オープンソースタグの投稿

2009-10-16
晴れ

WordCamp Kyoto 2009 ビジネス Day 資料「オープンソース界最強の携帯対応ツール Ktai Style」

ゆりこ による 15:56:23 の投稿
カテゴリー: WordPressハック,イベント
タグ: , , ,

さきほど WordCamp Kyoto 2009 ビジネス Day でわたしが発表しましたセッションのスライドを公開いたします。

「オープンソース界最強の携帯対応ツール Ktai Style」
スライド「オープンソース界最強の携帯対応ツール Ktai Style」

スライド「オープンソース界最強の携帯対応ツール Ktai Style」

スライド中で質問として上げた「顧客から携帯対応を要求された割合」は、5割未満が5人程度、5〜7割が10人程度、7割以上はいませんでした。セミナーの最後に行なった質疑応答では以下のようなものがありました。

質問: プラグイン開発にどれぐらい時間をかけていますか。
趣味で作っているものなので、「1日xx時間」などの決まった時間はかけていません。気が向いたら1日中コーディングすることもありますし、まったくコードを書かないこともあります。WordCamp Tokyo 2009 以後は開発が滞っていまして、そのときに上げた「今後の予定」が全然実現していないのですが、なんとか開発を進めようとしています。ご期待ください。

[追記 10/17 15:00] スライド1枚目にクリエイティブ・コモンズのバッジを入れました。

2009-04-24
雨

IPA が GPL v3 の解説書を公開

ゆりこ による 04:13:43 の投稿
カテゴリー: ソフトウェア
タグ: , ,

4月23日、IPA が GPL v3 の解説書を公開しました (プレスリリース)。IPA オープンソフトウェア・センターのリーガル・タスクグループと、米国 SFLC (Software Freedom Law Center) の共同作業によるもので、各条文ごとに、文章の意図を説明しています。また、v2 との対比を取りつつ解説しているため、GPL v2 を理解する助けにもなるそうです。

わたしは GPL v2 についてはそれなりに理解しているつもりですが、v3 については「食わず嫌い」なところがありました。自作プラグインはすべて “GPL version 2″ のみの指定で、”or later” を外しています。できるだけ早くこの解説書を読破して、GPL v3 が適用できないか検討したいと思います。

また、この解説書をもとに、GPL の勉強会とかもしてみたいですね。オープンソースという言葉はよく知られていますが、その理念まではきちんと理解されていない気もしますし。GPL の場合、ソフトウェアの自由がポイントなんですよね。

[追記] GPL v3 は v2 と「両立しない」(==非互換) なんですね……。WordPress 自体は「GPL version 2 or later」なので、利用者が v2 と v3 の好きな方を選択すればいいですが、テーマやプラグインで v2 固定のものがあると、v3 固定のものと組み合わせて配布するときに、ややこしい問題が起きそうです。それぞれバラバラのプログラムとして「コンベイ」するならばいいんですが、1つのソフトウェア製品としてまとめるときは、ライセンスの互換性問題はとても悩ましいです。

2009-04-14
雨

日本での WordPress コミュニティー

ゆりこ による 03:11:31 の投稿
カテゴリー: WordPressハック
タグ: ,

おととい、WordCamp Tokyo 2009 が開催されましたが、今回の実行委員会のメンバーは、WordPress 日本語版開発チームを中心に、有志の方を加えたものでした。実は、WordPress 関連のコミュニティーやプロジェクトは、オープンソースらしく、それぞれが独立したものとなっています。

WordPress 日本語版作成チーム
WordPress の日本語版開発に関わっている方たちです。tai さんtenpura さんなどがメインですね。WordPress 日本語版に関するコアメンバーですが、他のコミュニティーを管理したり管轄しているわけではありません。わたしは参加していません。
WordPress 日本語フォーラム
WordPress 日本語版に関する公式フォーラムです。WordPress 日本語版作成チーム日本語ローカルサイト運営チームが管理していますが、管理者はあまり投稿していなくて、わたしに代表される有志の方が積極的に回答を行なっています。回答者はそれぞれが独立に参加していて、回答者同士のミーティングがあるわけではありません。
WordPress Codex 日本語版
Codex 英語版を翻訳するプロジェクトです。ぼのさんがメインです。わたしもプラグイン関連を中心に手伝っていますが、あまり進んでいません。
WordPress Plugins/JSeries
日本独特のプラグインを開発・配布したり、英語プラグインの日本語化を行なって配布しているプロジェクトです。ひろまささんがプロジェクトリーダーですね。わたしの作ったプラグインは主にここで配布しています。一応 Otsukare さんもメンバーとして入っていますよ ;-)
WordBench.org
WordPress の地域コミュニティー支援サイトです。WordPress MU + BuddyPress を採用して、ソーシャルネットワークみたいなものが構築されていす。Miyoshi さんが立ち上げたものです。
その他
他にも、mixi の WordPress コミュとか、2ちゃんねるの WordPress スレの住人とか、twitter 系もありますが、よく分からない (見てない) ので言及はできません。

