  |
はてなキーワード: 流出とは
オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る - Publickey について思ったことをつらつらと。
log4shell と呼ばれる脆弱性が 2021 年 12 月にあった。これは Java というプログラミング言語でプログラムする際に、動作のログを記録するのに非常によく使われるライブラリ log4j にとても危険な脆弱性があった。なにがそんなに危険かっていうと
マインクラフトのサーバが乗っ取られたとか被害も有名。詳細は Piyolog さんの Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog あたりを参照。
そんなわけで即座に影響範囲、脆弱性のない新しいバージョンになっているか調べろ!って IT 関連企業はとてもバタバタしていた。
という背景の中、オープンソースのソフトウェアである cURL の作者にとても失礼な log4j の問題に関する質問メールが送られてきて、「サポート契約すれば即座に教えてあげますよ」ってかっこいい返しをして盛り上がっている。
cURL (https://github.com/curl/curl]) はオープンソース(以下 OSS)の通信ライブラリとコマンドラインツール。 Linux などのサーバ上からファイルをダウンロードしたりするのにとてもよくつかわれるライブラリ。
C言語で書かれている。
ライセンス は MIT を参考にした独自ライセンス https://curl.se/docs/copyright.htm]
OSS は基本的に無保証で提供される。そのことはライセンスに明記されている。
THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT OF THIRD PARTY RIGHTS. IN NO EVENT SHALL THE AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM, OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE SOFTWARE.
そんな OSS に対して、
「あなたがこのメールを受け取ったのは、■■があなたが開発した製品を採用しているためです。私たちはこのメールをあなたが受け取ってから24時間以内に、お読みいただいた上でご返答いただくよう要求します」
といった上から目線のメールを開発者に送るというのは、IT 企業として無知にもほどがあるといったところ。加えて log4shell 問題、名前のとおり log4j の脆弱性なので Java でかつ log4j を使ってなければ影響はないのに、C言語でかかれた cURL に問い合わせているので問題を全く理解していない。(Java の j が消えるので log4shell という命名はどうなんだというのは個人的にある。つーか Poodle とか Spectre とかファンシーな名前つけてあそんでんじゃねーとも思う。)
なお cURL はどうやら開発者の Daniel Stenberg 氏が wolfSSL というところを通じて商用サポートを提供しているらしい。 https://curl.se/support.html]
ということで、「サポート契約を結んでいただければ、喜んですべて速やかにお答えしますよ」 というのはネタでもなんでもなく、普通の対応。
そしてブログに書いてある2回目の返信で、David と名前を間違えられたのに対して、Fotune 500 の巨人ということで "Hi Goliath," と返しているのも最高にクールですね。
こういうフローが事前に規定されていて CVE とか問題が検知されると発動する。このときに担当が大丈夫です!って回答するときにエビデンス(証拠)を求められるのだけど、クソな情セキは自社の担当の言葉を信用せず、開発会社からの言質をとれ!って命令するので、くそメールがスパムされるという背景があったりする。(担当が無知だったりイケイケだと、とにかく下請けにやらせればいいというパターンももちろんある)
そして情セキも経営層に報告するのに必要で、経営が0リスク信者だと報告が大変なのはわかる。わかるがそれを説得するのが情セキの仕事やで。
加えて担当レベルになると大手は「そんなん下請けにやらせればいいだろ」ってマインドのところが多く、上から目線かつ丸投げすることが多いように思う。
もちろん担当者はピンキリだからこうとは限らないけど比較的多い印象。
ま、これ今回 Daniel Stenberg 氏が公表したからばずってるだけで、日本でもしょっちゅう行われているし、Hacker News みると海外でも一般的なムーブのようです。 LogJ4 Security Inquiry – Response Required | Hacker News
小さいところは
とかであんまり上から目線でこない感じはするけど、これはあくまで個人の資質なのでやべー人はやべーです。オラオラ系の中小とかやっぱいます。でもこんな細かいことはあんまり聞いてこない。(個人の感想です)
この手のメールになんでカチンとくるのかって言えば
ということで、皆ちゃんと保守・サポート契約して、契約範囲で質問しような!
そして金払ってても相手は人間なんで、お互い敬意をもって接しような!
