パスワードを忘れた? アカウント作成
9158182 story
アメリカ合衆国

スパイ行為への対策として、フリーソフトウェア財団がオープンソースの活用を提案 67

ストーリー by hylom
自由を守るためには自由を使え 部門より
Nicolas Raoul 曰く、

先日、米国家安全保障局(NSA)による「PRISM」と呼ばれる大規模なネット監視プロジェクトが明らかになりましたが、これに対してフリーソフトウェア財団(FSF)の執行役員ジョン・サリバン氏が、このような監視行為からプライバシを守るため、パブリッククラウドではなくオープンソースソフトウェアで構築されたプライベートクラウドの利用を提案しています(FSFのニュース記事)。氏曰く、

このような大規模なブライバシ侵害が想定されるのは、人々がローカルなデータやソフトウェアから、サードパーティのサーバやホスト型(ウェブ)アプリケーションへと移行する場合です。MicrosoftやFacebook、Googleなどのインターネット大手は、合衆国政府からのユーザーデータの要求を断ることができません。この問題を解決し、オンラインで情報を共有するためのより良く、より安全な方法があります。GNU MediaGoblin、StatusNet、Diaspora、pump.io、Tahoe-LAFS、FreedomBoxやSparkleShareなどが、より分権的な世界を作り出すことに努力しています。その世界でユーザーは、巨大で中央集権的であり、プライバシー侵害に晒されているサービスのソーシャル機能と利便性を享受しつつ、自分のデータとそれにアクセスするためのソフトウェアの両方への制御を保持できるのです。

サリバン氏が挙げたソフトウェアは個人利用向けのソフトウェアですが、企業利用ではGmailの代わりにZimbra、Dropboxの代わりにCmisSync、という選択肢もあります。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年06月13日 8時15分 (#2400284)

    以前、以下のような話が話題になったけど・・・・
    FBI、OpenBSDのIPSEC開発者に金銭を送りバックドアを仕込んでいた? [srad.jp]

  • by iwakuralain (33086) on 2013年06月13日 9時03分 (#2400304)

    > 合衆国政府からのユーザーデータの要求を断ることができません

    フリーウェアなら断れるってわけでもないと思うが、
    データの提出はあくまでそれを管理しているところが出すか出さないかの話だと思うので
    クラウドがフリーな内容で構成されていたとしても変わらん気がするけどな~。

    まぁバックドアを仕掛けられないという点では良いと思うけど。

    • by T.Sawamoto (4142) on 2013年06月13日 11時56分 (#2400406)

      いえ、FSFが言っているのは、「中央集権型の世界は裏で何やられるかわからないよ」って主張です。分散した世界なら、国が一括でデータ提供を要求するのは困難だ、ということで。
      フリーソフトウェアはその手段です。
      (タレコミには「オープンソース」とありますが、FSFがオープンソースを推すわけがないので誤り?(^^;))

      ストールマン氏のそうした主張は、以前スラドでも取り上げられたことがあります。
      Richard M. Stallman曰く、「Gmailを使うのは愚かなことだ」 [srad.jp])
      なので、尊師的には「そらみたことか!」な気持ちなのじゃないかと(^^;)

      親コメント
      • by Anonymous Coward

        クラウドコンピューティングのサービスによってはデータがどこにおかれているのかユーザはわからないわけですが、例えばGoogleは米国内の情報だけ米政府に提供していたのか、それとも外国にある情報も含めて米政府に渡していたのか。

        分散していれば大丈夫というわけでもないと思います。

        • by T.Sawamoto (4142) on 2013年06月13日 13時38分 (#2400510)

          ストールマン氏的には、「そもそもクラウド自体が駄目」ということらしいのです。(私はそこまで思いませんが(^^;))
          例えば、例に上がっているGNU MediaGoblin [osdn.jp]なんかは、YouTubeみたいなものを半ばP2P的に実現するようですね。

          親コメント
    • by Anonymous Coward

      同意。

      他人が運営していたらコードの検証なんてできないし、
      自分でサーバ立てるにしてもOSや利用するすべてのアプリケーションの
      コードを自分で確認してコンパイルして、なんて無理です。

      フリーウェアだからいいなんてことは全くないと思います。

      • by Anonymous Coward

        >他人が運営していたらコードの検証なんてできないし、
        プライベートクラウドって言葉の意味わかってます?

