スパイ行為への対策として、フリーソフトウェア財団がオープンソースの活用を提案 67
ストーリー by hylom
自由を守るためには自由を使え 部門より
自由を守るためには自由を使え 部門より
Nicolas Raoul 曰く、
先日、米国家安全保障局(NSA)による「PRISM」と呼ばれる大規模なネット監視プロジェクトが明らかになりましたが、これに対してフリーソフトウェア財団(FSF)の執行役員ジョン・サリバン氏が、このような監視行為からプライバシを守るため、パブリッククラウドではなくオープンソースソフトウェアで構築されたプライベートクラウドの利用を提案しています(FSFのニュース記事)。氏曰く、
このような大規模なブライバシ侵害が想定されるのは、人々がローカルなデータやソフトウェアから、サードパーティのサーバやホスト型(ウェブ)アプリケーションへと移行する場合です。MicrosoftやFacebook、Googleなどのインターネット大手は、合衆国政府からのユーザーデータの要求を断ることができません。この問題を解決し、オンラインで情報を共有するためのより良く、より安全な方法があります。GNU MediaGoblin、StatusNet、Diaspora、pump.io、Tahoe-LAFS、FreedomBoxやSparkleShareなどが、より分権的な世界を作り出すことに努力しています。その世界でユーザーは、巨大で中央集権的であり、プライバシー侵害に晒されているサービスのソーシャル機能と利便性を享受しつつ、自分のデータとそれにアクセスするためのソフトウェアの両方への制御を保持できるのです。
サリバン氏が挙げたソフトウェアは個人利用向けのソフトウェアですが、企業利用ではGmailの代わりにZimbra、Dropboxの代わりにCmisSync、という選択肢もあります。
オープンソースだからって、安全とは限らないという話も・・・ (スコア:2, すばらしい洞察)
以前、以下のような話が話題になったけど・・・・
FBI、OpenBSDのIPSEC開発者に金銭を送りバックドアを仕込んでいた? [srad.jp]
Re:オープンソースだからって、安全とは限らないという話も・・・ (スコア:1)
OSSなら人の目に曝される分だけ安全ってだけで
なんでもそうだけど100%の安全なんて神話でしか無いってことですよね。
ただ夜道の暗がりよりは昼間の雑踏が相対的に安心なのは間違いありません。
スリやら通り魔やら明るい街なかでも意外に犯罪は起きていますが
だからと言って昼間歩くのと人気のない深夜に歩くのとはリスクの大きさが違います。
ですので少しでもリスクを減らすという意味では依然としてOSSは有効な選択だと思います。
Re:オープンソースだからって、安全とは限らないという話も・・・ (スコア:1)
本当に人気がない深夜なら、昼間の雑踏より安全かも知れない。ただし利便性は損なわれる。
Re:オープンソースだからって、安全とは限らないという話も・・・ (スコア:1)
まずはOSの自作から始めないと…
Re: (スコア:0)
立場が違えば評価も違うということを示す好例であって嫌味でも皮肉でもないのに。
Re:オープンソースだからって、安全とは限らないという話も・・・ (スコア:1)
Re: (スコア:0, すばらしい洞察)
基本、例えに例えを重ねるっていうのは議論の混乱のもとなので
どんな内容であれ、元コメの例えに独自解釈の例えを返すようなリプライコメントはオフトピで正しいと思う。
まだ例え自体の揚げ足とか取らないだけマシとは思うけど、少なくとも好例ではないでしょ。
# と、モデに文句つけたり賛同したりするのもオフトピ
Re: (スコア:0)
その認識はクソ馬鹿どもがモデレーション権を振り回して気に入らないコメント叩きまくって喜びまくった結果であり、
スラッシュドット・ジャパンの低質化、ユーザーの知性の退行を表明してるにすぎん。くだらない。
マイナスモデを「存在価値の否定」みたいな深刻なとらえ方するな
「付き合いたい奴だけ付き合えばいい話題」ぐらいの意味にとっとけ。
う~ん・・・ (スコア:2)
> 合衆国政府からのユーザーデータの要求を断ることができません
フリーウェアなら断れるってわけでもないと思うが、
データの提出はあくまでそれを管理しているところが出すか出さないかの話だと思うので
クラウドがフリーな内容で構成されていたとしても変わらん気がするけどな~。
まぁバックドアを仕掛けられないという点では良いと思うけど。
Re:う~ん・・・ (スコア:1)
