最新 追記

ポケットを空にして。

1985|10|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|04|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|04|05|06|07|08|09|10|11|12|
2012|01|02|03|04|05|06|07|08|09|10|11|12|
2013|01|02|03|04|05|06|07|08|09|10|11|12|
2014|01|02|03|04|05|06|07|08|09|10|11|12|
2100|01|

「人の心に残るというのが大事」と言う話。

何か連絡がある場合はメールでどうぞ(過去の日記へのツッコミは基本的にみていません)
プレゼントは随時受け付けております :-) ここ最近のツッコミ/トラックバックリスト。

  1. @nahi (09-09)


2010-08-19 [長年日記] この日を編集

Ruby の webrick 脆弱性の話。

いや、正直言ってみんながこんなに食いつく話だとは思わなかった。脆弱性があるにはあったが、実際攻略されるようなシチュエーションがそんなには無いだろう、という風に思っていたので(実運用環境では利用しないだろうなぁ、という点から)。

  • そもそも Apple がパッチをサクッと upstream に還元しておけば良かったのに、というのは衆目の一致するところではある。まったくもー あっぷるって奴は!(よつば風)
    ソースがどこから取れるかも最初は分からず、私なんぞはすらどのコメントで知る始末である。http://opensource.apple.com/ らしいですよ。ところで窓口は結局どこなんだろう、opensource@apple.com かな?
  • で、件のパッチに著作権が発生するか否か、といわれるとしないと思われる。全体のコードの割合から検討するとかなり少なく(1liner)、しかも部分修正で他の人から見てもそれ以外の修正方法はあまりないという時点で著作物とは見なせないと考える。
  • また、Ruby に不適合なライセンスであるとしたら、それを組み込んで Apple が配布した Ruby がライセンス違反になるので、Ruby に適合したライセンスであると見なすのが適当であろう。

まぁ、しかし自分の問いかけの仕方も迂闊ではあった。CVE 発行済み、かつベンダがリリースしている(&Red Hat の Bugzilla でパッチが見れる状態だった)ので、security の窓口よりも -dev な方を選んでしまった。ここはミスだったなぁ…。

何にせよリリース準備で大変だったろうにご対応いただいた yugui さんらやパッチを書いていただいた西尾さんには感謝感謝である。

西尾さんの指摘について、さらに追記。

  • 一般論でどうこう、じゃなくて、Ruby を配布するのに何のライセンスで配布しているのか、という事が肝要だと思うのだけど。GPL か ruby ライセンスのどちらかに適合していないと Apple が配布できないでしょ、と(あ、でもどちらかになっちゃうか。悩ましいな)
    だから「たとえばAさんが自分のプログラムをパブリックドメインやNYSLで公開していたとする。Bさんはそれを修正したコードを自分の好きなライセンスで公開できる。AさんがBさんの行った修正を自分のソフトに取り込んでパブリックドメインを維持したら、これは明らかにライセンス違反だ。」というのは全く筋が違う話。パブリックドメイン相当にした場合とGPLや他の一般的ライセンスで公開しているものを利用するのを混同してはいけない。
  • 法的な事になったときに手間がかかるので避けるべきだという論は理解できる。「私はこう思うな」というのは別にそういう考えでいる、というだけの話。

もう一点だけ確認で。「またCさんがLGPLでライブラリを公開して、Dさんがそれを修正してGPLで公開したとする。Cさんがその修正コードを取り込んだら、やっぱこれもGPLにしないとライセンス違反だ。」って「CさんがLGPLでライブラリを公開して、Dさんがそれを修正してGPLで公開」って、"そのライブラリ自体のライセンスを変更しての公開"は間違いなくできないでしょ。これができたらあらゆるソフトでパッチちょっと書いただけでライセンス変更できちゃうことになる。「パッチ自体が不適合なライセンス条件をもって公開したもの」といいたい話なのかな。うーん、それも可能「かもしれないけど」というぐらいの意見。

追記: Apple の担当者に連絡が取れた後日談も一応あるんですよ。


2010-08-20 [長年日記] この日を編集

分からなければとりあえず聞いてみるのはどうか

と思ったので、遅ればせながら opensource@apple.com に質問メールを送ってみる。返信あるといいなぁ


2010-08-25 [長年日記] この日を編集

お返事がないので

今度は別方面からいってみる。

追記:MacRubyも直った。というか連携とれていなかったのか…

donation するとしても

あんまり多くは出せない。しかし、小額過ぎると手数料の方が嵩んでしまって意味が薄いように思う。どうするのが一番よいのだろうね。


2010-08-26 [長年日記] この日を編集

そろそろ、うぶまがの季節です

Ubuntu Magazineということで、Ubuntu Magazine も Vol.5 が出るようです
いいなぁ、ステッカー。そうそう、Canonical の CEO さんは非常にスマートでした。ああいう回転の脳みそが欲しいですね。


2010-08-29 [長年日記] この日を編集

webrick 話の続き→担当者編

とりあえず、opensource@apple.com にメールを送ってみたが、1週間ほどたったが反応がないので悲しい。

それとは別にMacRubyというページを見つけたので、そちらのソースを見ると…あれ、subversionのtrunkでも直ってないな、というのを見つける。コンタクトアドレスの一つである twitter のアカウントに DM してみたところ、別アカウントから直したよーと返事がきた。ちょうどいいや、と思いLaurent Sansonettiさんに色々質問。

It was a communication problem, we forgot to tell Ruby upstream. Hopefully it won't happen again.
I agree although patches are under the ruby license (maybe it's not well specified).
As for contact address, I think they know that I maintain Ruby in OSX, why not contacting me directly? :)

ということなので、今回の件については以下のようなまとめ。

  • 連絡ミスでした
  • パッチはrubyライセンスです
  • 何かあったら直接連絡 (twitter で @lzr @lrz か lsansonetti@apple.com) 宛

追記:@nahi さんの指摘を反映。こちらこそありがとうございます

本日のツッコミ(全1件) [ツッコミを入れる]

_ @nahi [いろいろありがとうございます。Typoと思いますが、@lzrさんじゃなくて@lrzさんですよね。]


2010-08-31 [長年日記] この日を編集

バグレポとか

piuparts の false positive に引っかかってたのでレポート。
tdiaryが新しいバージョンが出ていたので念のためレポート。
gnome-do-plugins で twitter が使えなくなっている?一応手元ではまだ動いている。