MSがWindowsUpdateを濫用? 178
ストーリー by GetSet
やはりというか何というか 部門より
やはりというか何というか 部門より
yh 曰く、 "本家発。ドイツのtecChannelというサイトが、Windows Updateの最近のバージョンで、PC上にインストールされているMicrosoft製以外のソフトウェアの情報も集められているのを確認したという。
アップデートの際にwindowsupdate.comに接続すると、PCからMSのサーバへ数キロバイトの暗号化されたデータが送られるのだが、同サイトで、この情報の読解方法を編み出し、ツールを作成したそうだ。
同サイトでは、プライバシー・ポリシーの範囲を超えた情報を集めていることについてMSに質問をしたが、詳しい返答はないとのこと。"
なにかみんなウブだというか (スコア:5, 参考になる)
それと、セキュリティパッチは最近は Windows Update のみに変わりつつあるので、使わないわけにはいかんでしょう。カタログからの検索の場合何が送られるのかについては知らんけど。
そうか! (スコア:4, すばらしい洞察)
ことだったのね。
Re:そうか! (スコア:1)
本家の記事を見ると (スコア:4, 興味深い)
Re:本家の記事を見ると (スコア:1)
興味があります。ソースはどこか教えて頂けませんか?
Re:本家の記事を見ると (スコア:2, 興味深い)
ionyka points to this "related article from ITWorld that deals with Microsoft's transferring of information through Windows Media Player. When you open up Media Player it sends information back to Microsoft like what movies you play, what songs you listen to and where they come from."
のことでしょうね。
リンク先を見てみると、
- Media Player 8では、再生した動画の情報が MSに送られ、
タイトルやトラック情報が MSのサーバ上で検索されて
ユーザのPCに送られる。
- Media Player 8の識別番号と、動画の再生履歴が MSのサーバ上に記録される。
- (この識別番号はPCのアカウント毎のものではないので)複数人で1台のPCを使用するとき、他の人の再生履歴も見ることができる。
- "Windows Media e-mail newsletter"に登録すると、個人まで特定されてしまう。
- MSの見解では、プライバシーの問題にはならない、としている。
という感じのことが書かれていました。間違ってたら訂正をお願いします。
識別情報はオフにしましょう (スコア:2, 参考になる)
デフォルトでオンになっていますが、全く不用でありセキュリティホールにもなりますので。
--- どちらなりとご自由に --- --
Re:本家の記事を見ると (スコア:2, 参考になる)
WMPの9のオプション-プライバシーに
「不足しているメディア情報をインターネットから取得して音楽ファイルを更新する」
ってチェック項目があります。
これがデフォルトオンだったかは忘れましたが、これのことかと。
#ちがったらしつれい。
他にDVDや「保護されたコンテンツ」の情報の取得なんかもあるみたいですが、動作を良く知りません。
Re:本家の記事を見ると (スコア:1)
WMVだって?
それなら、TMPEGEncあたりでMPEG1にして以下同文...ダメなものもあるけど。
アクティベーション (スコア:2, 興味深い)
最近M$の右に習えで、ライセンス認証と似た形でサーバに接続するアプリも増えていますが、こういった「風当たりの弱い」企業のほうがよほど怖いかも。
Re:アクティベーション (スコア:1)
さすがにUSBの使えないNTにもどすことはできませんけど。
Re:アクティベーション (スコア:1)
Re:アクティベーション (スコア:1)
Activationで送信される情報は、各ハードウェアの情報のchecksum値から特定ビットを抜き出したものになります。
FYI: Windows Product Activationの仕組み [ascii24.com]
# rm -rf ./.
Re:アクティベーション (スコア:1)
#おとといもUSBデバイス使用中に強制リブートがかかったのでtuneo。
Re:アクティベーション (スコア:1)
誰も張ってないようなので (スコア:2, 参考になる)
個人情報も大事だけど (スコア:2, すばらしい洞察)
マーケティングやソフトの機能設計に使える情報が吸い出せることも危険じゃないかな。
どんなソフトが売れてるとか、どんな機能が良く使われてるとか、知ってると有利になるであろう情報がMSにだけ流れてることに。
独禁法に触れてる臭いがぷんぷんするけど、この情報をアプリ開発に利用してることを立証するのは難しそう。
実は... (スコア:1, おもしろおかしい)
「プライバシー・ポリシーの範囲を超えた情報を集めている」のではなく、
想定外の情報が漏れているのです。
この問題の原因は現在究明中であり、近日中にパッチが公開されます。
なんてね。
パッチ (スコア:1)
「WindowsUpdateは、場合によってはユーザに確認なくWindows上で
動作するソフトウェアに関する情報をMicrosoftに対し送信することが
あります。Microsoftは、入手した情報を適切に処理し、Windowsの
改善以外の目的では使用いたしません。」
# とさ。
↑ (スコア:1)
思って書き足します。
「コレはネタです」
# まだ今は・・・・
うそつき (スコア:1, 余計なもの)
「この作業では、Microsoftに何も情報は送信されません」
って言うのはうそだったのね。
まあ、元から信用はしてないわけだが。
GUST NOTCH な気分でいこう!
