パスワードを忘れた? アカウント作成
12086168 story
The Gimp

SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 58

ストーリー by hylom
これはアウトだろ…… 部門より
tarxz 曰く、

SourceForge.net(SF.net)にあったGIMP for WindowsのプロジェクトがSF.net運営者側にアカウントを乗っ取られ、配布物がアドウェア付きのインストーラーに置き換えられたという騒動が起きたようだ(Ars Technica)。

インストーラには「Norton anti-virus」および「myPCBackup.com remote backup」がバンドルされていたと報告されている。SF.net側は「18か月以上プロジェクトが放置されていたのでミラーに切り替えた」としているが、GIMP側はWindowsバイナリの配布用としてメンテをしていたと主張している。

こちらのツイートにあるように以前はGIMP側の人が管理者になっていたGIMP for Winのページが、sf-editor1というアカウントの管理下になっていることが分かる。アドウェア配布の前にそもそも管理権限を奪ったという大きな問題があるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by minet (45149) on 2015年05月28日 17時48分 (#2821792) 日記

    関連ストーリーにこれを入れてください。
    GIMP for Windows 、ダウンロードサイトをSourceForge.netからftp.gimp.org に変更 [it.srad.jp]

    2013年11月以降、GIMP側はメインのダウンロードサイトとしてはSourceForgeを放棄していたために、SourceForge側は長期放置されたプロジェクトと見なしたようですね。

  • あと放置せずちゃんとプロジェクト削除したほうがいい。

  • by Anonymous Coward on 2015年05月28日 17時22分 (#2821774)
    もしかしてこの辺りがスラッシュドットジャパンが「すらど」に
    SourceForge.jpがOSND.jpに変わった理由ですか?

    そう言うことなら、独立した事は正しかったと評価したい。
  • by Anonymous Coward on 2015年05月28日 18時12分 (#2821808)

    > GIMP側はWindowsバイナリの配布用としてメンテをしていたと主張している。

    この部分は、GIMP側の主張ではなく、arstechnica.comの報道が元ではないかと思います。
    http://arstechnica.com/information-technology/2015/05/sourceforge-grab... [arstechnica.com]
    を見ると、
    > But Jernej Simončič, the developer who has been responsible for building Windows versions of GIMP for some time, has maintained an account on SourceForge to act as a distribution mirror.

    とある通り、現在完了形で書いてあって、ミラーとしてのメンテもしてたのかなとも読めるんですが
    (でも読み返してみると、アカウントを保守していたとはありますが、ミラーを保守していたとは書いてないですね)、
    Jernej Simončič氏とは別の人ですが、
    https://mail.gnome.org/archives/gimp-developer-list/2015-May/msg00100.html [gnome.org]
    を見ると、gimpプロジェクトではSourceForge側にファイルを置いておらず、
    SourceForge側のsf-editor1氏がファイルを置いていたいう風に見えます。
    傍証としては、この辺が。
    https://twitter.com/n_soda/status/603767053342941186 [twitter.com]
    https://twitter.com/n_soda/status/603771998540533761 [twitter.com]

    もっとも、Jernej Simončič氏の権限を一ヶ月くらい前に消したことと、
    adware入りのインストーラーを置いたことについては、言い訳できない
    感じですが。

    adware入りのインストーラーは、730KBのサイズだったようで、
    https://mail.gnome.org/archives/gimp-developer-list/2015-May/msg00097.html [gnome.org]
    特にアナウンス等なくこっそり消されたようです。
    https://mail.gnome.org/archives/gimp-developer-list/2015-May/msg00115.html [gnome.org]

    今もSourceForgeにある、2014年9月に置かれた91.9MBのgimp-2.8.14-setup-1.exeは、
    真正のもののようです。

  • by Anonymous Coward on 2015年05月28日 20時13分 (#2821867)

    SourceForgeと違って騙し無し!完全無料で使い放題!

