これの対策のためにドメインや登録商標とるのは有効だろうけど、無料のソフトウェアのためにやるとするとやってられんね。
wingetどこまで信用して良いか問題について皆どう思ってるか気になる。
歴史あるソフトだと見たこと無い変なサイト使ってる場合もままるからなぁ。どうしても調べたいならarchive.orgで断絶無く続いているか…とかかな。ドメイン切れた瞬間にコピーされたらもう無理
MSストアだと公式Puttyが最初に表示されてますね。Windowsであればストア審査通過がセキュリティ担保の目印にはなるかと
orgもGoogleでは上の方に表示されてる。今は無害そうな内容だが。Puttyは何かしょぼいサイト、という記憶が無ければ危うい。
このままだと「お父さん、ぼくも本当のウェブサイトがみてみたかった」とか言われる日が……。
“ソフトウェアPuTTYの公式Webサイト www.chiark.greenend.org.uk/~sgtatham/putty/ は、すっきりしないURL。 www.putty.org は無関係だが公式サイトのように見える。 wingetなら安心か? PuTTYが複数あり不安”
IDが本家で規定しているものだからといって全てのマーケットで公式が公開しているとは限らない。野良パッケージがURLだけ公式にリンクしていたりもするので常に確認が必要。
これはキツい。Homebrew だって悪意あるコントリビューターが混ぜ込んだら中々発見難しいしなあ。
これはしんどいなあ。人気が出るほどリスクがでかくなっていく
ふぇぇ
そうなんだ。じゃあ私 PuTTYrv 入れるね。 https://www.ranvis.com/putty
オープン「ソース」ソフトウェアのバイナリパッケージにマルウェアを仕込む手法は20年くらい前からあったからなぁ…。自分でビルドしない人はおカネ払うほうが良いんじゃないかな
パッケージマネージャー越しだと誰かのレビューが入っていることをある程度期待したくはなるし期待してる。Homebrewやwinget
OSSというより何が真正の本物でそれをどう担保するかの話。正直偽装サイトを作る旨味もない日本国内でニッチな層しか使ってないソフトウェア(フリーソフトとか)は強いなとか思ってしまった。
下手な公式サイトよりもgithub見に行った方が安心するのはある
wingetもね、公式じゃなくても入れれるんですよねえ…(遠い目)
私はWikipediaで「公式サイト」を見るけどな。
東京で錦妤閣の東京・大阪出張サービスを体験しました。 女の子は可愛くて、サービスもとても良かったです。
putty 界隈不穏すぎるな。みんな wsl2 経由で ssh 使おう。ターミナルは windows terminal だ!
「wignetは比較的安全」かもだけど「正当なものか」を確認するのは確かに難しいな…。
そもそも配布サイトも把握していないようなソフトは入れないの一択だと思う。入れるなら、GitHub で実装や開発状況を確認した上で、GitHub Release から入れたり、パッケージソフトのメタデータを確認したり。
とか考えると「公式AppStoreからしかインストールできません」というのにも正当性があるよなーとならざるを得ない
PuTTYはこう言うのがあるから最近あまり使いたくないんだよな。.ppkを使わざるを得ない状況とか早く滅びて欲しい/WinGetはmsstore版があったら可能な限りそちらを使うようにはしている/a5m2とかも今後偽サイトリスクありそう
brew caskもかなり脆い仕組みなんだよな。つかってるけど
せっかく OSS なのだから、GitHub からリンクを貼られてるのが公式って事で良いでは。GitHub にすら偽物はあるだろうが、そこはスター数で見分けられるだろう。
極論すると公式Linuxターミナルの無いWindowsは開発に使っちゃいかんね。せめてWSL経由か。この辺のリテラシーの薄い開発者が多過ぎる。
wingetに新規追加する分にはPR出してそれをレビュー、MSのスキャン等を通してマージとい流れらしい。もしレビューが甘かったらその時はまあしょうがない
winget何やってんだこれ
あーBlenderもBlender.orgよりもBlender.jpという非公式サイトが上に出る時があって悪いサイトではないのだが昨今は真贋判定が面倒という
PuTTYにしても7-zipにしてもググると一番上に正しい公式サイトがちゃんとでてくるんよね。なんだかんだでググって一番上にあるのを選べばいいって言えるぐらいにはしっかりしてる。
一番ダサいサイトが本物とか言われてて笑った
putty[.]org は最近トップページが凄いことになってすごい
