混じってる可能性が高まる)のが怖いんだよね
Re: (スコア:0)
オンライン上のインストール用のシェルスクリプトのファイルをsudoで直で実行してインストール、という方法も頭おかしいと思うんだけど、
結構使われてるよね・・・
Re: (スコア:0)
ダウンロードしてsudoなり管理者権限のパッケージマネージャでインストールなりでもリスクは大差ないよ。
あえて気にするならHTTPSかHTTPかを気にすべき。
オープンソースに限らない (スコア:1)
supply chain attackを考えればOSSに限ったことではないです。
例えば最近ではASUSやCCleaner等の更新がマルウェア内蔵に置き換えられています。
https://www.pandasecurity.com/mediacenter/mobile-news/supply-chain-asus/ [pandasecurity.com]
Chromeの機能拡張が買収された後にadwareを仕込まれた話等も枚挙に暇がありません。
OSSだけが危険だというのは危険な考えです。
Re: (スコア:0)
>最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかった
塩漬けアカウント的なのは、仕事じゃないから発生するでしょうなぁ…
一定期間後にアカウント無効化かなぁ…
Re: (スコア:0)
オープンソースと何も関係ない件
Google Playに偽物アプリが公開されるのと何が違うの