    キャッシュに残っていた在りし日のGimp2日本語版配布サイトのリンクは以下。
    http://webcache.googleusercontent.com/search?client=opera&q=cache:... [googleusercontent.com]

  • by Anonymous Coward on 2015年05月28日 17時37分 (#2821785)

    >18か月以上プロジェクトが放置されていたのでミラーに切り替えた
    放置されていたものを、ミラーに切り替えた。(ページの)管理者を自分に切り替えた。
    ここまでは解らないでもない。(規約がそうなっていれば)

    >配布物がアドウェア付きのインストーラーに置き換えられた
    ミラーに変えたからと言って、アドウェア勝手につかないだろう。悪意ある改変の理由になってない

    • by Anonymous Coward

      どっちも規約次第です。

      • by Anonymous Coward

        規約と理由は別。

        管理者が放置しているので管理のために(<-これが理由)管理者を切り替えた。
        これは分からないでもない。

        管理のためにアドウェアをつける<-ありえない。

        • 管理のために権限を取る必要はない。プロジェクトを凍結すればいい。本家sf.netがアドウェアを同梱し始めたのは昨日今日の話ではなくて、その顛末が明らかになったというだけ。

          親コメント
        • by Anonymous Coward on 2015年05月28日 18時51分 (#2821826)

          つーかさ、もちろんありえないし、問題なのは問題なんだが、
          法律上・ライセンス上から考えるとじゃあ何が問題なの?ありえないの?って話になるんだが。
           
          物がアドウェアってだけで、ただのパッケージの再構成では?
          私家版インストーラーパッケージを配布するのと何が違うのか。
           
          あくまで道義的な問題だけの話で、
          これって「コピーレフト」っていう概念そのものの「致命的な欠陥」なんじゃなくって?
          「コピーレフト」である以上、アドウェアの負荷も認められる権利の範囲内であって「悪意」と考えるのは他人の勝手な解釈。

          親コメント
          • by Mjy (18778) on 2015年05月28日 20時22分 (#2821877)
            他のソフトウェアと一緒に配布できるのは、例えばBSDライセンス等であっても同じことで、コピーレフトである事と関係ありません。

            もちろん、一緒に配布される物のソースの公開も義務付けできるライセンスであれば、アドウェアのソースを公開させることが出来たかもしれません。
            しかし、そこまでやると却ってフリーソフトウェアの普及を阻害するでしょうから、現行のGPLのようなライセンスになっているのだと思います。
            親コメント
          • by Anonymous Coward

            今回の場合は該当しなさそうだけど、商標とって名称を保護する回避策はあるので致命的ではないと思う。
            メジャーなのはそういう対策とってるのが多いよ。

          • by Anonymous Coward

            なぜ欠陥だと思うのですか? 他人が成果物を使って自由に金儲けできるのはOSDがOSSライセンスに対して義務付けるほど重要な事であって、むしろOSSの存在意義と言ってもいいくらいなのに。

            >「コピーレフト」である以上、アドウェアの負荷も認められる権利の範囲内であって「悪意」と考えるのは他人の勝手な解釈。

            少なくともこれは欠陥の説明ではない

            • アドウェアとは言うけど、元ACさんはマルウェアとして見てるよねー。

              親コメント
              • by Anonymous Coward

                つか、定義として見た場合、実際にマルウェアでしかない。
                >マルウェア (malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。

                GIMPをダウンロードする人は「アドウェアを入れる事、広告表示(そのインストーラー)を目的も承諾もしていない」
                のだから、アドウェアを入れてくる時点で「不正で有害」でしかない。

              • by Anonymous Coward

                だから、GIMPにアドウェアは含まれないって決めたのは何処の誰で、
                それはライセンスの何処に記載されているのか、
                ってのがハッキリしなければ何が「不正」なのか定義できないので何が問題なのかってのが明確にならない。

                ライセンス上はアドウェアが入っていようがそれがas-isのGIMPパッケージって事だろ?

                ユーザーが「不快」だから、プロジェクト側が「不快」だから、
                というだけの理由で一個人によるパッケージの改変を「不正」とする事ができる根拠は無いのでは?

                もちろん俺は不勉強で勝手な事言ってるだけなので、ライセンスのここに派生品の配布制限が明記されてるよとかあるんならそれを指摘してくれれば良いよ。

              • by Anonymous Coward

                まず、「プロジェクト側は同一名での改変を認めていない」

                パッケージの改変を認めているが、改変の内容を明記しなければならない
                (一般的なGPL ライセンスはすべてその筈)

                まず、これに違反している。

                で、「不正で有害」というのは「ダウンロードして実行したユーザーからみて」

                そもそも
                「アドウェアを入れる事をユーザーは承諾していないのだから、
                ユーザーに無断な改変はすべて不正で有害です」

              • 実質的には改変されたマルウェアじゃないか、というのと、原則的には正当なディストリビューションじゃないか、という状況だけど、噛み合ってないというかなんというか。

                親コメント
          • by Anonymous Coward

            >ただのパッケージの再構成
            これが問題でありえないかと。
            たいていのライセンスでは、(同じ名称では)配布されたものをそのまま配布することを強制しているはずです。

