- ベストアンサー
IceweaselとIcedoveのセキュリティに関する疑問
- IceweaselとIcedoveがFirefoxとThunderbirdよりもセキュリティ面で劣っているのか調査しました。
- IceweaselとIcedoveは商標の問題でDebianで採用されていますが、アップデートが遅れるためセキュリティ面ではユーザーが心配する必要があるかもしれません。
- Mozillaが提供するFirefoxのアップデートはセキュリティの検証が行われており、ユーザーはアップデートを適用することでセキュリティの心配がなくなります。しかし、DebianのIceweaselはnon-freeサービスのためセキュリティサポートが対象外となっています。
- Linux系OS
- 回答数4
- ありがとう数8
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
ご提示のページに、「Debian OSはリリース後に提供ソフトウェアのバージョンを上げず、問題が発覚した場合はソースコードに最小限の修正を加える形のメンテナンスが行われる。」 と、あるのは、stable版は、「安定第一」だからです。 「エラッタ・セキュリティ対策は、随時行われるのですが、メジャーアップデートはかかりません。」 そういう事です。 よって、安心してご利用いただけます。 各ディストロは、それぞれ個性的な味付けが為されているため、バイナリ生成のお約束や、参照すべき場所が違ったりすることも有ります。 標準仕様でゴリ押しすると、それが元で、何かしらの不具合が出てしまう事があるワケです。 debianで最新を追いかけるのは、sidの役割ですので、覚えておいてください。 >non-freeサービスはセキュリティサポートの対象外 これは、プロジェクトのメンテナが自由に触れない事を意味します。 現在、パッケージは、生成済みバイナリで提供されるのが主流ですので、メンテナが自由に触れないパッケージは、修正も遅れてしまう事が考えられますし、何よりも、弄れないモノのサポートなど論外です。(「文句は提供元に。」と、云う事です。)
その他の回答 (3)
- A1200hd40
- ベストアンサー率51% (336/647)
>Mozillaがディストリビュータに提供するアップデートをそのままの形でユーザーに配布しているでしょうから これは、各ディストロの方針によると思われます。 ちなみに、自分が日常利用しているOpenSuSEでは、「Firefoxについて」に、「OpenSuse向け」であることが明示されていますし、さらに、独自のプラグインが、デフォルトで入っています。 mozillaのソフトウェアは、単独でアップデートが出来たりしますが、「カスタマイズ版をリポジトリに持っている場合」、OpenSuSE同様に、その機能はカットされるでしょう。(不安定要因になる可能性が出ます。) >Mozillaのソフト 基本的にオープンソースなので、監視している母数が違います。 これを狙うのは、衆人監視の元、公開されている物件で、「空き巣」を狙う様なものです。 臨機応変にパッチは提供されていますし。 それに、デスクトップ利用されてるLinuxを狙うのは、ワリに合わないでしょう。 >Epiphany,Midori 個人的には、「デスクトップ環境に統合された」ブラウザは、可能な限り、外部乗り入れさせない様にしています。 「IE的なモノを使いたく無い」と、いうだけですが。 (抑えるツボが違うのは、解ってはいるのですが、気分が良くないのです。)
お礼
ご好意に甘えて お忙しい中をだいぶお付き合いさせてしまいましたようで 申し訳ありません。 LinuxMintでも Firefox 25.0 Mozzila Firefox for Linux Mint mint - 1.0 と書いてあります。 他のディストリビューションが Debianのように別名称を使うことなく FireFoxの名称を使用することを許されているということは 古いバージョンでなく最新のバージョンを少し加工した程度ということでしょうね。 加工したソースコードもMozillaに提出した上で。 おかげさまで今回の問題の周辺のことにまで理解が深まり、 本当にありがとうございました。
- A1200hd40
- ベストアンサー率51% (336/647)
パッケージがバイナリで供給されるようになっているのは、おそらく、ファイルサイズの問題です。 日本は、高速回線が定額で利用出来るサービスが主流ですが、海外では、従量制サービスの利用者も結構居たりするのです。 そんなワケで、時間と費用と容量の節約のため、バイナリで供給されるようになって来ているのでしょう。 ソースだと、150メガバイト程度のサイズのfirefox25の場合、バイナリサイズでは、33メガバイト程度で済んでしまいますから。 >FireFoxのケースではMozillaがDebianにはコンパイル済みのものしか渡したくないでしょうが、一般にはソフト開発陣はソースコードのみを提供して これは、むしろ逆で、Debian側が、前回回答の中で記述した理由から、Mozilla側の条件を突っぱねているためです。 Debianは、企業体のバックボーンを持ちません。 ですから、人的リソースも、経済的リソースも限られています。 その中で社会責任を果たすため、次を見据える開発をしながらも、セキュリティサポートをしなければなりません。 「有効」なサポートを、「楽に」出来るようにしたい思惑がある他に、権利関係のゴタゴタや、外部との承認手続きなどの煩雑なやりとりに患わされたく無いのでしょう。 本来が草の根的なプロジェクトですから。
お礼
ご回答ありがとうございます。 おかげさまで全体像がだいぶ呑み込めてきました。 ただ、考えを整理しているとひとつ気になったことがあります。 他のディストリビューションにおいては どれもFireFoxの名称のブラウザが搭載されているようです。 このことから考えるとDebianのケースとは違い Mozillaがディストリビュータに提供するアップデートをそのままの形でユーザーに配布しているでしょうから、 そのディストリビューションとの整合性の問題から セキュリティ的にセキュアでない部分が発生していたりする、 ということはありえるのでしょうか? しかし、元々気がかりだったことは Iceweasel,Icedoveでもセキュリティ面の心配がないかどうかでしたので、 シェアの高いMozillaのソフトはそれだけ狙われやすいでしょうから、 Epiphany,Midori,Sylpheedなどのソフトを使うとこを考えるのもいいかもしれません。
- ya9pon
- ベストアンサー率34% (88/254)
Debianの中の人が独自にFirefoxのソースからビルドしてるんだろうから、時間差はできるだろうねみたいな。セキュリティーも後追いになると思う。 もちろん、その辺はMozillaの関知するところではない。
お礼
ご回答ありがとうございます。 すみません、まだよく分からないです。 実際には IceweaselはDebianの人たちが Firefoxのバージョンを上げないまま ソースからビルドしてるようですが、 そうではなく初期の案のように 「non-free」と呼ばれる非公式サービスの中でFirefoxを提供した場合は、 Mozillaが流すアップデートをそのままレポジトリに置けばいいはずなので、 Debianがセキュリティサポートを保証できない、 というのが意味が分からないです。 それとも 「non-free」の中でFirefoxを提供した場合は 全くユーザーにアップデートパッチを流せなくなるということなのでしょうか?
お礼
ご回答ありがとうございます。 おかげさまで、だいぶ分かってまいりました。ただ、 > 現在、パッケージは、生成済みバイナリで提供される という慣習はなぜそのようにするのかよく分からないです。 FireFoxのケースではMozillaがDebianにはコンパイル済みのものしか渡したくないでしょうが、 一般にはソフト開発陣はソースコードのみを提供して ディストリビューションに合わせたコンパイルは ディストリビュータに任せた方が良さそうな気がするのですが・・・・・