これは便利だ。 (スコア:2, おもしろおかしい)
[中略]
必要な構成情報には次のものが含まれます:
[中略]
・Windows Update によって更新が提供される、ほかのソフトウェアのバージョン番号
これまでの情報を整理しますと、Microsoft製以外のソフトウェアもWindowsUpdateによって更新が提供されるようになったということです。
Re:これは便利だ。 (スコア:2, 参考になる)
実際にMicrosoft製以外のソフトウェアもWindowsUpdateで提供されています。
とか。
Re:これは便利だ。 (スコア:1, 参考になる)
でもメーカーとしては、お金はかかるし、ドライバがバージョンアップする度にMicrosoftの試験をパスしないといけないから時間がかかるし、ということで、利用しているメーカーは少ないということでした。
ソースを示せないため、参考までに。
Re:うそつき (スコア:1)
-- やさいはけんこうにいちば〜ん!
Re:うそつき (スコア:1)
真実なら裏切られた気持ちです。
Re:うそつき (スコア:1)
どうもそうてもなさそう?
画面を見ると (スコア:1)
でした。Windows2000SP3で。
Re:うそつき (スコア:1)
「この作業で、何も情報は・・・」
というのは、NT4.0 SP6a のWindows Updateで出るメッセージです。
(Win2kやXPでは画面が違うのは知ってました)
各マシンの構成情報に合わせて表示内容を変えている訳なので、
何も送信していないはずはないのですが、そこをわざわざ「送ってません」
と表示する辺りに余計に胡散臭さを感じる訳でして。
Win2k/XPでの「個人を特定できる情報は送信していません」のほうは
個人情報は送らないけど、他の情報はおくるからね、とも読めるので
「うそはついてない」という気はします。
GUST NOTCH な気分でいこう!
Re:うそつき (スコア:1)
その比較の後, 適用可能なアップデートの一覧が表示されて, ユーザが選択して, 初めてMicrosoftに「情報」を送る必要がある.
でも, その「情報」は, どのアップデートをダウンロードするかだけで良いわけですよ. 原理的には.
あえて言いわけを探すとすると, Winユーザのマシン環境を広く調査することで, パッチ作成時の組み合わせ試験とかバグフィックスの優先度とかの参考にできるってくらいでしょうか?
Re:うそつき (スコア:1)
そのためのActiveXなわけですしね。
ActiveX(またはそれに似た仕組み)を使わなければ「何も送信していないはずはない」と言えるかもしれませんが、ActiveX使えばこういうこと(末端側で比較・適用可能な一覧の生成)もできちゃうわけです。
まー、全パッチの一覧をダウンロードする際に「僕はNT4.0SP6だよ」って事ぐらいは送っているでしょうけど、この程度なら送られても問題ないよね?
Re:そもそも (スコア:1)
#個人的な感想は「やっぱり…」なんですがね。
なるほど (スコア:1)
★田舎に生息する時代遅れのFortran&COBOLガイなオタク★
Treacherous Computing (スコア:1)
trustworcey Computing (スコア:1)
実際に(オフトピ?) (スコア:1)
私は気持ちが悪いので一度も使ったことがないです。
セキュリティー情報を日々自らチェックしないといけないのが面倒ですが。
MS社はwindows updateのようなソフトよりもむしろ
セキュリティーに関する情報をもっとわかりやすい形で提供するべきだと思いますが、そんなことは言わずもがななのでしょうね
各unixやos/2などの他のOSもしくは会社では
MS社と比較してセキュリティーに関する情報&パッチに関するサポート体制はどうなっているのでしょうか?
優劣に関して教えていただければ幸いです。
Re:実際に(オフトピ?) (スコア:3, 興味深い)
やましいかどうかという理由が別の方のコメントにありましたが、当方は別の理由によるものです。
回線品質があまりよくないので、パッチ当ててる途中で回線がキレる可能性があり、そうなったら元に戻せる/正常にパッチを当てなおせる自信が無いからです。
また、パッチのファイルサイズを通信の前に知っておきたいこと、OSの再インストール時にダウンロードしなおす時間がもったいない、という理由もあって、旧来どおりパッチをあらかじめダウンロードしておく方法を取っています。
さらに、よその部署で、客先に納入する数十台のコンピュータを、OSのインストール→Windows Updateの実行中に、数台がWindows Updateに失敗した場面にたまたま居合わせた時に「こりゃ使い物にならねーな」と思いました。
全てのコンピュータが同じ状態であることを保証しなければならなかったのですが、Windows Updateが失敗したコンピュータは半生のパッチがあたっているのか?部分的にパッチがあたっているのか?当たっているとOSが報告しているパッチは本当に当たっているのか?Windows Updateをやり直せば他のコンピュータと同じ状態になるのか?が、判断つかなかったようです。
# 結局OSのインストールからやり直していました
現状に必要なパッチを漏れなくリストアップしてくれる利点がある反面で、ダウンロード→実際のパッチ当ての作業が確実に行えて失敗してもリカバリが適切であるという点において信頼が置けないように感じられます。
自動アップデートがいっぱい (スコア:1)
UNIX系だと、RedHatがパッチチェックと自動アップデートに対応しています。サイトでも各バージョンの更新情報を一覧 [redhat.co.jp]で確認でき、それぞれにセキュリティかフィックスか、機能追加かのチェックが入っています。
どちらにしてもアップデート情報の管理が仕事か、パッチあてが趣味の人でもないと、頻繁な更新チェックは難しいかと思います。
そもそもそれが理由で、世の中に「自動アップデート」という仕組みが広まっていったんじゃなかったかな?
