SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 58
ストーリー by hylom
これはアウトだろ…… 部門より
これはアウトだろ…… 部門より
tarxz 曰く、
SourceForge.net(SF.net)にあったGIMP for WindowsのプロジェクトがSF.net運営者側にアカウントを乗っ取られ、配布物がアドウェア付きのインストーラーに置き換えられたという騒動が起きたようだ(Ars Technica)。
インストーラには「Norton anti-virus」および「myPCBackup.com remote backup」がバンドルされていたと報告されている。SF.net側は「18か月以上プロジェクトが放置されていたのでミラーに切り替えた」としているが、GIMP側はWindowsバイナリの配布用としてメンテをしていたと主張している。
こちらのツイートにあるように以前はGIMP側の人が管理者になっていたGIMP for Winのページが、sf-editor1というアカウントの管理下になっていることが分かる。アドウェア配布の前にそもそも管理権限を奪ったという大きな問題があるようだ。
発端のストーリー (スコア:5, 参考になる)
関連ストーリーにこれを入れてください。
GIMP for Windows 、ダウンロードサイトをSourceForge.netからftp.gimp.org に変更 [it.srad.jp]
2013年11月以降、GIMP側はメインのダウンロードサイトとしてはSourceForgeを放棄していたために、SourceForge側は長期放置されたプロジェクトと見なしたようですね。
みんなSourceForge使うのやめたほうがいいと思う (スコア:5, すばらしい洞察)
あと放置せずちゃんとプロジェクト削除したほうがいい。
Re:みんなSourceForge使うのやめたほうがいいと思う (スコア:2)
問題はどこへ引っ越すかですけど、githubかなぁ
リリースシステムがtag直結なのがこれじゃない感があり、
ダウンロード数とかもわからないし、アクセス数は2週間?だけわかる感じ
もっと良さそうなところありますか?
sf.netのトラッカーの情報とかどうやって引っ越すんだろう
Re:みんなSourceForge使うのやめたほうがいいと思う (スコア:2)
とりあえず、私は配布しているルーン文字フォントを引っ越しすることにします。
おすすめの移行先があれば、どなたか教えてください。
(SourceForgeを選んだのは、アクセス・ダウンロード統計があることがあることと、オープンソースとの親和性が高かったからなのですが。)
## いっそ"スラド"で始めてくれないかな。オープンソース・アプリケーションの配布サイト。
Re:みんなSourceForge使うのやめたほうがいいと思う (スコア:5, 参考になる)
ふつうにOSDN(旧Sourceforge.jp)でいいのでは。
Re:みんなSourceForge使うのやめたほうがいいと思う (スコア:1)
ありがとうございます。
どうやらそのようです。お騒がせしました。
改名とか組織変更とか、他人事だと思っていて忘れていました。
OSDNの関係者の方で気分を害した方がいればお詫びいたします。
Re:みんなSourceForge使うのやめたほうがいいと思う (スコア:2)
それって osdn.jp [osdn.jp] のことでは?
(旧 SourceForge.jp ですが、SourceForge とはもはや関係ないそうな)
の
Re:みんなSourceForge使うのやめたほうがいいと思う (スコア:1)
早とちりの上に、いつのまにかオチまでつけていたのですね...
## 恥ずかしい。
Re: (スコア:0)
OSDN(元sourceforge.JP、スラドと同じ運営)じゃダメなんでしょうか
Re: (スコア:0)
スラドと同じ運営だから嫌、というのはありそうです
Re: (スコア:0)
githubだろとおもったら、OSDNの人気にびっくり。
Re:みんなSourceForge使うのやめたほうがいいと思う (スコア:1)
人気と言うより、元コメの「いっそ"スラド"で」に、「OSDNあるでしょ」というツッコミが重複しただけでしょう。
(#2822021 もそうだけど、元コメを読んでないのか?)
svn-init() {
svnadmin create .svnrepo
svn checkout file://$PWD/.svnrepo .
}
すらど/OSDNができた理由? (スコア:3, 興味深い)
SourceForge.jpがOSND.jpに変わった理由ですか?