いえ、FSFが言っているのは、「中央集権型の世界は裏で何やられるかわからないよ」って主張です。分散した世界なら、国が一括でデータ提供を要求するのは困難だ、ということで。
フリーソフトウェアはその手段です。
(タレコミには「オープンソース」とありますが、FSFがオープンソースを推すわけがないので誤り?(^^;))
ストールマン氏のそうした主張は、以前スラドでも取り上げられたことがあります。
(Richard M. Stallman曰く、「Gmailを使うのは愚かなことだ」 [srad.jp])
なので、尊師的には「そらみたことか!」な気持ちなのじゃないかと(^^;)
Re: (スコア:0)
クラウドコンピューティングのサービスによってはデータがどこにおかれているのかユーザはわからないわけですが、例えばGoogleは米国内の情報だけ米政府に提供していたのか、それとも外国にある情報も含めて米政府に渡していたのか。
分散していれば大丈夫というわけでもないと思います。
Re:う~ん・・・ (スコア:1)
ストールマン氏的には、「そもそもクラウド自体が駄目」ということらしいのです。(私はそこまで思いませんが(^^;))
例えば、例に上がっているGNU MediaGoblin [osdn.jp]なんかは、YouTubeみたいなものを半ばP2P的に実現するようですね。
Re: (スコア:0)
同意。
他人が運営していたらコードの検証なんてできないし、
自分でサーバ立てるにしてもOSや利用するすべてのアプリケーションの
コードを自分で確認してコンパイルして、なんて無理です。
フリーウェアだからいいなんてことは全くないと思います。
Re: (スコア:0)
>他人が運営していたらコードの検証なんてできないし、
プライベートクラウドって言葉の意味わかってます?
Re: (スコア:0)
どっちにしろコードを全て検証するのは無理だと思うッす
Re: (スコア:0)
そのうちたぶん誰かが気付いてくれるというだけでも、誰も検証することができないことに比べればかなりマシだと思います。
Re: (スコア:0)
そのうち誰かが気付いた時にはもう遅いだろうが。
フリーウェアのほうがプロプラエタリよりマシだってことにはならんよ。
Re: (スコア:0)
そもそも、報道が全部本当なら、
PRISMは「インターネット大手にユーザーデータを要求した」わけじゃなく、
何らかの方法、例えば開発者にバックドアを仕掛けさせるなどして、勝手にデータを取ってたはずです。
それを防ぐということであれば、オープンソースならソースの開示が可能とはいっても、
稼働してるサーバが同じソースで稼働してる保障はなく、バックドアが仕掛けられてないかを確認する方法は、結局大手と一緒じゃないかなあ。
ならば信頼の点から考えても大手のほうが必死に対策すると思うけど。
もちろんPRISMと称して、結局毎回政府の黒い服の人がアタッシュケースにテープ詰めて持ち帰ってる場合は知りませんが。
Re: (スコア:0)
なので、公開されているソースをソースが公開されているコンパイラでビルドしたコンパイラでビルドしたコンパイラでビルド(以下省略
Re: (スコア:0)
完全にプリコンパイル禁止のインタープリタで、それも出来るだけクライアントサイドで…
まあ、意外と普通に動くかもしれない。
Re: (スコア:0)
そしてそれを動かすプロセッサや周辺チップもドライバも全て中身が公開されているか自作したものか、とにかく動作が確認できるもので…。
# アメリカで華為技術(ファーウェイ)について色々言われているのってこういうことでしょ?
Re: (スコア:0)
それが行われていなかった、とは報じられてはいませんよ。
Re: (スコア:0)
> 何らかの方法、例えば開発者にバックドアを仕掛けさせるなどして、勝手にデータを取ってたはずです。
前者に関して認めている会社はありますが (Google を含む)、後者を認めている会社はありません。
いい加減、捏造は止めましょうよ。
Re: (スコア:0)
バックドアが仕掛けられないかって言うと、その保証はないんだけども、それ以外は同意。
そもそもPRISMとかの問題は、プログラムではなくてサービス提供会社が米政府に情報を提供したってことなので、オープンソースとかまったく関係ないし、防止にも役立たない。
さらにいえば、Twitterは協力を断ってる。
TwitterがOSSを使ってるから断ったわけじゃないし。
それは (スコア:0)
動いて居るものが公開されて居るものと確実に一致しているって確認方法が確立されてからの話。
サービスだけを使っていると厳密な確認は出来ない。
それとも、「政府用バックドア付きバージョン」とか、ちゃんと表示してくれると思って居るのだろうか?