        • by Anonymous Coward

          どっちにしろコードを全て検証するのは無理だと思うッす

          • by Anonymous Coward

            そのうちたぶん誰かが気付いてくれるというだけでも、誰も検証することができないことに比べればかなりマシだと思います。

            • by Anonymous Coward

              そのうち誰かが気付いた時にはもう遅いだろうが。
              フリーウェアのほうがプロプラエタリよりマシだってことにはならんよ。

    • by Anonymous Coward

      そもそも、報道が全部本当なら、
      PRISMは「インターネット大手にユーザーデータを要求した」わけじゃなく、
      何らかの方法、例えば開発者にバックドアを仕掛けさせるなどして、勝手にデータを取ってたはずです。
      それを防ぐということであれば、オープンソースならソースの開示が可能とはいっても、
      稼働してるサーバが同じソースで稼働してる保障はなく、バックドアが仕掛けられてないかを確認する方法は、結局大手と一緒じゃないかなあ。
      ならば信頼の点から考えても大手のほうが必死に対策すると思うけど。

      もちろんPRISMと称して、結局毎回政府の黒い服の人がアタッシュケースにテープ詰めて持ち帰ってる場合は知りませんが。

      • by Anonymous Coward

        なので、公開されているソースをソースが公開されているコンパイラでビルドしたコンパイラでビルドしたコンパイラでビルド(以下省略

        • by Anonymous Coward

          完全にプリコンパイル禁止のインタープリタで、それも出来るだけクライアントサイドで…
          まあ、意外と普通に動くかもしれない。

        • by Anonymous Coward

          なので、公開されているソースをソースが公開されているコンパイラでビルドしたコンパイラでビルドしたコンパイラでビルド(以下省略

          そしてそれを動かすプロセッサや周辺チップもドライバも全て中身が公開されているか自作したものか、とにかく動作が確認できるもので…。

          # アメリカで華為技術(ファーウェイ)について色々言われているのってこういうことでしょ?

      • by Anonymous Coward
        >はずです。

        それが行われていなかった、とは報じられてはいませんよ。
      • by Anonymous Coward
        > PRISMは「インターネット大手にユーザーデータを要求した」わけじゃなく、
        > 何らかの方法、例えば開発者にバックドアを仕掛けさせるなどして、勝手にデータを取ってたはずです。
        前者に関して認めている会社はありますが (Google を含む)、後者を認めている会社はありません。
        いい加減、捏造は止めましょうよ。
    • by Anonymous Coward

      バックドアが仕掛けられないかって言うと、その保証はないんだけども、それ以外は同意。

      そもそもPRISMとかの問題は、プログラムではなくてサービス提供会社が米政府に情報を提供したってことなので、オープンソースとかまったく関係ないし、防止にも役立たない。

      さらにいえば、Twitterは協力を断ってる。
      TwitterがOSSを使ってるから断ったわけじゃないし。

  • by Anonymous Coward on 2013年06月13日 9時10分 (#2400307)

    動いて居るものが公開されて居るものと確実に一致しているって確認方法が確立されてからの話。
    サービスだけを使っていると厳密な確認は出来ない。
    それとも、「政府用バックドア付きバージョン」とか、ちゃんと表示してくれると思って居るのだろうか?
    ソースを取り寄せた所で、相手は元々超法規的にやっている訳で何の保証にもならないだろうに。

    実は政府機関への営業のつもりなんだろうか?

    • by Anonymous Coward

      ソースを取り寄せて、自分でコンパイルすればおk。

      • by Anonymous Coward

        そりゃ、自分の家でサーバたちあげて自分と知人だけ使うメールサービスにするなら構いませんけどね。

        • by Anonymous Coward

          だから併せて、プライベートクラウドを提案しているんでしょう。
          自分の社内でサーバたちあげて、社員と客先だけ使うメールサービスにしよう、と。

          • by Anonymous Coward

            個人や自社で政府からの要求を断るのは相当に難しいのでは?
            大会社がプロバイダとしてプライバシーを盾にしても断れないのを自社で断れるとは思えないのだけど。
            挙句、接続プロバイダは信用できない情況で使わざるを得ないのですが。

