no title

SourceForgeがGIMPのインストーラーにアドウェアを混入させていたことが判明し、話題となっています。OSSホスティングとしては致命的な愚行であり、悲しむ人が多いもよう。なお、こうした事例はGIMPに限らず、様々な開発者が同様の被害を受けいていることが予想されます。

SourceForge.net(SF.net)にあったGIMP for WindowsのプロジェクトがSF.net運営者側にアカウントを乗っ取られ、配布物がアドウェア付きのインストーラーに置き換えられたという騒動が起きたようだ(Ars Technica)。

インストーラには「Norton anti-virus」および「myPCBackup.com remote backup」がバンドルされていたと報告されている。SF.net側は「18か月以上プロジェクトが放置されていたのでミラーに切り替えた」としているが、GIMP側はWindowsバイナリの配布用としてメンテをしていたと主張している。

アドウェア配布の前にそもそも管理権限を奪ったという大きな問題があるようだ。
http://it.srad.jp/story/15/05/28/087214/


スポンサードリンク

なお、今回の悪事はSF.netが起こしたもの。SF.jpは安心安全。OSDNは以下の発表をしています。

他社類似サービスで発生した事象により、弊社のOSDNの開発者ならびにユーザの皆様方に混乱、不安が生じていることが散見されましたので、ここでOSDNにおけるマルウェア、アドウェアならびに不適切なソフトウェアダウンロードへ誘導するような広告についてのポリシーについて説明致します。

アドウェアについて

弊社OSDNでは、個々の開発プロジェクトが開発した配布物には一切の変更を加えることなく、永続的にオープンソースの成果物を保管し続けることをポリシーにしています。つまり、OSDN社側がプロジェクトの成果物に対してアドウェアを同梱するような行為や活動を停止したプロジェクトの成果物の改変を行うといった行為は一切行うことはありません。また、活動停止プロジェクトの管理者の権限を停止することもありません。
http://osdn.jp/projects/sourceforge/news/24957


460:片山博文MZ ◆T6xkBnTXz7B0 2015/05/28(木) 11:33:00.46 ID:BPOchcgZ.net

sourceforgeがGIMP for Windowsを書き換えるなどの悪いことをしていたらしい。
sourceforge死亡。消えてくれ


461:デフォルトの名無しさん 2015/05/28(木) 15:49:37.52 ID:8/CWMzFG.net

とっくにOSSホスティングとしては死んでるのでは?


730:名無しさん@お腹いっぱい。 2015/05/28(木) 17:44:54.02 ID:tiBytWBK0.net

SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 | スラド IT http://it.srad.jp/story/15/05/28/087214/


731:名無しさん@お腹いっぱい。 2015/05/28(木) 17:57:13.33 ID:S6P5EvWi0.net

これは酷いな


734:名無しさん@お腹いっぱい。 2015/05/28(木) 18:29:45.66 ID:aEAIa3hI0.net

「放置されてたから、これ幸いと思って俺らSFの金儲け用に改ざんしたわw
 お前のもんは俺のもん。だから俺の垢にしといたw」

ってことか。しかも放置ってのも嘘か。以前からSFは怪しいと思ってたが、やっぱこういう事する奴らだったんだな。


744:名無しさん@お腹いっぱい。 2015/05/29(金) 13:42:17.04 ID:FOq40KOi0.net

同じことになってるプロジェクト跡地、うじゃうじゃあるんだな。
Audacityも完全にSFに乗っ取られてるな。

面白いのがMySQLのプロジェクト跡地"mysql"。
プロジェクト関係者がファイルを全削除したアカウントはそのままに、
新たに"mysql.mirror"なんてアカウントをSF運営が作成した上で、
全てのリンクをこちらに持ってきて、さもこちらがオリジナルアカウントであるような顔をしている。

jaistもこんなところのミラーやめちゃえばいいのに。


735:名無しさん@お腹いっぱい。 2015/05/28(木) 18:43:56.24 ID:GD4olpKj0.net

もうSFは駄目だな
一番やってはいけないことをやってしまった


736:名無しさん@お腹いっぱい。 2015/05/28(木) 18:55:18.47 ID:Y5RlxxMq0.net

SFなんて使ってるほうが悪いわ
まともな所はみんなGH


737:名無しさん@お腹いっぱい。 2015/05/28(木) 19:00:55.97 ID:qHH9C0K50.net

>>736
gimp-painter-2.8の開発どうなってんの、弾幕薄いよ!!