そう言うことなら、独立した事は正しかったと評価したい。
Re:すらど/OSDNができた理由? (スコア:5, おもしろおかしい)
ちょっと待ってほしい
このストーリに誤字がないことに
皆様お気づきだろうか
この不自然さ
すでに乗っ取られてくぁwせdrftgyふじこlp
Re:すらど/OSDNができた理由? (スコア:1)
今日も通常運行だ。安心しろ。
Re:すらど/OSDNができた理由? (スコア:1)
そうなんじゃないですかね。
外野からは表立った動きから推測するしかないんだけど、sourceforge.netの今の経営陣の考え方が、日本で日本国内の業務を請け負っていたOSDNの考え方と著しく違うようになってしまってるんでしょう。
OSDNとしては、こういうサイトを運営してもそんなに儲からないだろうけど、経営がどうにか出来る限り、今まで通りFOSSの発展に貢献していこうとしてる時に、向こうの経営陣は金儲けを重視し始めた。とかそういう確執が修復不可能な所まで行ったんじゃないかなぁ。
Re:すらど/OSDNができた理由? (スコア:1)
OSDN からこの件に関連すると思われるアナウンス [osdn.jp]が出ていますね。
(さすがに具体的な名前は出さず『他社類似サービス』としていますが。)
souceforge.net とは異なるポリシーで運営していくということは明確にしたものととらえて間違いないかと。
Re: (スコア:0)
SFのadminが誤字メンテしてくれないかなー
Re:すらど/OSDNができた理由? (スコア:2)
そのかわりスラドに怪しいソフトの広告が大量に掲載されます
Re:すらど/OSDNができた理由? (スコア:2)
Google Chrome(広告表示を排除していない構成)で閲覧したら
・お名前.com
・動画再生を始める政府広報(マウスオーバーすると音声もつく)
・お名前.com
・HP Directplus
だった。
// そのうち政府広報がもっとも怪しさ溢れていた。
不正確な記述? (スコア:3, 興味深い)
> GIMP側はWindowsバイナリの配布用としてメンテをしていたと主張している。
この部分は、GIMP側の主張ではなく、arstechnica.comの報道が元ではないかと思います。
http://arstechnica.com/information-technology/2015/05/sourceforge-grab... [arstechnica.com]
を見ると、
> But Jernej Simončič, the developer who has been responsible for building Windows versions of GIMP for some time, has maintained an account on SourceForge to act as a distribution mirror.
とある通り、現在完了形で書いてあって、ミラーとしてのメンテもしてたのかなとも読めるんですが
(でも読み返してみると、アカウントを保守していたとはありますが、ミラーを保守していたとは書いてないですね)、
Jernej Simončič氏とは別の人ですが、
https://mail.gnome.org/archives/gimp-developer-list/2015-May/msg00100.html [gnome.org]
を見ると、gimpプロジェクトではSourceForge側にファイルを置いておらず、
SourceForge側のsf-editor1氏がファイルを置いていたいう風に見えます。
傍証としては、この辺が。
https://twitter.com/n_soda/status/603767053342941186 [twitter.com]
https://twitter.com/n_soda/status/603771998540533761 [twitter.com]
もっとも、Jernej Simončič氏の権限を一ヶ月くらい前に消したことと、
adware入りのインストーラーを置いたことについては、言い訳できない
感じですが。
adware入りのインストーラーは、730KBのサイズだったようで、
https://mail.gnome.org/archives/gimp-developer-list/2015-May/msg00097.html [gnome.org]
特にアナウンス等なくこっそり消されたようです。
https://mail.gnome.org/archives/gimp-developer-list/2015-May/msg00115.html [gnome.org]
今もSourceForgeにある、2014年9月に置かれた91.9MBのgimp-2.8.14-setup-1.exeは、
真正のもののようです。
何度も騙されているそこのあなた! (スコア:1)
SourceForgeと違って騙し無し!完全無料で使い放題!