            「政府からの情報提供要求を拒めるか?」に、使用しているソフトがOSSであるかどうかは関係無い。
            必用なのは「法的に開示を行わないで良い名目」だろ。
            その名目が立たなきゃ個人や中小企業なんて何も抵抗は出来ないよ。

            • by Artane. (1042) on 2013年06月13日 17時17分 (#2400726) ホームページ 日記

              単純に、こちら側にソースコードがあれば、そういうバックドアとかサーバサイドでの情報収集を回避する手段は色々あると思うんですが(´・ω・`)

              例えば、
              クラウドの場合なら、スマートカードとか手元の何か(場合によっては秘密鍵を入れたメモリカードでもよい)がないと復号ができないような暗号手順や擬似乱数によるダミーデータをサーバが要求するものに上乗せしてからサーバに送信するような独自のプロトコルを構築できたりもしますよ。

              # これだけでも完璧ではないけど、P2Pと組み合わせたら結構面白いことになりそう。

              そもそも、バイナリだけの供給の場合にはバックドアは避けられない(例えば、スマートフォン版のFacebookクライアントとか完全にそういう挙動だし)し、コードが暗号化などの難読措置をされてる上にリバースエンジニアリングがライセンス違反になる場合が大半じゃないですかね。

              要は、ユーザなどの第三者によるクライアントサイドの監査や修正が働かない。
              この監査が働くだけでも、オープンソースのアドバンテージはあると思いますよ。

              親コメント
            • by Anonymous Coward

              当人の預り知らぬところで開示されるからスパイ行為なんでしょ?
              見せろって言われて見せるのとは訳が違う。
              見せろって言われる場合はその理由を聞いたりできるだろうし。
              なんの容疑もかかってないのに開示されていい気はしない。

            • by Anonymous Coward
              個人に対して要求したら、即座にその要求を公開されてしまいますよ。それは政府の望むところでは全くないわけで。
          • by Anonymous Coward

            そういう意味では、FSF的に正しいソフトウェア利用の形というものは、
            オンプレミスで動作しなければ(できなければ)いけないというのはもちろん、
            運用面でもオンプレミスで行われるべき、ということなんでしょうなぁ。SaaSなんて以ての外。
            # そうでないと、根本的な目的である「ソフトウェアをユーザーのコントロール下に置く」事ができないから。

      • by Anonymous Coward

        ソースコードの監査も必要ですよ。
        見ないでmakeするんじゃあ、バイナリ使うのと大差ない信頼性です。

        • by Anonymous Coward

          コンパイラもソースをちゃんと読んだうえで
          自分自身をコンパイルして同一のバイナリが
          生成されるとかいう検証も必要だな。

    • by Anonymous Coward

      Zimbraが何かすら知らなかったのだけど、
      VMWareのメールサービスと。
      で、VMWareは米国政府のアタックを受けないと保証するものってなんなんでしょうね。

      知名度?

  • by Anonymous Coward on 2013年06月13日 9時30分 (#2400319)
    PRISMにしても、オープンソースにしても、本来の目的は何なんだろうね。

    テロのリスクから国民を守るといっても、じゃぁ具体的に誰が誰をどのように守っているのかや、具体的にどのようなリスクを排除しているのかや、その成果は示されないんだよね。
    プライバシーを守るといっても、実は単に自分の情報を自分で制御できますよと言っているだけで、誰かが堅く守ってくれるわけじゃぁない。

    政変が起きれば昨日までは政府軍だった組織が突如として反乱軍になる可能性だってあるし、昨日までは自分達を守っていたはずの兵士がこっちに銃を向ける可能性だってある。
    だからといって、各自が自前で重武装するのが平和への近道なのかというと、それはそれで何か根本的に違和感がある。

    守る守ると謳うならば、想定している敵が誰なのか、誰を守ると言うのか、その判断は誰によるものなのか、その方法どのようなものか、そしてその成果はどうなのか、それらをわかりやすく示すべきだと思うんだよね。

