MS Passportがシェアードソースに 38
ストーリー by yourCat
ソースを見せてプライバシーは見せず 部門より
ソースを見せてプライバシーは見せず 部門より
torus曰く、"INTERNET Watchの記事によると、MSのPassportのソースコードが限定的ながら公開されるようです。オープンソースではなくシェアードソースという形で。たとえば個人が改変したものを公開しちゃいけないという制限があるそうです。
ソースがあってもビルド環境そろえるのも大変そうだし、そう簡単に手を出せるもんでもなさそうですが、Passportって仕組みとしては面白いし、学生さんなどはこれを見て勉強できるか知れませんね。ただ、もしセキュリティホールを見つけても、制限があるとパッチとか公開できないですよねぇ。"
MSのプレス・リリースも出ている。Passportはユーザーのプライバシーに大きく関わる部分だけに、特に慎重に対処すべき問題の一つだ。このソースを開示するとは、MSもソースを見せた方が安全と考えるようになった……のなら大転換だが、単にLiberty Allianceに対抗しているだけか?
ソース公開? (スコア:2, おもしろおかしい)
Re:ソース公開? (スコア:1, おもしろおかしい)
Re:ソース公開? (スコア:1, おもしろおかしい)
ソフトウェアは無限の組み合わせから顧客に最適なソリューションを
生み出すことができるのです。
ええ、もちろん、社内でも全体を把握できてません。(-_-;
#本当にそうかもしれないので AC
互換環境を作らせるため? (スコア:1)
ソースが無くてバイナリの動作から仕様を割り出すと、どうしても互換度は下がってきますし、かといってMicrosoftとしてはシェアを取る為であってもMonoに積極的にcommitする訳にも行かない。
それならいっそソースを公開して互換環境を作らせて、Liberty Allianceに対抗して行こうというのは戦略として有効かと思います。
互換環境の方が優勢となってしまってPassportが儲からなくなったら特許権か何かで後になって締め上げる事もできるだろうから、とりあえずはシェア取ってしまえと。
ハロウィン文書であった、独自プロトコル云々ってヤツね。
Re:互換環境を作らせるため? (スコア:2, 参考になる)
このてのプロジェクトは、今じゃあんまりPassportに危機意識を持っていない、バッシングからパッシングへ流れているような気がします。
しぇあーどそーす? (スコア:1)
まあ、それ以前に、あのライセンス内容でソースをいじってみたいって考える開発者がいるのか?って疑問もありますが。
Re:しぇあーどそーす? (スコア:1, すばらしい洞察)
Linuxみたいなノリを想定しての発言と想像できますが、根本的に対象が違うと思います。Linuxの場合、開発に足を踏み入れるきっかけは(自分で使うニーズも当然あるでしょうけど)LinuxやOS内部の処理などに興味があって...という個人的な興味が動機になっていることも多いと思います。
おそらく今回の場合は、そういう興味本位でソースをいじる人はMicrosoftの眼中には無くて、商用目的で「自社のシステムにカスタマイズして組み込みたい」とか、「納期が迫ってるのに致命的なバグがあって困ってる。原因にも当たりはついてるし、すぐ直せそうなもんなのに、いつまでたってもMicrosoftが直してくれないよー」というとってもアチガチ;-)な状況で、patch作ってMicrosoftをせっついたり、という使われ方を想定しているんじゃないかと思いますが。
という感じで、(Linuxの場合と違って)自ら好んでソースを見る人は少ないかもしれませんが、業務上の都合による需要は確実に存在するでしょう。個人的には、こういう形のソース公開も有効な手段かもしれないな、位には思っていますので、今後どうなっていくかを見守りたいですね。
Re:しぇあーどそーす? (スコア:0)
って?
Re:しぇあーどそーす? (スコア:0)
ってことも想像できない人がいるんだねぇ。
Re:しぇあーどそーす? (スコア:0)
Re:しぇあーどそーす? (スコア:0)
echo "アチガチ"| sed -e "s/チ/リ/g"
ってやってみ。
Re:しぇあーどそーす? (スコア:0)
# ネタなのでAC
Re:しぇあーどそーす? (スコア:0)
Re:しぇあーどそーす? (スコア:1, おもしろおかしい)
そんな心配する必要はありませんよ。ソースが公開されてないIEでもIISでも粘着にセキュリティホールを日々見つけてくれる親切な無料外注デバッガーさんたちがいらっしゃいますから。
フィードバックが受け付けられないとしても、その穴を世間一般に向けて公開すればイヤでも対応せざるを得なくなるわけですし。
他人事なのでAC(ぉぃ)
Re:しぇあーどそーす? (スコア:0)
Re:しぇあーどそーす? (スコア:1)
MSと弄る人がおのおの一本のフィードバックラインでのみ結ばれ、他者に拡がらない(拡がらせない)しくみですから。
派生物を作れることも前提にあるものと、作らせない前提の物は大きく隔たりがあります。
前者はいわば「みんなでバグを直してみんなで幸せになろう」ですが、「バグを直してMSと特定顧客が幸せになろう」という限定的な物です。
あと、元々Shared Source自体、対象範囲が広げられただけで昔から似たようなことはやってたし。本質は代わってないよ。
# rm -rf ./.
とりあえず評価の方向で (スコア:1)
ただ、パスポートの問題はそこの部分よりも、データを1社が保管するってトコだったような。
この辺りも、なんか分散させるとか言ってた様な気もするので(なんかこの辺り曖昧)、そうするのであればLibertyAllianceともいい感じに戦っていきそうだな。
Re:とりあえず評価の方向で (スコア:2, 参考になる)
TrustBridgeによるサービスのフェデレーションというので分散協調モデルを目指すとか何とか。
詳しくはこの辺り [microsoft.com]参照。
ケン・トンプソンのトロイの木馬 (スコア:0)
ソースコードが公開されていても、Visual なんちゃら.NetのようなMS製のクローズドなコンパイラ(やらリンカやら)でしかビルドできなければケン・トンプソンのトロイの木馬 [srad.jp]よろしくMSは裏口を仕込むことができません?
