5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

オープンソースはすべてのセキュリティ原則に反する

1 :login:Penguin:04/05/01 12:16 ID:qcUhVQN1
Linuxの普及発展には大いに期待してるし、
サーバ用途に無くてはならない選択肢だと思うけど

 オダウド氏の言葉で特に説得力があったのは、Linux支持者の「Linuxはソースコードがオープンであるため、
セキュリティは保証されており、Linuxを監視する“大勢の目”が迅速に問題を発見する」という主張を打破したときのものだった。

 (Linuxに大きな影響を与えた)UNIXを最初に開発したトンプソン氏が、この主張が真実でないことを証明していると
オダウド氏は語った。トンプソン氏はUNIXのバイナリコードに、すべてのUNIXシステムに自動的に同氏のユーザー名と
パスワードを付加するバックドアを埋め込んだ。

 トンプソン氏は14年後にその秘密を明かしたときに、こう宣言したという。「これから得られる教訓は明白だ。
自分で作ったものでないコードは信用できないということだ。ソースレベルの検証や監視をどれだけ行っても、
信用できないコードから身を守ることはできない」

 「Linux開発者が生まれる前に、ケン・トンプソン氏は既に“大勢の目”でソースコードを監視しても問題を防げないことを
証明していた」とオダウド氏。


http://www.itmedia.co.jp/enterprise/0404/14/epi04.html
http://www.itmedia.co.jp/news/articles/0404/30/news023.html

↑これ読む限りでは、もちろん自社OSを売り込むのに他のOSの
貶める目的はあるだろうけど、確かに軍事目的や住基ネット、医療関係等の
サーバにLinuxを使う場合、十分に検討して欲しいと思うのだがどうなんでしょ?

2 :login:Penguin:04/05/01 12:20 ID:9D5DaZNA
大勢の目でソースコードが監視されているというのが間違い。
大多数はソースなんて見てないし、ソースを見ているほとんどの奴も全てソースコードを見ない。
マイナーなソフトウェアなんて、誰もソース見ないだろう。

3 :login:Penguin:04/05/01 13:21 ID:3drheYYq
>>1
> ↑これ読む限りでは、もちろん自社OSを売り込むのに他のOSの
> 貶める目的はあるだろうけど、確かに軍事目的や住基ネット、医療関係等の
> サーバにLinuxを使う場合、十分に検討して欲しいと思うのだがどうなんでしょ?

ソースをオープンにしていても悪意のあるコードを発見できない可能性があると。
ならば、ましてや他人が作ったクローズドソースなシステムなんて怖くて使えないね。

4 :login:Penguin:04/05/01 13:29 ID:rtoVXM1H
たしかに危険なコードのコミットは100%避けられないかもしれないが、
問題が見付かった時の対処はオープンなプロジェクトのほうがユーザーにとっては有利だと思う。
「仕様です」で逃げられないからな。


5 :login:Penguin:04/05/01 13:35 ID:MV3vi1L4
この組込み野郎は、Linuxの最新のコードが
何のチェックも無しにそのまま使われると思い込んでるのか?

そんなん使って欲しくねー

6 :login:Penguin:04/05/01 14:14 ID:qcUhVQN1
賛同するかどうかは別として、

>>1の記事で問題としてるのは、大勢が監視しても危険なコードを
オミット仕切れない事よりも、悪意ある開発者が悪意あるコードを
コミットする為に潜り込むことが容易な事なんじゃないの?


7 :login:Penguin:04/05/01 14:35 ID:wBlslaH/
しかし、このような問題の指摘で見逃してはならないことは、

全く同じことが、すべてのソフトウエアについていえる

ということなんだがなあ…

8 :login:Penguin:04/05/01 14:36 ID:ixvhwdud
>>1
そいつの書いたコードは他人にとって自分で作ったものでないコードだから
信用できないという結論でよろしいですか? と某memoで速攻で突っ込まれてたな

9 :login:Penguin:04/05/01 14:43 ID:t3BRGBSm
>>7
ソースが公開されているだけ、まだましということですね

10 :login:Penguin:04/05/01 15:03 ID:3drheYYq
つーか、kenが例のバックドア仕掛けた時には牧歌的時代だったからなあ。
セキュリティのためのレビューという概念自体、ほとんど無かったのでは?