    とりあえず全部疑っとけ方式も、自分の身は自分で守れ方式も、極端に過ぎるとそれ自体がリスクなんだよね。
    • by Anonymous Coward

      守るものは国益。
      そのためなら軍隊を他国にも送り人も殺す。
      その時いちいち相手のプライバシーを守るか?守りませんよね。
      今回は「相手」が国内にいる場合があるため、国内にも(ネット上の)無差別爆撃をするわけです。
      国益のために。

      • 守るものは国益。
        そのためなら軍隊を他国にも送り人も殺す。
        その時いちいち相手のプライバシーを守るか?守りませんよね。
        今回は「相手」が国内にいる場合があるため、国内にも(ネット上の)無差別爆撃をするわけです。
        国益のために。

        それは、国益を詐称した、単なる省益とか会社益なんでは…
        結局、NSAやFEMAではデータの収集と解析を使った国民に対する締め付けが自己目的化した結果として、こういう事態が起こってる訳で。

        肥大化した組織権益が、更に肥大しようと本来不要な情報まで取り込んで権力に変えていく。と言うのは、最低でも米国や日本のように高度化してる官僚社会では共通のことではないですかね。
        そもそも、情報はカネの源泉ですから、ビッグデータの解析等で私腹を肥やす高級官僚もいるでしょうし、それを合法的に行う手法は日本の方が先んじてはいますが、米国の官僚機構もそれに倣ってる感がある。

        親コメント
  • by Anonymous Coward on 2013年06月13日 10時22分 (#2400351)

    秘密をなくして、全部さらけ出せよ。
    そっちのほうがオープンだぞw

    • by Anonymous Coward

      おま言う

      • by Anonymous Coward

        おま(えいいこと)言う(ね)

        • by Anonymous Coward

          おま(え(はちょっとは)いいこと)言う((知力を持ってはいないのか)ね)

  • いい加減OSS界隈の連中は、なんでOSSソフトが普及しないのかを真剣に考えろ。

    • by Anonymous Coward

      OSSソフトは普及してるでしょ。君が今書き込むのに使ってるブラウザだって書き込み対象のwebサーバーだってOSSソフトだ。

      • by Anonymous Coward

        IE10はOSSソフトだったのか。

        #ごめん別ACだけどさ

        • …Windowsにバンドルされて、90%以上の人がIE6とかを使ってた時代のレガシーコストの問題がなければ、使いますかね?
          某社の顧客サポートページ [kddi.com]のように、特段IEだけにしかない機能を使ってるわけでもないのにIEとかじゃないと認証を撥ねるので、UA偽装が必須なサイトとかも未だありますけど…後、韓国のECサイトとかくらいでは(´・ω・`)

          親コメント
          • by Anonymous Coward

            そこまで数が多いとは言わないけど、ブラウザなんて何種類もあるわけで。全部に対応してるかチェックするのはそれなりに工数が居る。
            認証が必要なページってことは、誤動作が起こっては困る内容であることも多い。

            だから、なんだかんだ言っても普及率が高いWindowsと、少なくとも日本語版Windowsでは確実にインストールされているであろうIEに絞って対応することでチェックの工数を下げる、という考え方は間違いではないと思う。
            もちろんそれで客に不便を強いることになるし、他OS使ってる客が離れたりクレームいれてくるのも覚悟の上で、という選択肢だろうね。

            故に、
            >特段IEだけにしかない機能を使ってるわけでもない
            っていうのは正直どうでもよくて、「IE以外を使って(たとえば本来表示される筈だった注意書きがきちんと表示されないまま顧客が申し込みしちゃった等の)何らかの不具合が出る可能性があるからUAで弾いて使わせない」って選択肢は現実的だと思うよ。

        • by Anonymous Coward

          IE10使ってるような奴がなぜスラドにいるの。

    • by Anonymous Coward

      GNUとOSSは別物だよ。目指すところも根源も全く別。
      GNUは解放が根幹だけど、OSSは金儲けが根幹。

      GNUがはやらないのはあまりにも開放してるから。
      OSSがいまいち主流を取れないのはフリーライドで金を儲けようとしているのが透けてみえるから。

      GNUが自然発生的に生まれるシャーマニズムだとすれば、OSSは信仰が生み出すパワーを勝手に想像した神(OSS)をエサに集めて、富や権力を集めようとしているキリスト教みたいな感じ。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...