Re:ケン・トンプソンのトロイの木馬 (スコア:0)
Re:ケン・トンプソンのトロイの木馬 (スコア:0)
Re:ケン・トンプソンのトロイの木馬 (スコア:1)
# どこかに文献ありませんでしたっけ?
# あれ、すごく面白いと思ったんですけど。
Re:ケン・トンプソンのトロイの木馬 (スコア:0)
Re:ケン・トンプソンのトロイの木馬 (スコア:0)
Re:ケン・トンプソンのトロイの木馬 (スコア:0)
一般論としては、ソースが読めても、バイナリがそのソースからコンパイルされたものだという保証がありませんから、ソース(とされるもの)を読めるというだけでは不十分です。
また、実際にあなたの示
どうしてアンチMSはバカだと言われなきゃならん (スコア:0)
ある人にとっては、VS .NETはRAD環境だろうが、ある人にっとっては単なるコンパイラであるととらえられるかもしれないし、私にとっては単なる便利なエディタでしかない。
それに、RADというものをそもそも
Re:どうしてアンチMSはバカだと言われなきゃならん (スコア:0)
分かってないのに知ったかするからヴァカなんじゃないのか…。
知らないのに知ってる振りして煽るからヴァカにされてるだけでしょ?
的確な煽りならまだしも(それもそれで何だが)、
ヴァカな煽りは一蹴されて当然。
擁護する必要は一切なし。
Trustworthy? (スコア:0)
Passportが気に入らなければLiberty Allianceだってあるわけですし、別にMSのコンパイラが嫌とか言っているわけではありません。「VS .NETはただのRAD環境」とおっしゃりますが、実際の開発にはその「ただのRAD環境」が広く使われるわけです。VS.NetとMono とDelphi.Netが出揃った段階で、実際に使われるのはどれでしょう。
"Safe, reliable digital identities are part of what the industry needs to deliver on to achieve the long-term goal of Trustworthy Computing."とプレス・リリースにも書かれていますが、MSはTrustworthyを主張し、それをthe long-ter
Re:Trustworthy? (スコア:1)
一番広く使われるのは.NET Framework SDK+適当なエディタじゃないの?
タダなんだし。
Delphi.NETはなんで出てくるのかちょっと読んだだけでは理解不能なんですが、RAD環境つながりで比較しているのデスか?
だとしたら同じ並びでまだRAD環境まで手が出てないMonoが出てくるのは?
こんなの並列に並べてるようじゃ結局実態知らないであてずっぽうで書いてるだけ?と思われても仕方ないでしょう。それは誹謗中傷と変わりない。
出された例に沿って話をしますが、利用者の側から見ればどんなコンパイラ通って動いてるかはわからないんだから確かに件の木馬の話があれば怖いでしょう。
でも現状MSのコンパイラはSDKの中に入ってていつでもダウンロードできる状態でしょ?
てことは自分で検証できるってことでしょ。
検証もしないで可能性だけ指摘するなんてことはどっかの評論家にまかせとけばいいんじゃないの?エンジニアの態度じゃないよね。
信頼なんてそう簡単に得られるわけがないんだから、trustworthyってのがどうなっていくのか冷静に見つめていく必要はあると思うけどね。
自分にはアンチMSの人たちに対して犯罪者が出所してきてまっとうな生活始めようとしているのを誤解と偏見に基づいて「なんかボロださねーかなー」と監視しているようなイヤな人々、って印象しかないっす。
本人が「まっとうな生活始めます(このバヤイtrustworthy)」って言ってんだから素直になまあったかい目で見守れば?
あ、あと見守るのと無防備とは別物ってことでひとつ。
Re:Trustworthy? (スコア:0)
RADかどうかという基準ではありません。MS製品の代替選択肢(候補)を挙げただけで、D(evelop)できる環境というだけです。
理解できません。コンパイラの入手が容易=(裏口の)検証が可能ですか?表から見えないからこその裏口でしょうし、それに公開されているSDKのコンパイラだけでなく、Passportの(少なくとも)基礎部分に使われるプ
Re:Trustworthy? (スコア:0)
うん。
LinuxでもBSDでも何でも良いけど、
ダウンロードしたソース全部読んでから入れてる?
MD5いつも確認してる?そのレベルだってしてないんじゃない?
もっと言えば、現実世界で玄関開けるときに扉にチェーンか
Re:Trustworthy? (スコア:0)
MD5の確認(可能な場合は電子署名の確認)くらいしますよ。
というのはさておき、別にソフトウェアをインストールする前にソース全部読もうなどという無茶な話はしていません。高いtrustworthinessを要求される(公共的な性格のある)サービスに対して政府なり消費者団体なりがセキュリティ・コンサルタント・ファームにでも査読を依頼でき(あるいはオープンソース的には世界中の有志が査読でき)、なおかつ実際に使われているバイナリがそのソースか
Re:Trustworthy? (スコア:1)
そのくらい調べてから可能性をもてあそべよって言ってんのにわからん奴だな。
やっぱり誹謗中傷と同レベルじゃん。
ディスアセンブルを無効化するツールも世の中には存在するけどそんなのわざわざ使って無用の疑いを招くようなアホをさらしたらそのときこそ問題にすればいいんじゃないの?
単に (スコア:0)