アカウント名:
パスワード:
今はまだいいけど、将来、たとえばGPLを遵守して特定のソフトにマルウェア的な機能を付与する改造を行い、ライセンスその他にはその旨も端っこに書いてGPLとして(ソースコードつきで)再配布する事案、とか出てきそうだな。
それを気がつかずに導入した人が踏み台にされる等で第三者への攻撃に荷担してしまった時、責任を追及されるような事案も出てくるかもしれない。(ライセンスとか説明とかにその旨がきちんと書かれていたら踏み台にした側だけに責任を負わせることは困難だと思う)
オープンソースの欠陥でGPLの欠陥ではないな。改変元のソースコードをしっかり読まないからそうなる。
ユーザ側のコンピュータリテラシの問題じゃないかな。 1) 公式サイト以外からは入手しない。 2) (入手経路に関係なく)コード署名などを確認する。
オープンソースだから云々という話でいうと、(非オプソと比べて)改変や見た目の模倣の難易度が低いので、似て非なるもの(俺カスタム版やマルウェア同梱版など)を再配布しやすい、ということはあるでしょう。でも、それは「○○の欠陥」というほどのことではありませんね。# 公式がコード署名などの検証方法を提示していない場合は...どうしよう。
気のせいでしょう。そのような事実はありません。
0.60~0.61の間は4年くらいリリースが無かったですが、リポジトリを見れば開発が続いていたのは判りましたし、その間もセキュリティ的な問題は特に見つかっていなかったはずです。
また、セキュリティ的な問題が見つかった時は迅速に修正版が出ています。(0.62, 0.63, 0.64)
> オープンソースの欠陥
その論法でいくと、嘘の情報や悪意の情報が書いてあることもあるのは、インターネットの欠陥だ、ということになってしまいますよ。インターネットから入手した情報を鵜呑みにすると間違うこともあるのはみんな知ってるとおり。
そのつもりで書きました。正確にはインターネットを含む現実社会の欠陥。そもそもソースコードと公式が配布するバイナリの同一性が保証されているわけではないし(もちろん配布者はそう主張するだろうが)公式サイトが改変される可能性もある。そもそも公式が悪さをする可能性もあるし第一ソースコードやバイナリを書き換えなくてもインストーラに細工をすれば良いわけで。//もーめんどーくさーいどーでもいー
元コメはどっかの信徒によってマイナスモデレートされてるけれど、元コメが言ってるのはGPL感染を利用して、悪意のコードを広める手口の話なので、GPLに対する問題提起だよね。
ソースをしっかり読まないのが悪いと言ってしまえば簡単だけど、ソースをしっかり読んで、悪意のコードではないクリーンであると理解できるくらいならば、GPLなコードなんか使わないでしょう。GPLは悪意のコードが埋め込まれることを前提に考えられておらず、誰かが作ったコードを皆で共有する、バグがあったら誰かが直す、そういうものなので、コードを検査して安全性をチェックするなんてことはほとんどないでしょう。
みつかったとしても、ソースコードをチェックしてて、ではなく挙動から発見されてるだろうし。
それ GPL と何の関係があるん?
GPLだと、ソースさえ開示していればユーザーが望まない機能を追加して配布しても問題はない?みたいな論理だったりして。
やっぱりGPL関係ないじゃん。BSDライセンス等々ではソースの開示すら必要ないのでは
話の主旨はそこじゃないのになんで粘着してるの?
国によるだろうけど不正アクセスでアウトだからライセンスは関係ないだろうけど
あなたのいう話の趣旨とは「とにかくGPL叩きたい」ですか?
このツリーの一番上が「とにかくGPL叩きたい」に見えるなら小学校からやり直すか病院行った方がいいと思うよ
へえ、じゃあなんでGPLなんて文字列を含ませたのですかね?説明をお願いします。
GPLだと、ソースさえ開示していればユーザーが望まない機能を追加して配布しても問題はない?
