KeePassXCのDebianメンテナー、すべてのネットワーク機能を削除

 (fosstodon.org)
1 ポイント 投稿者 GN⁺ 2024-05-12 | 1件のコメント | WhatsAppで共有

DebianのKeePassXCパッケージで機能削除をめぐる論争

  • DebianのKeePassXCパッケージメンテナーが、一方的にパッケージから各種機能を削除することを決定。
  • Debian sidでは標準のkeepassxcパッケージが、ネットワーク機能、SSHエージェント、ブラウザープラグイン、freedesktop.orgシークレットストレージなどの機能を除いた最小構成のみを含むようになる。
  • これらの機能が必要な場合は、keepassxc-fullパッケージに切り替える必要がある。

機能削除の理由をめぐる論争

  • Debianのバグレポートでは、理由としてセキュリティ問題が挙げられている。
  • しかしKeePassXCチームは、ネットワーク機能だけでなくYubiKeyサポート、自動入力、ブラウザー連携など、ほぼすべての機能を削除したのは行き過ぎだという立場。
  • 機能削除は脆弱性を減らすどころか、ユーザーが必要とする機能を奪っているだけだという意見もある。

Debianの立場と反応

  • Debianは、未使用コードや不要な機能を削除することが、liblzmaの侵害事件以降のセキュリティ対策として最善だという立場を示している。
  • しかし、KeePassXCチームと事前協議なしに一方的に決定したことについて批判を受けている。
  • ユーザーの混乱を最小限に抑えるため、keepassxcをkeepassxc-fullへ移行させるtransitionalパッケージを提供する予定としている。

GN⁺の見解

  • セキュリティのために不要な機能を削除すること自体は悪くないが、パッケージ名を変えずに既存ユーザーが使っていた機能を突然削除するのは望ましいやり方ではない。
  • Debianのようなディストリビューションでパッケージ方針を変更する際は、できるだけアップストリーム開発者と協議し、ユーザーが受ける混乱を最小限にするよう努めるべきだ。
  • 完全な機能を含むパッケージと最小限のパッケージを分けて提供しつつ、名前を明確に区別してユーザーが選択できるようにするのが望ましい。
  • 他のパスワードマネージャーを探すのも一つの方法だが、KeePassXCにより積極的に貢献し協力して問題改善に取り組むことも重要だ。
  • 自由ソフトウェアだからといってパッケージメンテナーが好き勝手にできるというより、ユーザーと開発者コミュニティの意見を尊重し、透明性のあるコミュニケーションに努めるべきだ。

関連記事

1件のコメント

 
GN⁺ 2024-05-12
Hacker Newsの意見

Hacker Newsコメント要約

1. アップストリームプロジェクトの機能を削除し、同じ名前で配布することへの懸念

  • アップストリームプロジェクトで実装された機能を削除したうえで同じ名前で配布するのは、問題を招くおそれがある
  • そうするのであれば、フォークして別の名前で配布すべきだ
  • 過去に Debian の Chromium パッケージメンテナーが、任意に拡張機能のインストールを無効化していた事例への言及

2. セキュリティの観点からネットワーク機能の削除は合理的だという意見

  • パスワードマネージャーにおけるネットワーク機能とブラウザー統合は、潜在的な脆弱性になり得る
  • ネットワーク関連機能なしで信頼できるデータベースだけを使えば、脆弱性が見つかっても悪用は不可能だ
  • ネットワーク機能を含む完全版パッケージも Debian に存在するため、望むユーザーは keepassxc-full をインストールできる
  • ただし、アップストリームを「ひどい」と呼ぶのは生産的ではなく、keepassxc-litekeepassxc-full のほうが適切なパッケージ名かもしれない

3. 「full」版と「minimal」版の両方をパッケージ化するのが正しい選択だという意見

  • 2つのバージョン間に Conflicts 関係を定義し、Provides と Replaces タグを活用して、ユーザーが選択できるようにすべきだ
  • これが明白な選択肢でない理由について疑問が呈されている

4. Arch Linux で、ユーザーの同意なしに passim パッケージへの依存を強制する問題提起

  • fwupd パッケージが、ユーザーの同意なしに passim に依存するよう設定されている
  • passim は 0.0.0.0:27500 で Web サーバーを動かし、脆弱性の多い GnuTLS を使用している
  • このような設定は悪用される可能性があり、懸念されている

5. 最小驚愕の原則に従い、文書化されたリスクがない限り中核機能を無効化すべきではないという意見

  • KeePassXC の機能は、ユーザーの明示的な介入なしには脆弱性の原因にならない
  • ブラウザー統合機能はクリップボードへのアクセスよりはるかに安全であり、プロジェクトのビジョンにも合致している
  • この変更によって恩恵を受けるユーザーはごく少数である一方、ブラウザー統合機能を使っている人には深刻な不便をもたらす

6. 既存ユーザーを壊さずに区別できるのだから、Debian パッケージメンテナーの誤った判断だという主張

  • ネットワーク機能のない KeePassXC を提供すること自体はよいが、ブラウザー統合をニッチ機能とみなすのは現実離れしている
  • Debian の KeePassXC ユーザーの半数以上が、今回の決定に驚かされるだろう
  • 最終的にはパッケージメンテナーの判断だが、よい判断ではない

7. KeePassXC メンテナーの意見の引用

  • 新しいパッケージ方式によって人々のワークフローが壊れたという報告を受けている
  • Yubikey 機能が削除され、データベースにアクセスできなくなったというユーザー事例もある
  • 最も重要な秘密へのアクセスを失った人は、動揺した瞬間に非合理的な行動を取ることがある

8. アップストリームプロジェクトの意図と異なる形でパッケージを変更するなら、別名で配布すべきだという意見

  • ダウンストリームメンテナーがパッケージを変更する場合は、別の名前で配布し、その修正版によるすべてのバグ報告に対応すべきだ

9. 最新の議論は GitHub issue で確認できるという案内

10. タイトルが誤っているという指摘

  • 元の投稿では、ネットワーク機能だけでなくすべての機能が削除されたと述べており、これは事実だ
  • オフライン機能を含むすべてのオプション機能が、ビルド時に無効化される設定になっていた