黒翼猫のコンピュータ日記 2nd Edition

1.相変わらず中国製偽装ライブラリが入ってる件



日本製といいつつ、中国製のバイナリが入ってるのは相変わらず。前作った検出ソフトの精度が上がったので探せる少しファイルが増えました･ω･

どこまで国産なのか Baidu IME のライブラリを覗いてみたよ

韓国のLINEもそうですが、国産といいつつ自分の国のライブラリ使ってるような嘘をついてるソフトはやっぱり、なんかあるんだと思います･ω･


2. 相変わらず、初期設定が本体に反映されていない件


オプション辞書使用しないにしたのに勝手に入る。1年以上前のバグが直ってない
Baidu IME のクラウド入力の仕様がひどすぎる件

というわけで設定は信用しないほうがいいらしい。


3.今のうちにBaidu IMEのオフラインインストーラーを保存したい

http://download.ime.baidu.jp/fullpackage/BaiduType_Setup.exe
ここからダウンロード。

今のうちに現時点のバージョンをダウンロードして試してみたい人はこれをどうぞ。
通常のインストーラーだと差し替えが可能だからね。

解析してみたい人はどうぞ


4. ちょっぴり怖い Baidu のプライバシーポリシー

利用ガイドライン | Baidu IME - 日本語入力システム -

利用記録の保存 ユーザーがBaiduのサービスを利用した際、サーバーが自動的にURL、IPアドレス、ウェブブラウザのタイプ、使用言語、アクセス日時、携帯端末の個体識別情報等のログ情報を記録します。 ログ情報の利用目的 バイドゥはログ情報を以下の目的で利用します。 （1）Baiduのウェブサイト内でユーザーカスタマイズされた使いやすいサービスを提供するため。 （2）バイドゥが最適なコンテンツ、各種サービスの案内などをユーザーに配信したり提供したりするため。 （3）バイドゥが提供しているサービスの内容を、充実させたり、改善したり、あるいは新しいサービスを検討したりするための分析・抽出等を行うため。

サービス使うと自動的にアクセスするよって書いてる。


5. 本当に既定の設定で入力内容を送信するか確かめてみた

昔のバージョンは 規定で Baidu IME クラウドが有効になってたのだけど、今はOFFです。
で、本当に入力内容を送ってるのか調べてみました・・・が

結論･･･送ってない。


6.  どういうことか推測してみた。


a. システム予測を有効にするとクラウドが自動手有効になる。



b. インストール直後サジェストを有効にすると、この機能が有効になる。（デフォルトではOFF）←ここ重要
Baidu IME が 12/25にデフォルトでOFFにするように差し替えた模様


有効にしたとたん送信してるのを確認。

送信してるのは BaiduPlatform.exe (中国製) ←ここも重要
https で送信するのに失敗すると生でデータを送る.ええいやめんかｗ

ただし、通信に失敗すると、自己復元できないバグが相変わらずある

↓Baidu さんが差し替えてたのが判明
・セキュリティ研究者は実は規定の設定で使っていなかったのではないか？
・たぶん、セキュリティ研究者は、ログ送信機能とクラウド入力機能を混同している。
・クラウド入力をONにすると入力内容が送信されるのは2年前から既知の問題で今更である。


7.  どっち道怖いので、送信しない設定を確実にしたい



BaiduPlatform.exe をとの橋渡しをしてるのが、実は Baidu Japanese IME Service、これを無効にしてしまうと、サービスは起動しない。
また、BaiduPlatform.exe 自体リネームすると二度と動作しなくなります（笑）

BaiduPlatform.exe が通信モジュールなので削除してしまってもOK

Baidu IME 2.x/3.x の中国製通信モジュールだけ削除するツール公開

ちなみに、同じ名前のフォルダを作ってしまうとフォルダがプログラムが起動するタイミングでフォルダが開きます（笑）

つまり、クラウド入力とログ送信機能を無効にした状態で、このフォルダが開かなければ、Baidu IME の無実と、NHK のニュースが捏造であることが証明できるんじゃないかと。

まぁ、BaiduPlatform.exe がネットにアクセスしないで起動するようなケースがあったら、開いちゃうんですけどね･ω･



Baidu さんはそんなに好きじゃないけど、デマニュース流すマスコミはもっと嫌いですよ ･ω･

…マスコミの話は鵜呑みにしない。



結論： 12/26 19:00 NHKの記事は半分捏造。

初期設定ではパソコンの情報を外部に送信しないと表示していますが、セキュリティー会社のネットエージェントなどが分析したところ、実際には国内にある百度のサーバーに情報を送信していることが分かりました

確か、Google IMEも 前入れたときは サジェストが既定で有効だったんですが･･･。
ネットワーク変換で入力候補を送信しないなんてあるわけ無いじゃないですか･ω･；

* 2013/12/27 9:00 注 Google IME のサジェストはネットワーク変換じゃないという指摘があったのですが、Google IMEはオンラインデータベースを使用しているという資料もあって詳細確認中です

インター年と変換である、クラウド入力が有効になってると入力内容をインターネットで送信することを知らなくて、2年前から分かってるようなことを、税金使ってセキュリティ会社にわざわざ調べさせて、大層なニュースにしたってことのほうが問題のような･･･。
情弱を利用した天下り先への税金の無駄遣いですね分かります･ω･

21:50追記： 税金は使われてないそうです。失礼しました･ω･；

＃とりあえず、Baidu さんにいいたいこと

・クラウドの設定OFFにしたら即時反映されるようにすべき。プロセスと通信セッションが再起動するまで残るので気持ち悪い。
・設定を変えたときに別の設定が勝手に有効になるのは誤解招くから警告出したほうがいい。
・簡単設定が反映されないバグ早く直そう。
・ログやクラウド入力の内容を HTTPSの通信が失敗したら平文で送りなおすのやめれ。
・中国製のモジュール混在させるのは気持ち悪いのでやめよう。