Public Key でこの件にからめて記載されている奴について
https://www.itmedia.co.jp/news/articles/2201/11/news160.html]
ちな、これ詳しくないんだけど、OSS 作者が 「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」 というのもよくわからないんだよなぁ。
火事で財産失ってむしゃくしゃしてやったのかなんなのか。人気 OSS になったのに全然金にならんぜ!ってのが辛いのはわかる。が、OSS のライセンス的に支援を義務としてやる必要はないので、そんな義務的になってる報告は無視してええんちゃうんと思ってしまう。今回みたいにサポートフィーよこせみたいなスキームが必要だったのかもしれない。
あと個人開発で、善意でこれ便利だろ?って公開しているものに対して、辛辣な言葉の心ないバグ報告やら改善要望は心には刺さるので辛いのはある。それで辞めてしまう人も居る。
ブコメでフリーライドって書いている人が居るけど、MIT ライセンスでだしてんだから OSS の理念である自由なソフトウェアという意味で、再配布、改変、利用は自由でいいんだよ。イヤなら MIT 以外のライセンスでだせばよい。古くは MySQL の Dual ライセンス、最近の Redis とか Mongo みたいに。
ただ、金欲しいとか大体 Donation 募集したりするとかやってると思うんだけど、そういうのもあったのかなかったのかがよくわからにぃ。ポートフォリオになるので、採用にはつかえるんじゃないのかね?
じゃなきゃ GitHub に Public でコード公開しないと思うんだけどな。いまいちピンとこないのであんまり言及しない。
https://www.publickey1.jp/blog/19/redismongodbkafkaaws.html]
で、商用ライセンスの問題。これ今回のくそムーブの問題じゃないのここに並べられるのに非常に違和感がある。なんか OSS と大企業の対立を煽るようなミスリードを誘っているように感じてしまう。
大手クラウドベンダは OSS のライセンスに則って利用・改変するのは問題がない。つーか儲かってるから金よこせっていうのはちょっと違うんじゃないかなと思う。
オリジナルを開発した会社がリスペクトされず、商業的に儲からないってのは、心情的、道義的、人気的にどうなの?クラウドベンダも金払ってあげれば良いんじゃないの?とは思うよ。(2社は協業したけど)
ただ、オープンソースで公開するということは次のような利点を求めてするこって、それがイヤならプロプラで良いわけさね。
Apache License 2.0 とかのライセンスの OSS として公表しているものの利用をフリーライドと表現するのも、それがなんか嫌儲で Evil ってのはちょっと判断できないかなぁ。
大手が自社でメンテできてしまう(できるようにする)というのは経営戦略であり、開発元がクローズにするってのも経営戦略。罵り合い合戦はちょっとなぁという感じ。
OSS の理念的に改修した分は元のソースにもっとフィードバックしろよってのはあるけど AGPL とかで出してないんだよなぁ。
この辺は賛否両論色々あるので気になったら調べてみて。
以上。ご査収ください。
https://gigazine.net/news/20220125-moonbounce-chinese-uefi-firmware-malware/
自衛隊サイバーセキュリティ担当幹部、駐屯地での女性との不適切な画像が流出
https://biz-journal.jp/2022/01/post_275167.html
昨年は、大分、仙台、横浜FC、徳島、清水、鳥栖から4つの予想だった。
昨年は予想外だったけど、2年連続で戦力の大部分を入れ替え&1部グレードダウンしつつ、監督も交替になったのでは流石に難しいだろうと思う。
強化部自体はいい仕事をしたし、補強も予算を考えれば最高に近い結果を出したと思う。個人的には好きなチームだけど監督も愛媛を21位にした川井さんだし良い結果を想像するのは難しいね。
補強はないけど流出もなく、レンタルバックでJ2でも評価の高い方の選手を戻してるので、戦力的には昨年と大きな差はないとは言える。