で、上記5つすべてに関わっているのは Nao さんでしょう。JSeries の方は、日本語リソースの提供でがんばってくださっています。WordPress におけるキーパーソンの1人ですね。

わたしは WordPress 日本語版作成チームには入っていません。自分のプラグインの開発で手いっぱいなこと、日本語リソースの作成という翻訳作業にはあまり興味が向かないというのが理由です。ただし、日本語リソースの出来に疑問を感じた場合はフォーラムなどを通じて意見を出してはいます。外野として間接的に関与している感じですね。

日本語フォーラムの方は、活発に回答をしているので、管理者権限のオファーもありました。でも、回答するだけなら管理者権限は不要と考えていますので、今のところは不要です。他の回答者が間違ってつけたタグを修正するとか、解決ずみフラグを付与できるだけの軽い権限があればいいんですが……。

なお、前回・今回の WordCamp Tokyo では実行委員会スタッフとして深くかかわったので、日本語版作成チームの面々とは綿密にやりとりを行って、お互いの性格や人物像がだいぶ分かりました。なんというか、WordPress コミュニティーはスキルが高くて個性的な人ばかりだと思います。「WordPress を選ぶセンス」がある人は、そういうものなのかもしれませんね。

2009-02-10
晴れ

脆弱性あり Mobile Eye+ を使っていた業者

ゆりこ による 03:38:30 の投稿
カテゴリー: ソフトウェア,社会問題
タグ: , , ,

Mobile Eye+ に XSS 脆弱性があることを発表して以来、ブログ検索などで、素の Mobile Eye+ を使っている人を見つけては、拙作のパッチを紹介するという活動をしています。多くの方がびっくりされますが、パッチを適用して頂いています。ありがたいことです。反面、書いたコメントが「承認待ち」のまま放置という状態もあって、これは悲しいです。放置していても、自身のサイトが攻撃されたり、他のサイトを攻撃する踏み台にされるだけで、それは自業自得ですから、仕方ないのですが……。

このとき、いくつかの Mobile Eye+ 利用サイト (Google 検索へのリンク) が、ほぼ同じデザインなことに気がつきました。どう見ても、「業者から購入したテンプレートそのままの状態」で、非常に情けないです。念のため、見つけたサイトすべて (コメントが閉じられている1サイト除く) にコメントを書きましたが、5日ほど経過しても反応がありません……。(すべて「承認待ち」のため、わたし以外にはコメントの存在は見えません)

よーく調べてみると、どうやら、「HyperBlogger (ハイパーブロガー)」というツール (というかテンプレートセット) で作ったを購入した人向けの専用テンプレートを適用したサイトのようでした。つまり、販売業者は「脆弱性がある Mobile Eye+ を含むツール」を売っている代行インストールしたわけです!!

Mobile Eye+ の XSS 脆弱性が見つかったのは今年1月7日ですから、それ以前に販売した顧客への対応が困難なのは仕方ないです。でも、手前が販売したソフトウェアならば、脆弱性情報などもきちんと入手して、利用者に通知するのがあるべき姿でしょう。(まあ、スパムブログ生成ツールを作っている時点で、到底「マトモ」とは言えないですが ;-) →先方から連絡があり、「顧客に案内を行う予定である」とのことでした。すばらしい!!

まっとうな WordPress ブロガーがこのようなツールを買う代行インストールサービスを利用するとは思えませんが、じゅうじゅう注意されるようお願いします。なお、拙作の Ktai Style をベースに「PC & 携帯サイト同時生成ツール」を売っている業者もあるようですが、Ktai Style の最新版情報をいち早く入手されて、顧客に通知されることをお願いいたします。

ちなみに、WordPress, Ktai Style はどちらも GPL に基づくオープンソースなので「自動生成ツールと抱き合わせで配布することを禁止する」なんてのは無理なんです。オープンソースソフトウェアは、「利用する分野を制限してはならない」ので、極端な話、テロリストが使用することも認めないといけないのです。

[追記: 2009-02-11 03:30] 本日、深夜0時20分ごろ、HyperBlogger 開発元の「デジステイト」さんからメールが届きました。以下のような概要です。