ネトゲやウィルス対策、某圧縮解凍ソフトにスパイウェア対策ソフト・・・どこもかしこも自動アップデートですけどねー。
--- どちらなりとご自由に --- --
Re:自動アップデートがいっぱい (スコア:1, 興味深い)
自分の機械くらい自分で管理しろ? 言いたいし、言ってることは言ってるけど、みんなヲタの寝言くらいにしか認識してないから。
Re:実際に(オフトピ?) (スコア:1)
自宅のPC(XP)は、腐っても構わないので自動で動いてますよ。
ダウンロード時に一応確認は出してますが、ざっと眺めて余裕があるときなら即実行、忙しいときなら後回しくらいで、ほぼ必ず適応してます。
Re:実際に(オフトピ?) (スコア:1)
Debian GNU/Linux 3.0の場合、aptがWindows Updateに相当すると思われます。
インストール時の設定
更新パッケージを取得する場所の設定中、
セキュリティに関する更新を取得するか質問されます。(当然YES)
……だけか?
セキュリティ情報の取得
メーリングリストにセキュリティ情報が投稿されます。
(投稿して下さっている方々ありがとうございます)
http://www.debian.org でも確認できますね。
更新の必要がある場合
# apt-get update
の後
# apt-get install 更新するパッケージ名
もしくは
# apt-get upgrade
で更新されます。
apt-get update は cron に入れておくと便利でしょう。
似たような機構は、redhat は up2dateがそうらしいです。
#使ったことがないので、自信なし
#vine も aptがあるか…
鍋太郎
Re:実際に(オフトピ?) (スコア:1)
>社内にある数百台の Windows クライアントに
でもそれみんなでやられると…
前調べたときは、社内にWindowsUpdateのサーバー建てても、OS用のパッチしか当てられないと思ったから
・普段はファイルをダウンロードしてパッチ当て
・出来ないときだけWindowsUpdate
てな、運用にしてますね。今はどうか(OS以外もOKかどうか)知らんが。
クライアント情報を隠蔽するには (スコア:1)
という事を知るという意味では、Debianでapt-get udpateした際にダウン
ロードされるファイル群をサーバー側で追跡していけば、固定IPのマシン
だとどんな構成かがやはりバレてしまいますよね。私自身は別に自分の
Linux Boxにどんなソフトウェアが入っているかが知られようと特には
困らないから、何とも思いませんが。ただ、こういう情報が漏れるのを
気にする人の為には何らかの対処をする必要があるかもしれませんね。
あ、プロキシ通せば済むか。
Re:クライアント情報を隠蔽するには (スコア:1)
ソフトのアップデートだけなら (スコア:1)
サーバ側にアップデートのリストがあってそれをダウンロードしてきて、判断すればいいだけだと思いますし。
それをわざわざサーバ側で判断するような仕組みにしてるのは、それなりの意図があって、ということなんでしょうね。
これだけでも (スコア:1, すばらしい洞察)
自称, 「インターネットと直接つながっていない」
住基ネットなんかはどうなってるんだ?
問題点 (スコア:1, 興味深い)
MSにとっての本当の問題点は
「送信されているデータの暗号が解読されたこと」
なんではないかと。
ユーザ情報がこっそり送られているのがばれないようにする
さらに強力な暗号化が施されるという対応もアリ?
暗号は破られていません. (スコア:4, 参考になる)
SSLでパケットを送る前に, クライアントマシンの中でSSLの呼び出しルーチンをフックして, 渡される伝文を暗号化される前に覗き見してるんです.
これはこれでSSL伝文に対するスパイウェア技術が発見されたってことで問題なんで, アンチウイルスソフトベンダーにはSSLルーチンをフックするコードをウイルス(スパイウェア)定義ファイルに加えてほしいです.
Re:言い訳は・・・? (スコア:1)
嘘つき、言い訳大王の某社の事だから、このくらいのもっともらしい言い訳は挨拶代わりでしょう。
/* Kachou Utumi
I'm Not Rich... */
Re:オフトピ (スコア:1)