OSSの公式Webサイトを見分けるのは難しい (PuTTYを例に) | IIJ Engineers Blog
これの対策のためにドメインや登録商標とるのは有効だろうけど、無料のソフトウェアのためにやるとするとやってられんね。
wingetどこまで信用して良いか問題について皆どう思ってるか気になる。
歴史あるソフトだと見たこと無い変なサイト使ってる場合もままるからなぁ。どうしても調べたいならarchive.orgで断絶無く続いているか…とかかな。ドメイン切れた瞬間にコピーされたらもう無理
MSストアだと公式Puttyが最初に表示されてますね。Windowsであればストア審査通過がセキュリティ担保の目印にはなるかと
orgもGoogleでは上の方に表示されてる。今は無害そうな内容だが。Puttyは何かしょぼいサイト、という記憶が無ければ危うい。
このままだと「お父さん、ぼくも本当のウェブサイトがみてみたかった」とか言われる日が……。
“ソフトウェアPuTTYの公式Webサイト www.chiark.greenend.org.uk/~sgtatham/putty/ は、すっきりしないURL。 www.putty.org は無関係だが公式サイトのように見える。 wingetなら安心か? PuTTYが複数あり不安”
IDが本家で規定しているものだからといって全てのマーケットで公式が公開しているとは限らない。野良パッケージがURLだけ公式にリンクしていたりもするので常に確認が必要。
これはキツい。Homebrew だって悪意あるコントリビューターが混ぜ込んだら中々発見難しいしなあ。
これはしんどいなあ。人気が出るほどリスクがでかくなっていく
ふぇぇ
そうなんだ。じゃあ私 PuTTYrv 入れるね。 https://www.ranvis.com/putty
オープン「ソース」ソフトウェアのバイナリパッケージにマルウェアを仕込む手法は20年くらい前からあったからなぁ…。自分でビルドしない人はおカネ払うほうが良いんじゃないかな
パッケージマネージャー越しだと誰かのレビューが入っていることをある程度期待したくはなるし期待してる。Homebrewやwinget
OSSというより何が真正の本物でそれをどう担保するかの話。正直偽装サイトを作る旨味もない日本国内でニッチな層しか使ってないソフトウェア(フリーソフトとか)は強いなとか思ってしまった。
下手な公式サイトよりもgithub見に行った方が安心するのはある
wingetもね、公式じゃなくても入れれるんですよねえ…(遠い目)
私はWikipediaで「公式サイト」を見るけどな。
東京で錦妤閣の東京・大阪出張サービスを体験しました。 女の子は可愛くて、サービスもとても良かったです。
putty 界隈不穏すぎるな。みんな wsl2 経由で ssh 使おう。ターミナルは windows terminal だ!
「wignetは比較的安全」かもだけど「正当なものか」を確認するのは確かに難しいな…。
そもそも配布サイトも把握していないようなソフトは入れないの一択だと思う。入れるなら、GitHub で実装や開発状況を確認した上で、GitHub Release から入れたり、パッケージソフトのメタデータを確認したり。
とか考えると「公式AppStoreからしかインストールできません」というのにも正当性があるよなーとならざるを得ない
PuTTYはこう言うのがあるから最近あまり使いたくないんだよな。.ppkを使わざるを得ない状況とか早く滅びて欲しい/WinGetはmsstore版があったら可能な限りそちらを使うようにはしている/a5m2とかも今後偽サイトリスクありそう
brew caskもかなり脆い仕組みなんだよな。つかってるけど
せっかく OSS なのだから、GitHub からリンクを貼られてるのが公式って事で良いでは。GitHub にすら偽物はあるだろうが、そこはスター数で見分けられるだろう。
極論すると公式Linuxターミナルの無いWindowsは開発に使っちゃいかんね。せめてWSL経由か。この辺のリテラシーの薄い開発者が多過ぎる。
wingetに新規追加する分にはPR出してそれをレビュー、MSのスキャン等を通してマージとい流れらしい。もしレビューが甘かったらその時はまあしょうがない
winget何やってんだこれ
あーBlenderもBlender.orgよりもBlender.jpという非公式サイトが上に出る時があって悪いサイトではないのだが昨今は真贋判定が面倒という
PuTTYにしても7-zipにしてもググると一番上に正しい公式サイトがちゃんとでてくるんよね。なんだかんだでググって一番上にあるのを選べばいいって言えるぐらいにはしっかりしてる。
一番ダサいサイトが本物とか言われてて笑った
putty[.]org は最近トップページが凄いことになってすごい