たまに18歳未満の人や心臓の弱い人にはお勧めできない情報が含まれることもあるかもしれない、甘くなくて酸っぱくてしょっぱいチラシの裏。RSSによる簡単な更新情報を利用したりすると、ハッピーになるかも知れませんしそうでないかも知れません。
の動向はもえじら組ブログで。
宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能!
Webサイトの管理担当者がSSL 2.0の危険性を理解していないうんぬんの話を見てて思ったこと。多分前にも似たような事書いてると思うけど。
この人に限らず技術系の人って、他人が賢くあることを期待しすぎてると思う。特にセキュリティ関係の人のその手の言動が目に付く。セキュリティ上の危険性について啓蒙することの正しさを信じてやまないからなのだろうけど。かつても自分自身、W3C信者としてあちこち突撃かましてたしね。
何で今更こんな事に首を突っ込んでハンドアックスを頭にぶっ刺してるかというと、拡張機能の安全性を云々言うんだったら署名くらい付けやがれという言説について、おんしゃあパツイチ調べてノウハウをわかりやすく文書化してみんべえ、と調査を開始したところ、署名を買うのに10万かかる(ベリサインの場合。他社ならもっと安いということは後から知った)とか法人格がいるとかそういうことを知って、そんだけコストを支払うのに見合うメリットが果たして得られるのだろうか?というそもそもの所を疑問に思い、あわよくば「署名なんてあってもなくても(あんたが求めてる物が得られるかどうかという意味では)変わらんよ」という結論に持っていければ、僕への「おめー署名付けやがれ」というツッコミをかわせるようになるんじゃなかろうか、という邪な考えが発端にありましたので、僕が喧嘩腰なのは既定の事項なのですよ。
誤解してほしくないのは、署名の意義を全否定したい訳ではないということ。署名が何をするものであるか、署名が何をしないものであるか、をはっきりさせて、「署名では証明できないことを証明するために署名を求める」圧力(と言うと大袈裟か?)に抵抗することが、目的なのです。
そういう人は往々にして、何か肝心な所を勘違いしていたり、見落としていたりする。たまたま何らかのソースでそのことを目にしたからそのことだけ気にしていたりする。例えば、SSLで署名の確認まできちんとしない人や、クレジットカードの番号が全部書かれた控えをシュレッダーにもかけず燃えるごみの中に放り込むような人、渡す書類に深く考えず捨て印を押してしまうような人、外から簡単に中身を取り出せるような簡単な郵便受けで重要な書類を受け取る人、クレジットカードを店員に渡した後でカードが自分から見えない位置に移動しても全然気にならない人、毎日部屋を出るときに夜神月のように侵入検知のための罠を仕掛けたりなんかしない人で、電子署名を求めている人には、信頼できる認証局の認証を受けた電子署名なんて、猫に小判、豚に真珠でしょう。要はそういうことです。
追記。信頼を保証するために使ってるツールそのものの信頼性を問題視する視点もあるようだ。段々訳が分からんくなってきた……
僕を助けようという意図で無いにしろ、詳しい人がわかりやすく解説してくださって、大変助かりました。自分でも責任を果たしておこう。
拡張機能の「安全性」と言った場合に、それが指すものには二つのレイヤがある。
電子署名やSSLといった認証技術は、後者は保証するけれども、前者は保証しない。後者と前者は全く分断されており、どちらかが保証されていてももう一方が保証されているかどうかには何ら関係が無い。利用者は、そのことを知った上で認証技術を利用する、ということが、情報リテラシの一つとして期待されている。
ところが現実には、そうなっていない場合がある。僕も含めて、正規の情報教育を受けないまま自己流で情報リテラシに相当するものを身に着けてきた世代の人間は、あるいは、受験科目では無いからなどの理由でまともな情報教育を受けられなかった人は、後者の安全性が保証されていれば、そうでない場合に比べて、前者の安全性も高いはずである、という誤解をしている場合がある。はいごめんなさい、自分の事です。いざ自分がハンドアックスを投げつけられる立場に立つまで真面目に考えたことがありませんでした。反省しています。
オプソは良い良いと盲目的に言うが、総合的に見てクローズドソースなソフトウェアの方が安全で出来が良いぞ、という議論について。
リンク先でも指摘されている通り、分野によって分けて考えるべき問題だよね、これは。
オープンソースは、多くの場合は、それが面白いと思った人達の手で更新されるから、「良いものを作ったら褒められる、加点式で評価される分野」では、採算ベースに乗らないような種類のソフトウェアなのに、妙に出来のいいのが出てくる。ということのように、僕は思っている。
その反対に、作るのが大変でつまらなくて目立たないような種類のもの、リンク先で「クローズドな製品の方がずっと安全」となっているような物は、「いくら良い物を作っても褒められなくて、『良い』ことが当り前扱いされて、そのくせミスがあったら徹底的に非難される、減点式で評価されるような分野」というのは、オープンソースが一番苦手とする分野だと思う。
そういう意味で、最近のFirefoxは以前にも増して減点式評価をされる場面が増えているように思えるので、金も貰わずにボランティアでやってる人達はほんと大変だなあと僕は思うわけなのです。
Firefoxをデフォルトのブラウザにした状態でNortonの更新サービス申し込んだら、「次のステップへ」という場面でブラウザウィンドウの中が真っ白けになってて全然次のステップへ進めず認証失敗した。URLをIEに貼り付けたらちゃんと表示されたので指示に従って認証できたけど。
こーゆーこと平気でやるような社風だから、「IEの方が安全! Firefoxの方が危険!」なんて湾曲情報をプレス向けに発表できるんだろうな。
JavaScriptで危険な事や妙ちきりんな事をしてみたい人のための覚え書き。一般的なユーザの立場の人はあんまり見ない方がいい話。興味本位で触ると痛い目を見かねない話。
Firefoxは全然安全じゃないぞということを僕がやけに強調するのは何故かということの理由の一つには、Firefoxは安全だ・IEは危険だ、という、あまりに単純化しすぎてFUDじみてしまったシンプルな言い方をしてしまう人に対して腹が立つからというのがあるような気がします。あんた全然分かってねえよと。何が「Wheeeeeee!!!」だよと。シャラップとか言ってるおめえも他人のこと言えねえだろがよと。
以下、最終的な作業メモのようなもの。
Norton Internet Security 2004のライセンス期限が切れて、こないだ2006を買ってきた訳なんだけど、導入以来なーんか調子が悪い。突然タスクトレイのアイコンが消えて、HTTPやFTPでの通信が全然できなくなる。再起動やログオフしようとしても、ゾンビ化したNortonのプロセスを終了できずに固まってしまってハードウェア的に電源を落とすしかなくなってしまうとか、そんな事まで起こった。非常に困る。