キャッシュに残っていた在りし日のGimp2日本語版配布サイトのリンクは以下。
http://webcache.googleusercontent.com/search?client=opera&q=cache:... [googleusercontent.com]
何一つ説明になってない (スコア:0)
>18か月以上プロジェクトが放置されていたのでミラーに切り替えた
放置されていたものを、ミラーに切り替えた。(ページの)管理者を自分に切り替えた。
ここまでは解らないでもない。(規約がそうなっていれば)
>配布物がアドウェア付きのインストーラーに置き換えられた
ミラーに変えたからと言って、アドウェア勝手につかないだろう。悪意ある改変の理由になってない
Re: (スコア:0)
どっちも規約次第です。
Re: (スコア:0)
規約と理由は別。
管理者が放置しているので管理のために(<-これが理由)管理者を切り替えた。
これは分からないでもない。
管理のためにアドウェアをつける<-ありえない。
Re:何一つ説明になってない (スコア:3)
管理のために権限を取る必要はない。プロジェクトを凍結すればいい。本家sf.netがアドウェアを同梱し始めたのは昨日今日の話ではなくて、その顛末が明らかになったというだけ。
Re:何一つ説明になってない (スコア:1)
つーかさ、もちろんありえないし、問題なのは問題なんだが、
法律上・ライセンス上から考えるとじゃあ何が問題なの?ありえないの?って話になるんだが。
物がアドウェアってだけで、ただのパッケージの再構成では?
私家版インストーラーパッケージを配布するのと何が違うのか。
あくまで道義的な問題だけの話で、
これって「コピーレフト」っていう概念そのものの「致命的な欠陥」なんじゃなくって?
「コピーレフト」である以上、アドウェアの負荷も認められる権利の範囲内であって「悪意」と考えるのは他人の勝手な解釈。
Re:何一つ説明になってない (スコア:1)
もちろん、一緒に配布される物のソースの公開も義務付けできるライセンスであれば、アドウェアのソースを公開させることが出来たかもしれません。
しかし、そこまでやると却ってフリーソフトウェアの普及を阻害するでしょうから、現行のGPLのようなライセンスになっているのだと思います。
Re: (スコア:0)
今回の場合は該当しなさそうだけど、商標とって名称を保護する回避策はあるので致命的ではないと思う。
メジャーなのはそういう対策とってるのが多いよ。
Re: (スコア:0)
なぜ欠陥だと思うのですか? 他人が成果物を使って自由に金儲けできるのはOSDがOSSライセンスに対して義務付けるほど重要な事であって、むしろOSSの存在意義と言ってもいいくらいなのに。
>「コピーレフト」である以上、アドウェアの負荷も認められる権利の範囲内であって「悪意」と考えるのは他人の勝手な解釈。
少なくともこれは欠陥の説明ではない
Re:何一つ説明になってない (スコア:2)
アドウェアとは言うけど、元ACさんはマルウェアとして見てるよねー。
Re: (スコア:0)
つか、定義として見た場合、実際にマルウェアでしかない。
>マルウェア (malware) とは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称である。
GIMPをダウンロードする人は「アドウェアを入れる事、広告表示(そのインストーラー)を目的も承諾もしていない」
のだから、アドウェアを入れてくる時点で「不正で有害」でしかない。
Re: (スコア:0)
だから、GIMPにアドウェアは含まれないって決めたのは何処の誰で、
それはライセンスの何処に記載されているのか、
ってのがハッキリしなければ何が「不正」なのか定義できないので何が問題なのかってのが明確にならない。
・
ライセンス上はアドウェアが入っていようがそれがas-isのGIMPパッケージって事だろ?
・
ユーザーが「不快」だから、プロジェクト側が「不快」だから、
というだけの理由で一個人によるパッケージの改変を「不正」とする事ができる根拠は無いのでは?