ライセンス的には問題ないね。そしてプロプライエタリなソフトは、勝手に改造しての配布をほぼ確実に禁止してるからそれをやればライセンス違反になる。
もちろん「ユーザーが望まない機能」の挙動如何では違法になる可能性は十分ある。
そしてプロプライエタリなソフトは、勝手に改造しての配布をほぼ確実に禁止してるからそれをやればライセンス違反になる。
そんなことはないです。プロプライエタリは多くの場合オープンソースの対義語として使われますが、ソース非公開かつパブリック・ドメインに置かれたソフトは珍しくもありません。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
今はまだいいけど (スコア:-1)
今はまだいいけど、将来、たとえばGPLを遵守して特定のソフトにマルウェア的な機能を付与する改造を行い、ライセンスその他にはその旨も端っこに書いてGPLとして(ソースコードつきで)再配布する事案、とか出てきそうだな。
それを気がつかずに導入した人が踏み台にされる等で第三者への攻撃に荷担してしまった時、責任を追及されるような事案も出てくるかもしれない。
(ライセンスとか説明とかにその旨がきちんと書かれていたら踏み台にした側だけに責任を負わせることは困難だと思う)
Re:今はまだいいけど (スコア:1)
オープンソースの欠陥でGPLの欠陥ではないな。
改変元のソースコードをしっかり読まないからそうなる。
Re:今はまだいいけど (スコア:1)
ユーザ側のコンピュータリテラシの問題じゃないかな。
1) 公式サイト以外からは入手しない。
2) (入手経路に関係なく)コード署名などを確認する。
オープンソースだから云々という話でいうと、(非オプソと比べて)改変や見た目の模倣の難易度が低いので、
似て非なるもの(俺カスタム版やマルウェア同梱版など)を再配布しやすい、ということはあるでしょう。
でも、それは「○○の欠陥」というほどのことではありませんね。
# 公式がコード署名などの検証方法を提示していない場合は...どうしよう。
Re: (スコア:0)
Re:今はまだいいけど (スコア:1)
気のせいでしょう。そのような事実はありません。
0.60~0.61の間は4年くらいリリースが無かったですが、リポジトリを見れば開発が続いていたのは判りましたし、
その間もセキュリティ的な問題は特に見つかっていなかったはずです。
また、セキュリティ的な問題が見つかった時は迅速に修正版が出ています。(0.62, 0.63, 0.64)
Re:今はまだいいけど (スコア:1)
> オープンソースの欠陥
その論法でいくと、嘘の情報や悪意の情報が書いてあることもあるのは、インターネットの欠陥だ、ということになってしまいますよ。
インターネットから入手した情報を鵜呑みにすると間違うこともあるのはみんな知ってるとおり。
Re:今はまだいいけど (スコア:1)
そのつもりで書きました。正確にはインターネットを含む現実社会の欠陥。
そもそもソースコードと公式が配布するバイナリの同一性が保証されているわけではないし(もちろん配布者はそう主張するだろうが)公式サイトが改変される可能性もある。そもそも公式が悪さをする可能性もあるし第一ソースコードやバイナリを書き換えなくてもインストーラに細工をすれば良いわけで。
//もーめんどーくさーいどーでもいー
Re: (スコア:0)
元コメはどっかの信徒によってマイナスモデレートされてるけれど、
元コメが言ってるのはGPL感染を利用して、悪意のコードを広める
手口の話なので、GPLに対する問題提起だよね。
ソースをしっかり読まないのが悪いと言ってしまえば簡単だけど、
ソースをしっかり読んで、悪意のコードではないクリーンであると
理解できるくらいならば、GPLなコードなんか使わないでしょう。
GPLは悪意のコードが埋め込まれることを前提に考えられておらず、
誰かが作ったコードを皆で共有する、バグがあったら誰かが直す、
そういうものなので、コードを検査して安全性をチェックする
なんてことはほとんどないでしょう。
みつかったとしても、ソースコードをチェックしてて、ではなく
挙動から発見されてるだろうし。
Re: (スコア:0)
それ GPL と何の関係があるん?
Re: (スコア:0)
GPLだと、ソースさえ開示していればユーザーが望まない機能を追加して配布しても問題はない?みたいな論理だったりして。
Re:今はまだいいけど (スコア:1)
やっぱりGPL関係ないじゃん。BSDライセンス等々ではソースの開示すら必要ないのでは
Re: (スコア:0)
話の主旨はそこじゃないのになんで粘着してるの?
国によるだろうけど不正アクセスでアウトだからライセンスは関係ないだろうけど
Re: (スコア:0)
あなたのいう話の趣旨とは「とにかくGPL叩きたい」ですか?
Re: (スコア:0)
このツリーの一番上が「とにかくGPL叩きたい」に見えるなら小学校からやり直すか病院行った方がいいと思うよ
Re: (スコア:0)
へえ、じゃあなんでGPLなんて文字列を含ませたのですかね?
説明をお願いします。
Re: (スコア:0)
ライセンス的には問題ないね。
そしてプロプライエタリなソフトは、勝手に改造しての配布をほぼ確実に禁止してるからそれをやればライセンス違反になる。
もちろん「ユーザーが望まない機能」の挙動如何では違法になる可能性は十分ある。
Re: (スコア:0)
そんなことはないです。
プロプライエタリは多くの場合オープンソースの対義語として使われますが、ソース非公開かつパブリック・ドメインに置かれたソフトは珍しくもありません。