  • HyperBlogger はあくまで、ローカルアプリケーションであること (WordPress、Mobile Eye+ やブログテンプレートは含まない)
  • HyperBloggerの開発の意図としては、決してスパムを目的としたブログを生成することではない。(ただし、利用者の多くはアフィリエイトを目的としている現状である)
  • キーワードなどを指定して自動的に同一のページが生成される機能はない。必ずユーザ側での編集作業が必要。
  • 既存の企業ポータルサイトや一部会員制サイトでの利用実績がある。
  • HyperBlogger の購入者に対して、特製のテンプレートや必須プラグインを含む WordPress 代行インストールサービスを行なっている。
  • 設置代行したユーザーに対して、Mobile Eye+ パッチの適用またはKtai Style などの代替プラグインを自身にて適用されるよう案内する予定。

わたしは完全に誤解していて、HyperBlogger (14,800円) には WordPress, Mobile Eye+、特製テンプレートが附属しているのだと思っていました (GPL アプリを有償で売ることは問題ないので)。自身で WordPress インストールが難しい人向けに、2,500円で代行インストールを行なっているのだと思っていました。実は、Mobile Eye+ の設置は、代行インストールの一環で行なっていたようです。

上記のような指摘がありましたので、タイトルおよび本文を修正し (旧タイトルは「脆弱性あり Mobile Eye+ を含むツールを売る業者」)、「ヘボ業者」タグは外させて頂きました (このようなタグを付与して申し訳ありません)。アフィリエイト目的のブログ作成という行為は個人的に感心はしませんし、それに使えるツールについては全く興味がないです。でも、この記事の目的は「セキュリティーの向上」にあるので、それに対する対策を取って頂けるならば、何の問題もありません。

このような「毒記事」なのに、素早く丁寧な連絡を行なってくることは驚きでした。自社製品によっぽど自信があるのだと思いますね〜〜。

2008-11-22
晴れ

コード難読化を使ったテーマは使用禁止

ゆりこ による 11:11:53 の投稿
カテゴリー: WordPressハック
タグ: , ,

WordPress 日本語フォーラムでの質問で発覚したのですが、Padd Solutions による Royal Cyan というテーマはコード難読化を行なっています。footer.php のコードが以下のような感じになっているのです。

<?php /* WARNING: This file is protected by copyright law. 
To reverse engineer or decode this file is strictly prohibited. */
$o="QAAgOyhjbnE5Jw0NOwCAJ25jOiUAMGFoaHNidSU5DScAEAFsKnNodzAgJTkDQwIPYnUqZWhz
A6AODjt3OUERDQBgOHdvdycAkHB3WAVzLy48A4KEAAWwJzg5DgDGRGh3fnVuYG9zJyAQIWQAsDwn
NTc3Pyc7BAJla2hgAARuaWFoLyBpZmpiIC48A6ApJwAAO2Ynb3ViYTolb3Nzdz0oKAAAcHBwKXdm
...(中略)...
VAHUB6EpDTsodzkNDjsKkHE5mEAA0GNuAHAAgGVoY34BAW9zams5DQ==";
eval(base64_decode("JGxsbD0wO2V2YWwoYmFzZTY0X2RlY29kZSgiSkd4c2JHeHNiR3hzYkd4
c1BTZGlZWE5sTmpSZlpHVmpiMlJsSnpzPSIpKTskbGw9MDtldmFsKCRsbGxsbGxsbGxsbCgiSkd4
...(中略)...
R3hzYkd4c2JHeHNiR3hzYkNnMk1Da3VJajhpT3c9PSIpKTtldmFsKCRsbGxsbGxsbGwpOw=="));
return;?>

コード難読化をすると、マルウェアなど危険なコードが書かれていても検出することが困難で、安全なテーマであることが担保できないため、安心して使うことができません。もし使っているならば、使用を中止するべきです。また、作者がユーザーを信用していないというわけで、そういう姿勢も好ましいとは言えません。オープンソースの理念を破壊するものだと思います。

PHP, Perl, Ruby などのスクリプト言語による商用製品などでは、自社の製品を守るためにコード難読化やバイナリー化を行うことがありますが、このテーマは Creative Commons の表示-非営利-継承 3.0 Unported で配布されているため、そうする必然性がありません。むしろ、CC ライセンスを使うならば難読化してはいけないと思います。あと、改変を禁止していない CC ライセンスならば、 コードの改造や解析は許可されて然るべきものです。なのに、1行目で「リバースエンジニアリング禁止」と書いているのは、ライセンスに矛盾するんではないんでしょうか……。