11 :login:Penguin:04/05/01 18:37 ID:kXfEne7X
クローズドなシステムの方が違う意味で恐い。
アップデートと称してネット経由でユーザのプライベート情報を
盗みみているかもしれないから。いわゆるスパイウェア。
「ユーザの個人情報は送信してません」って言ってるけどそんなのわかんないよね。
もしかしたら、プライベートな個人情報を情報収集してデータベースに入れて管理しているかもよ。

12 :login:Penguin:04/05/01 21:05 ID:7wy78ICs
クローズドだとかオープンだとか言っても、
全てのソースの内容を完全に理解している者でもいて、定期的に
全ソースをチェックしてるって確証でも無いと、
信用できるできないって話じゃ、オープンソースがセキュリティに於いて
クローズドより安全性が高いって根拠としては弱くない?

カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?




13 :login:Penguin:04/05/01 21:20 ID:B7cswmMR
>カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
>全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?

だから、商用ディストリビューションの出番があるわけで…

14 :login:Penguin:04/05/01 22:02 ID:5yRvKeNQ
またMS社員か

15 :login:Penguin:04/05/02 01:20 ID:q2bFTA8Y
>>5
いえ、カーネルなど新たに投稿されたコードは時間をかけて検証した後に取り入れられてますが。
投稿されたコード全てがそっくりそのまま取入れられるわけではありません。

16 :login:Penguin:04/05/02 11:13 ID:9+x35+aS
煽りとしても弱い記事だった、つーことでFA?

17 :login:Penguin:04/05/02 16:50 ID:LSfxN8F4
>クローズドだとかオープンだとか言っても、
>全てのソースの内容を完全に理解している者でもいて、定期的に
>全ソースをチェックしてるって確証でも無いと、
>信用できるできないって話じゃ、オープンソースがセキュリティに於いて
>クローズドより安全性が高いって根拠としては弱くない?

>カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
>全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?

何故、「クローズドに関わっている開発者が全て善意の人だ」と言い切れるのか?

18 :login:Penguin:04/05/03 22:19 ID:w6/IMe+V
でも、この例が示しているのは、むしろ「全てのコードを一つの組織(AT&T)が開発した際に
はこのような問題が生じる可能性がある」ということじゃないかな?

最近の Linux では、コンパイラもカーネルもユーザ認証回りも別々のグループが開発
しているから、こういう複数の領域にまたがる手の込んだ backdoor は用意できないと
思うが。

まぁ、セキュリティは鎖みたいなもので、一番弱いところから破れるものだから、
カーネルがいくら頑張ってもアプリ側の方が危険な気はするが。。



19 :login:Penguin:04/05/20 15:05 ID:WWYnnNvB
誘導

Linux板ニュース速報2
http://pc5.2ch.net/test/read.cgi/linux/1064136308/

20 :login:Penguin:04/05/25 15:05 ID:e8NqS93C
>>1
ソースじゃなくて、バイナリにしかけた、という話だよな。
バイナリのしかけは、ソース見たって、発見できるはずが無いよな。

14年間も同じバイナリコードを使ってたのか!
クローズドだったら、古いバイナリを、いつまでも使い続けるという事は有り得るが、
Linux じゃ、考えられない事だよな。


21 :login:Penguin:04/05/25 15:12 ID:lEAEZxYR
ずれるけど教えて
イースターエッグってちゃんと仕様書があるんでしょ


22 :login:Penguin:04/05/25 15:37 ID:3o2VJsWK
> 自分で作ったものでない
> コードは信用できない
自分で作ったものでない
"バイナリ"コードは信用できない



> 信用できないコードから身を守ることはできない
信用できない"バイナリ"コードから身を守ることはできない


23 :login:Penguin:04/05/25 18:07 ID:vYHHWWnu
ソースが公開されてても防げないという事は、公開されてないのは
問題外だということだね。

24 :login:Penguin:04/05/25 18:10 ID:vYHHWWnu
>>1のソースのどこに「オープンソースはすべてのセキュリティ原則に反する」
なんてあるんだよ?あんまり厚かましい事してると益々嫌われるよ>ms


25 :login:Penguin:04/05/25 18:18 ID:vYHHWWnu
よく見たら書いてあったわ、わははは
オダウドってRTOS屋か、そりゃ必死だわな。

26 :login:Penguin:04/05/25 18:37 ID:lm6XEoRB
また織田無道か

27 :login:Penguin:04/05/25 21:36 ID:6ioCbtxC
ケン・トンプソンUNIXにバックドアを埋め込んでたってのは、ほんとの話なの?
ぐぐった範囲では、裏とれなかったんだけど。

28 :login:Penguin:04/05/26 10:04 ID:0uzzhnvu
中国政府は、Windowsとかに仕掛けがされるのが怖いから、
オープンソースプロダクトにしたって話だしな。

29 :login:Penguin:04/05/26 10:58 ID:b0nZR/cv
>>27
ttp://www.acm.org/classics/sep95/
Stage IIIのあたり。