            >私家版インストーラーパッケージを配布するのと何が違う
            「私家版」であることを明記しているところが違いますね。
            改変している場合は名称を変更し、変更部分の責任が元の作成者ではなく自分にあることを宣言しないといけません。

            • by Anonymous Coward

              >>ただのパッケージの再構成

              > これが問題でありえないかと。
              > たいていのライセンスでは、(同じ名称では)配布されたものをそのまま配布することを強制しているはずです。

              gimpプロジェクトの配布物(91.9MBのインストーラー)は一切修正せず、
              そのまま配布されているんですよ。
              今回問題になっているインストーラーは730KBのサイズしかないもので、
              gimp、Norton anti-virus、myPCBackup.com remote backupの
              インストーラーを起動する単なるランチャーのようです。

              • by Anonymous Coward

                同じ名称で「本来のインストーラー(だけ)」を配布するのでなく、
                全くの別物(ランチャー)を配布してるんなら更に問題だろう。

        • by Anonymous Coward

          じゃあリュックの女の画像に差し替えればセーフ?

        • by Anonymous Coward

          利用規約に明記されていればあとは一定期間更新されないと広告が表示されるようになるブログと同じですよ。
          まあアドウェアをバンドルしたのがソフトの開発者ではなくサイト側である事は明記して欲しいが。

      • by Anonymous Coward

        そんなことを許す規約があるサイトはもっと問題なのでは

  • by Anonymous Coward on 2015年05月28日 17時54分 (#2821799)

    しばらく前に、FileZillaというものを使ってみようと思って公式と思える所から最新版をダウンロードしたら、ファイル名はFileZillaでもMacKeeperインストールされる事があったっけ・・・
    Macに慣れてないから何か勘違いしているのかな?と思って色々試しているうちにscpの使い方を覚えてすっかり忘れてたけど、今どうなってるんだろ?

    • by Anonymous Coward on 2015年05月28日 18時15分 (#2821809)

      FileZilla のサイト (https://filezilla-project.org/)
        ↓
      『◆Quick download links』の『Download FileZilla Client』ボタンをクリック
        ↓
      ここで (recommended) となっている SourceForge の『Download Now』ボタンを
      押すのは不正解 (アドウェア版インストーラ) 。

      正解はそこから『Show additional download options』に進む
        ↓
      お好みのファイルを選択。

      URL の最後に ?nowrap が付いているのがアドウェア無しのインストーラ。

      親コメント
    • by Anonymous Coward on 2015年05月28日 18時31分 (#2821817)

      そっちはプロジェクト側公認でアフィ収入山分けなんで今回の件とはわけが違う

      親コメント
    • by Anonymous Coward

      MacKeeperが何なのか知らんが
      scp使えるようにしてくれたのであれば善だろ

  • by Anonymous Coward on 2015年05月28日 17時56分 (#2821801)

    これやっちゃうと結局誰も使わなくなると思うんだがな

    • by Anonymous Coward on 2015年05月28日 21時11分 (#2821910)

      ですね。
      以下でもシャチョーが言ってましたが…
      https://twitter.com/shujisado/status/603812916006125568 [twitter.com]
      > この問題の悲しいところは、このプログラムを自分らだけでやれば儲かるんじゃね、
      > と発想する人間がでてきた時に、それをサクッと蹴散らす人間が中にいなかったことですね。

      昔はそういう会社じゃなかったと思うんだけどなあ。
      身売りされた事業って悲しいですね。

      親コメント
  • by Anonymous Coward on 2015年05月28日 18時21分 (#2821813)

    NAV(スキャンツールのみかな)やらmyPCBackupがGPLになるなら。
    もちろん、PEパーサ、アンパッカ、データベースパーサ、テレメトリライブラリ入ってますよね。
    myPCBackupはこれまで素人顧客を釣ってきたUIツールキット・アセット持ってましたよね。

    websetupはもちろん、本体のクローンをビルドできなきゃだめです。署名秘密鍵以外一式で。

    • by Anonymous Coward

      問題のインストーラーは、本物のインストーラ(91.9MB)とは別の730KBのバイナリだったそうで、
      サイズから見てgimpプロジェクトの配布物とリンクされてないでしょうから、
      GPL的な問題はないと思います。

      • by Anonymous Coward

        マジレスすると、sfに載る以上…っていう強弁の一種です
        GPLが本気で波及するならこんなもんで済んでないでしょうし。

        > Find, Create, and Publish Open Source software for free

typodupeerror

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

読み込み中...