ただし昨年は決定機を外す数ではリーグ上位だった攻撃陣は変わらず、川辺というリーグ屈指だったボランチの抜けた穴は野津田で埋まるとも思えず、監督も未だに入国できない。
昇格初年度は、あまり対策されず、運に恵まれた勝利を拾って予想外に順位を保てたという印象しかない。本来で言えば14位相当だったと思う。
2年目になるとスカウティングで対策されて、思うようには戦えなくなるのは、大分や横浜FCの前例を見るまでもない。選手は維持できているがアシスト王のサロモンソンの退団は大きく響くことになると思う。
残留出来るかどうかギリギリのラインかなと。入れ替え戦に回れば生き残りそうだけど。
ネルシーニョの戦術が、もうシンプルに底が割れてる上に、主力が流出してしまった影響は小さくない。
いい選手はいるのだけど、ネルシーニョに対して選手が不満があったとしても口にしたら干される強権ぶりだし、もう勝てない状況でも5年契約の縛りでチームの雰囲気は良くないんだろう。
そうでもなければ柏から個人降格してでも選手が出ていく理由がない。チームがそういう状態の時だから、連敗しようもんならガラガラと崩れていくし、福岡とどちらが残れるかなって感じ。
いろんな人がいろんな立場から言ってるので混乱しがちなんだけど、まず多数が現在問題視しているのは「なりすまし署名」問題だってことを切り分けてほしい。
この問題については一方的な被害者は古谷氏を筆頭とするなりすまされた側。
署名運営側も被害者でもある。が、「ハッキングにより顧客情報を流出させた企業」と同様に管理責任があり、その面では加害者。その加害者としての対応を問うてる、って前提をちゃんと理解したほうがいいと思う。
(呉座氏は今回蚊帳の外。オープンレターの正当性が怪しくなれば処分の適切さが今度は問われるが、それは日文研VS呉座氏で解決すべき問題)
実家を出たいな〜〜とず〜〜っと思っていて、会社の出向を機に2年ほど実家を離れ、出向が終わったので実家に戻ることになった。
地元には友人が多く、車がないと困るけれどなんだかんだ住みやすい町だったなと思うので、地元に戻ること自体は嬉しく思っている。
ただ、実家がちょっとやっぱり嫌だなあということで、ちまちまと物件を探すことにした。
良さそうな物件はいくつかあって、戻り次第内見しようと思っているのだけれど、問題が2点ある。
①お金がない
貯金が40万ほどしかなく、引っ越しにあたっては100万はあった方が良いと聞くので不安。
・実家のエアコン買い替え費用8万円と洗濯機の買い替え費用7万を負担
・貯金で車校代と車と任意保険(初回30万くらい)を現金一括で払ったので1回すっからかんになっている
この辺りが痛かった。
実家の仕送りはあの手この手で止めようとしてみたが、うつ病の母が「裏切るんだね…」と泣くのと、バカの兄が実家に一切お金を入れておらず弟は給料が安いので入れる額が少なくカツカツとのことなので断念。
そもそも、けして高給ではない母と子3人の母子家庭で賃貸暮らしなので、母には育ててもらった恩もありあまり強く言えなかった。
あとは、田舎ゆえか母がどうしても兄と弟贔屓なところがあり、母にいい子だと思って欲しい自分がいる。
②母のメンタル
上にも書いたが母は現在うつ病を患っており、更年期も重なってあまり調子が良くない。
出向で実家を離れると話した時も泣くわ会社に電話すると騒ぐわで大変だった。
単純に、家事をやってくれて、顔色を伺って察して動いてくれて、家にいれば5万は入れてくれて、頼めば追加でお金を払う存在は便利なんだと思う。
多分また家を出ると言い出したらものすごく揉める。
とはいえ、実家に住んでいる兄と弟は、甘やかされただけあって体調などを気遣って動くということがドン引きするほど一切ないので、単純に心配というのも大きい。
問題①の金銭面については、一旦実家に帰るので社宅代+食費+仕送りが実家に入れるお金+食費(大幅減額)になるので、頑張って貯めるしかない。
問題②の母については、どうにか納得させるしかない。まずは家を出たい理由を列挙していく。
・狭い。成人4人で狭めの3DKは無理があると思う。
・狭さゆえに兄と弟の深夜に及ぶAPEXなどが非常にうるさい
・調子の悪い母はともかく、健康な成人である兄と弟の面倒を見たくない
・田舎なので、実家に5万入れるくらいなら家出たほうがなんなら安上がり
・実家のカビがひどい。玄関もリビングも自分の寝室もカビてる。
・家にいるとずっと母に干渉されるため、一人の時間が皆無(狭いので母と同室)