ソースを取り寄せた所で、相手は元々超法規的にやっている訳で何の保証にもならないだろうに。
実は政府機関への営業のつもりなんだろうか?
Re: (スコア:0)
ソースを取り寄せて、自分でコンパイルすればおk。
Re: (スコア:0)
そりゃ、自分の家でサーバたちあげて自分と知人だけ使うメールサービスにするなら構いませんけどね。
Re: (スコア:0)
だから併せて、プライベートクラウドを提案しているんでしょう。
自分の社内でサーバたちあげて、社員と客先だけ使うメールサービスにしよう、と。
Re: (スコア:0)
個人や自社で政府からの要求を断るのは相当に難しいのでは?
大会社がプロバイダとしてプライバシーを盾にしても断れないのを自社で断れるとは思えないのだけど。
挙句、接続プロバイダは信用できない情況で使わざるを得ないのですが。
「政府からの情報提供要求を拒めるか?」に、使用しているソフトがOSSであるかどうかは関係無い。
必用なのは「法的に開示を行わないで良い名目」だろ。
その名目が立たなきゃ個人や中小企業なんて何も抵抗は出来ないよ。
Re:それは (スコア:1)
単純に、こちら側にソースコードがあれば、そういうバックドアとかサーバサイドでの情報収集を回避する手段は色々あると思うんですが(´・ω・`)
例えば、
クラウドの場合なら、スマートカードとか手元の何か(場合によっては秘密鍵を入れたメモリカードでもよい)がないと復号ができないような暗号手順や擬似乱数によるダミーデータをサーバが要求するものに上乗せしてからサーバに送信するような独自のプロトコルを構築できたりもしますよ。
# これだけでも完璧ではないけど、P2Pと組み合わせたら結構面白いことになりそう。
そもそも、バイナリだけの供給の場合にはバックドアは避けられない(例えば、スマートフォン版のFacebookクライアントとか完全にそういう挙動だし)し、コードが暗号化などの難読措置をされてる上にリバースエンジニアリングがライセンス違反になる場合が大半じゃないですかね。
要は、ユーザなどの第三者によるクライアントサイドの監査や修正が働かない。
この監査が働くだけでも、オープンソースのアドバンテージはあると思いますよ。
Re: (スコア:0)
当人の預り知らぬところで開示されるからスパイ行為なんでしょ?
見せろって言われて見せるのとは訳が違う。
見せろって言われる場合はその理由を聞いたりできるだろうし。
なんの容疑もかかってないのに開示されていい気はしない。
Re: (スコア:0)
Re: (スコア:0)
そういう意味では、FSF的に正しいソフトウェア利用の形というものは、
オンプレミスで動作しなければ(できなければ)いけないというのはもちろん、
運用面でもオンプレミスで行われるべき、ということなんでしょうなぁ。SaaSなんて以ての外。
# そうでないと、根本的な目的である「ソフトウェアをユーザーのコントロール下に置く」事ができないから。
Re: (スコア:0)
ソースコードの監査も必要ですよ。
見ないでmakeするんじゃあ、バイナリ使うのと大差ない信頼性です。
Re: (スコア:0)
コンパイラもソースをちゃんと読んだうえで
自分自身をコンパイルして同一のバイナリが
生成されるとかいう検証も必要だな。
Re: (スコア:0)
Zimbraが何かすら知らなかったのだけど、
VMWareのメールサービスと。
で、VMWareは米国政府のアタックを受けないと保証するものってなんなんでしょうね。
知名度?