738:名無しさん@お腹いっぱい。 2015/05/28(木) 19:30:48.68 ID:t8a7pxVF0.net

GHてなに?レイザーラモン?


739:名無しさん@お腹いっぱい。 2015/05/28(木) 20:01:27.27 ID:PsKDCSD+0.net

GitHubじゃねえの


743:名無しさん@お腹いっぱい。 2015/05/29(金) 11:47:48.62 ID:dRu3a+j60.net

これはマズイなあ
初心者さんがDLしようとした際にマズイことになるなあ

公式サイトから辿ってDLすればいいだろうけど英語サイトだから少しハードル上がるし
せめて、窓の杜からDLしようねと言っとけばいいのだろうか
http://www.forest.impress.co.jp/library/software/gimp/

それともディレクトリを直接見せたほうがいいのか
http://www.gimp.org/downloads/


733:名無しさん@お腹いっぱい。 2015/05/28(木) 18:25:09.03 ID:29qKIAbL0.net

先日公式から2.8.14ダウンロードしてインストールしたんだけど大丈夫なのかな?


745:名無しさん@お腹いっぱい。 2015/05/29(金) 15:34:37.09 ID:g8+9DNgU0.net

末尾に-1が付いたやつがやばいの?
もうダウンしてインストしたんだけど・・・


746:名無しさん@お腹いっぱい。 2015/05/29(金) 16:39:24.66 ID:CHSGQuWK0.net

オリジナルの末尾も-1なんだが


747:名無しさん@お腹いっぱい。 2015/05/29(金) 16:44:50.83 ID:b3aYBB+F0.net

ハイフンと数値が末尾に付いたものはバグフィックス版
当然-1より-2の方がよりバグ修正されている


748:名無しさん@お腹いっぱい。 2015/05/29(金) 21:43:34.56 ID:YIuYkEtC0.net

Webインストーラーが問題なだけで、
おいてある本体のバイナリはいじられてるわけではない。
ちょっと前だと、URLの末尾に "?&nowrap" を付ければ、とりあえず本体が確実に落ちてきたけど、
今はどうなんかね?


752:720 2015/05/29(金) 23:54:18.90 ID:g8+9DNgU0.net

ども。末尾の数字はそういう意味があったのかー。
>>748さんとスラドを見ると700KBくらいのインストーラーが危険ということみたいですね。

窓の杜は-xがついていないのを置いてます。


749:名無しさん@お腹いっぱい。 2015/05/29(金) 22:17:15.17 ID:S0InlTgZ0.net

窓の森のやつって公式のと同じやつなの?誰かハッシュとってみてよ


751:名無しさん@お腹いっぱい。 2015/05/29(金) 22:27:59.37 ID:0RloZIeU0.net

窓の森ってやつは窓の杜の偽サイトだ
ウィルスにかかってもおかしくないw

こんな初歩的なミスするやつがいうことっていったい・・・


754:名無しさん@お腹いっぱい。 2015/05/30(土) 16:48:09.80 ID:GXEU1JbP0.net

公式から落としてた人はダウンロード鯖をだいぶ前に変えてたから大丈夫だろうけど
SF経由で今でもどのくらいの人が落としてたんだろう?


元スレ:http://anago.2ch.sc/test/read.cgi/software/1418927004/,http://peace.2ch.sc/test/read.cgi/tech/1384821518/