・
もちろん俺は不勉強で勝手な事言ってるだけなので、ライセンスのここに派生品の配布制限が明記されてるよとかあるんならそれを指摘してくれれば良いよ。
Re: (スコア:0)
まず、「プロジェクト側は同一名での改変を認めていない」
パッケージの改変を認めているが、改変の内容を明記しなければならない
(一般的なGPL ライセンスはすべてその筈)
まず、これに違反している。
で、「不正で有害」というのは「ダウンロードして実行したユーザーからみて」
そもそも
「アドウェアを入れる事をユーザーは承諾していないのだから、
ユーザーに無断な改変はすべて不正で有害です」
Re:何一つ説明になってない (スコア:2)
実質的には改変されたマルウェアじゃないか、というのと、原則的には正当なディストリビューションじゃないか、という状況だけど、噛み合ってないというかなんというか。
Re: (スコア:0)
>ただのパッケージの再構成
これが問題でありえないかと。
たいていのライセンスでは、(同じ名称では)配布されたものをそのまま配布することを強制しているはずです。
>私家版インストーラーパッケージを配布するのと何が違う
「私家版」であることを明記しているところが違いますね。
改変している場合は名称を変更し、変更部分の責任が元の作成者ではなく自分にあることを宣言しないといけません。
Re: (スコア:0)
>>ただのパッケージの再構成
> これが問題でありえないかと。
> たいていのライセンスでは、(同じ名称では)配布されたものをそのまま配布することを強制しているはずです。
gimpプロジェクトの配布物(91.9MBのインストーラー)は一切修正せず、
そのまま配布されているんですよ。
今回問題になっているインストーラーは730KBのサイズしかないもので、
gimp、Norton anti-virus、myPCBackup.com remote backupの
インストーラーを起動する単なるランチャーのようです。
Re: (スコア:0)
同じ名称で「本来のインストーラー(だけ)」を配布するのでなく、
全くの別物(ランチャー)を配布してるんなら更に問題だろう。
Re: (スコア:0)
じゃあリュックの女の画像に差し替えればセーフ?
Re: (スコア:0)
利用規約に明記されていればあとは一定期間更新されないと広告が表示されるようになるブログと同じですよ。
まあアドウェアをバンドルしたのがソフトの開発者ではなくサイト側である事は明記して欲しいが。
Re: (スコア:0)
そんなことを許す規約があるサイトはもっと問題なのでは
そういえばFileZillaも・・・ (スコア:0)
しばらく前に、FileZillaというものを使ってみようと思って公式と思える所から最新版をダウンロードしたら、ファイル名はFileZillaでもMacKeeperインストールされる事があったっけ・・・
Macに慣れてないから何か勘違いしているのかな?と思って色々試しているうちにscpの使い方を覚えてすっかり忘れてたけど、今どうなってるんだろ?
Re:そういえばFileZillaも・・・ (スコア:5, 参考になる)
FileZilla のサイト (https://filezilla-project.org/)
↓
『◆Quick download links』の『Download FileZilla Client』ボタンをクリック
↓
ここで (recommended) となっている SourceForge の『Download Now』ボタンを
押すのは不正解 (アドウェア版インストーラ) 。
正解はそこから『Show additional download options』に進む
↓
お好みのファイルを選択。
URL の最後に ?nowrap が付いているのがアドウェア無しのインストーラ。
Re:そういえばFileZillaも・・・ (スコア:1)
そっちはプロジェクト側公認でアフィ収入山分けなんで今回の件とはわけが違う
Re: (スコア:0)
MacKeeperが何なのか知らんが
scp使えるようにしてくれたのであれば善だろ
規約云々もわかるが (スコア:0)
これやっちゃうと結局誰も使わなくなると思うんだがな
Re:規約云々もわかるが (スコア:1)
ですね。
以下でもシャチョーが言ってましたが…
https://twitter.com/shujisado/status/603812916006125568 [twitter.com]
> この問題の悲しいところは、このプログラムを自分らだけでやれば儲かるんじゃね、
> と発想する人間がでてきた時に、それをサクッと蹴散らす人間が中にいなかったことですね。
昔はそういう会社じゃなかったと思うんだけどなあ。
身売りされた事業って悲しいですね。
RMSに聞いてみよう (スコア:0)
NAV(スキャンツールのみかな)やらmyPCBackupがGPLになるなら。
もちろん、PEパーサ、アンパッカ、データベースパーサ、テレメトリライブラリ入ってますよね。
myPCBackupはこれまで素人顧客を釣ってきたUIツールキット・アセット持ってましたよね。
websetupはもちろん、本体のクローンをビルドできなきゃだめです。署名秘密鍵以外一式で。
Re: (スコア:0)
問題のインストーラーは、本物のインストーラ(91.9MB)とは別の730KBのバイナリだったそうで、
サイズから見てgimpプロジェクトの配布物とリンクされてないでしょうから、
GPL的な問題はないと思います。
Re: (スコア:0)
マジレスすると、sfに載る以上…っていう強弁の一種です
GPLが本気で波及するならこんなもんで済んでないでしょうし。
> Find, Create, and Publish Open Source software for free