・寝ている時、兄だか弟だか知らないが体をまさぐられるため安心して過ごせない
実家の物件が諸々ヤバいことについては、母の収入で子供3人とどうにか暮らすことのできる物件がここしかなかったんだな、ということは理解している。
全員子供も就職したので、もう少しいい物件に引っ越さないかと以前言ってみたが、収納の多さや立地のよさで却下された。立地と収納の多さと家賃の安さは本当にいい。それ以外は割と最悪だけれど。
家族の問題については、母の干渉については言わないことに決めている。
母とまともに会話をする子供が自分しかいないため、寂しいのだろうと思うし、否定して情緒が不安定になるのは望むところではない。
兄と弟の騒音問題については何度も話し合った上で改善されないため、これを理由として話すのはありだと思っている。
正直理由として最も大きく、また言うべきかどうか迷っているのが、就寝中に体をまさぐられる問題だ。
友人にも相談したことがないし出来ないので、増田に書くしかない、と思い立った次第である。
当時両親は離婚しておらず、一軒家で自室を与えられていたので、当然の如く一人で寝ていた。
眠りの浅い方なので、違和感で目を覚ましたところ、誰かが自分の胸や性器を舐めていた。
パニックで、どうしたらいいかわからず寝たふりをしたが、パジャマも下着もほとんど脱がされた状態でその兄だか弟だかは出て行った。
あまりの恐怖に、ティッシュで体を拭いて何事もなかったかのように寝ることしかできなかった。
1番ひどかったのが一軒家に住んでいた小5〜中2頃で、当時兄弟全員ガラケーを持っていたから、フラッシュを焚いて撮影されたこともあった。
インターネットに流出していたらどうしよう、と眠れないことが今でもある。
引越しと同時に母と同室になったため、流石に頻度も減ったし上に跨って何かされることもないが、寝ている時に手が入ってくることは未だある。
少し目が覚めたふりをして寝返りを打つとやめることに高2の時に気がついたので、今はそうしている。
元々スキンシップの多い家庭で、何かにつけてハグなどが多いのだが、不自然に嫌がると怪しまれるかもしれないと思い逆に自分からやるようになった。苦痛だった。
自分でも何をしているのかよくわからないが、心理学を齧った人だと何かわかるだろうか。浅学なのでわかんないけど…。
本当〜〜〜〜〜に家を離れて安眠したい。
もし言って、どちらが犯人かわかった場合は痴漢とかの矯正プログラムに行って欲しいなとも思っている。
このことで眠れないことも多いし、自覚はなかったがどうも男性に対して若干の不信感があるようなので、精神科かカウンセリングに行ってどうにかしたい。(絶対に二人きりにならない、手をつなげない程度の距離を空けて歩く等、ものすごく警戒してしまう。このせいか彼氏ができたことはない。)
でもこれを正直に母に言うには母の精神が現状不安定すぎるし、家庭崩壊まっしぐらになってしまう…。
話す
・狭い。成人4人で狭めの3DKは無理があると思う。
→オブラートに包んで「お母さんにも一人部屋が必要だと思って」等話し方次第ではあり
・狭さゆえに兄と弟の深夜に及ぶAPEXなどが非常にうるさい
・調子の悪い母はともかく、健康な成人である兄と弟の面倒を見たくない
→兄弟問題は何度も訴え話し合っているので理由の1つにするのはあり
・実家のカビがひどい。玄関もリビングも自分の寝室もカビてる。
→度々カビててこの家イヤ!とは言ってきたので、理由の1つにするのはあり
話さない
・家にいるとずっと母に干渉されるため、一人の時間が皆無(狭いので母と同室)
→これを言うとおそらく病む
・田舎なので、実家に5万入れるくらいなら家出たほうがなんなら安上がり
→言う必要性を感じない
→言う必要性を感じない
保留(出来れば言いたくないが、理由として切実すぎるため)
・寝ている時、兄だか弟だか知らないが体をまさぐられるため安心して過ごせない
と考えている。
保留部分本当にどうしようかなあ…家庭ぶっ壊せとか黙って墓まで持っていけとかなんでもいいので何か背中押すかして欲しい。
こんな掃き溜めでお願いすることじゃないけれど。
[B! 芸能] 神田沙也加 急逝直前に恋人から罵倒されていた《音声が存在》 | 文春オンライン
https://b.hatena.ne.jp/entry/s/bunshun.jp/articles/-/51247