誰が誰を守ると謳うの? (スコア:0)
テロのリスクから国民を守るといっても、じゃぁ具体的に誰が誰をどのように守っているのかや、具体的にどのようなリスクを排除しているのかや、その成果は示されないんだよね。
プライバシーを守るといっても、実は単に自分の情報を自分で制御できますよと言っているだけで、誰かが堅く守ってくれるわけじゃぁない。
政変が起きれば昨日までは政府軍だった組織が突如として反乱軍になる可能性だってあるし、昨日までは自分達を守っていたはずの兵士がこっちに銃を向ける可能性だってある。
だからといって、各自が自前で重武装するのが平和への近道なのかというと、それはそれで何か根本的に違和感がある。
守る守ると謳うならば、想定している敵が誰なのか、誰を守ると言うのか、その判断は誰によるものなのか、その方法どのようなものか、そしてその成果はどうなのか、それらをわかりやすく示すべきだと思うんだよね。
とりあえず全部疑っとけ方式も、自分の身は自分で守れ方式も、極端に過ぎるとそれ自体がリスクなんだよね。
Re: (スコア:0)
守るものは国益。
そのためなら軍隊を他国にも送り人も殺す。
その時いちいち相手のプライバシーを守るか?守りませんよね。
今回は「相手」が国内にいる場合があるため、国内にも(ネット上の)無差別爆撃をするわけです。
国益のために。
Re:誰が誰を守ると謳うの? (スコア:1)
それは、国益を詐称した、単なる省益とか会社益なんでは…
結局、NSAやFEMAではデータの収集と解析を使った国民に対する締め付けが自己目的化した結果として、こういう事態が起こってる訳で。
肥大化した組織権益が、更に肥大しようと本来不要な情報まで取り込んで権力に変えていく。と言うのは、最低でも米国や日本のように高度化してる官僚社会では共通のことではないですかね。
そもそも、情報はカネの源泉ですから、ビッグデータの解析等で私腹を肥やす高級官僚もいるでしょうし、それを合法的に行う手法は日本の方が先んじてはいますが、米国の官僚機構もそれに倣ってる感がある。
ネットストリーキング (スコア:0)
秘密をなくして、全部さらけ出せよ。
そっちのほうがオープンだぞw
Re: (スコア:0)
おま言う
Re: (スコア:0)
おま(えいいこと)言う(ね)
Re: (スコア:0)
おま(え(はちょっとは)いいこと)言う((知力を持ってはいないのか)ね)
こんな提言したところで、魅力ないソフトは使われない (スコア:0)
いい加減OSS界隈の連中は、なんでOSSソフトが普及しないのかを真剣に考えろ。
Re: (スコア:0)
OSSソフトは普及してるでしょ。君が今書き込むのに使ってるブラウザだって書き込み対象のwebサーバーだってOSSソフトだ。
Re: (スコア:0)
IE10はOSSソフトだったのか。
#ごめん別ACだけどさ
IE(Re:こんな提言したところで、魅力ないソフトは使われない (スコア:1)
…Windowsにバンドルされて、90%以上の人がIE6とかを使ってた時代のレガシーコストの問題がなければ、使いますかね?
某社の顧客サポートページ [kddi.com]のように、特段IEだけにしかない機能を使ってるわけでもないのにIEとかじゃないと認証を撥ねるので、UA偽装が必須なサイトとかも未だありますけど…後、韓国のECサイトとかくらいでは(´・ω・`)
Re: (スコア:0)
そこまで数が多いとは言わないけど、ブラウザなんて何種類もあるわけで。全部に対応してるかチェックするのはそれなりに工数が居る。
認証が必要なページってことは、誤動作が起こっては困る内容であることも多い。
だから、なんだかんだ言っても普及率が高いWindowsと、少なくとも日本語版Windowsでは確実にインストールされているであろうIEに絞って対応することでチェックの工数を下げる、という考え方は間違いではないと思う。
もちろんそれで客に不便を強いることになるし、他OS使ってる客が離れたりクレームいれてくるのも覚悟の上で、という選択肢だろうね。
故に、
>特段IEだけにしかない機能を使ってるわけでもない
っていうのは正直どうでもよくて、「IE以外を使って(たとえば本来表示される筈だった注意書きがきちんと表示されないまま顧客が申し込みしちゃった等の)何らかの不具合が出る可能性があるからUAで弾いて使わせない」って選択肢は現実的だと思うよ。
Re: (スコア:0)
IE10使ってるような奴がなぜスラドにいるの。
Re: (スコア:0)
GNUとOSSは別物だよ。目指すところも根源も全く別。
GNUは解放が根幹だけど、OSSは金儲けが根幹。
GNUがはやらないのはあまりにも開放してるから。
OSSがいまいち主流を取れないのはフリーライドで金を儲けようとしているのが透けてみえるから。
GNUが自然発生的に生まれるシャーマニズムだとすれば、OSSは信仰が生み出すパワーを勝手に想像した神(OSS)をエサに集めて、富や権力を集めようとしているキリスト教みたいな感じ。