30 :sage:04/05/26 14:10 ID:/ARgxT/8
>>27

1 はデマ。オープンソースのUNIXなら
ソースからコンパイルしているからバイナリだけに
長期間なにかを挟み込むことはできない。

もしUNIXできたとしたらクローズドのUNIXのみ。
SCOがもっているやつとかね。

31 :sage:04/05/26 14:15 ID:/ARgxT/8
>>29

Linuxのようにコンパイラーもオープンソースなら
その話しは無理じゃないの。

32 :sage:04/05/26 14:21 ID:/ARgxT/8
トンプソンの方法はクローズでもできるものだろう。

しかもクローズなものに生込んでいれば「さらに」
ばれにくいことは確実。

結局、トンプソンも詐欺師。最近詐欺師ばかりが
大手をふっているアメリカならではだな。

33 :29:04/05/26 14:26 ID:b0nZR/cv
>>31
KenのACM受賞記念講演のその部分の主旨は、
「そういうバックドアを生成するコードをコンパイラに仕込んでも
結局誰も気付かなかった。」
ということ。

もちろん、当時のアカデミア的な土壌では、UNIXにそのようなモノを
仕掛けるなんてほとんどの人は夢にも思わなかったという事情もある。

しかし、Kenはまた、プロセッサのマイクロコードに仕掛けておけば
もっと発見し難いだろうとも言っている。実際、今現在、IntelのCPUに
そのようなバックドアがあってもそれを発見することは事実上不可能であり、
ソフトウェアだけがオープンでもそれだけで十分というわけではない、
ということは言えると思う。

ただし、ソフトウェアまでクローズドになったほうが遥かにバックドアの危険が
増えることは当然のことだし、その意味でソフトウェアだけでもオープンにする
ことは重要だと思う。

34 :login:Penguin:04/05/26 20:57 ID:+nOXVTeK
「ソースが公開されているソフトウェアはセキュリティがやばい」
じゃなくて
「不特定多数の人間が開発に関わるソフトウェアはセキュリティがやばい」
ってことを言いたいのかな?>>1

35 :login:Penguin:04/05/26 21:49 ID:YqfR0BYj
>>34

でも、それだと ken のバックドアは反例にしかならないと思われ。


36 :login:Penguin:04/05/27 09:51 ID:X4Rygf+X
多分、全コードを検品してからシステムに使ってるのって、中国政府くらいだよな…

37 :login:Penguin:04/05/30 22:46 ID:GUNzKAHg
M$よりまし

スレ終了

38 :login:Penguin:04/05/30 22:46 ID:ejBvguiL
>>34
トンプソンは「ソースだけでなく、ソースを処理するコンパイラなどの開発環境のソース、それどころかバイナリコードを処理するプロセッサのマイクロコードのソースまでチェックしなければ、安心できない」と言ってるんだね。

で、トンプソンがトロイを仕込んだコンパイラのソースは公開されてたんだろうか?


39 :login:Penguin:04/05/31 02:06 ID:gpkyGkeX
つーかさ、京都府警かACCSあたりがkenをタイーホする動きとかあるんかね?
で、ACCSがkenに「一日一回、ネット上のバックドアを監視しなさい」とか
命令すんの。

40 :login:Penguin:04/07/13 02:48 ID:hBnpyr4p
コンパイラのバイナリに仕掛けがしてあって、そのコンパイラで
コンパイルしたバイナリにも自分と同じ仕掛けが遺伝するというもの。
その仕掛けは、ソースのある特定のパターンを認識して、バックドア
を含んだオブジェクトコードを生成する。
 これにより、ソースコードには含まれていない機能を、そのコンパイラ
のバイナリ由来で作られたコンパイラは、オブジェクトコードに埋め込む
ようにできる。
 もっと発見し難いのは、CPUが、通常のコンパイラが生成するのとは
異なるある特定の命令パターン列を実行するときだけに、仕掛けをされた
動作を行うようにCPUを設計するというもの。あるいはマイクロコードの
パッチ機能を使って、そのような機能を植え込むというものだ。
現在のインテルのCPUは内部には非公開のマイクロ命令相当が使われていて
x86命令列をそのようなマイクロ命令列に内部で変換してから実行している。
トランスメタのクルーソーも、そのような方法を取っている。
通常のコンパイラが吐き出さないようなx86命令の特殊な列にだけ、特殊な
動作をするようにマイクロプログラムが作られていたり、パッチを当てられて
いたりすると、機械語をいくら調べてみても、その悪意を発見できない
だろう。仮にCPU内部のレジスターを命令毎にトレースをとっても、背信
行為を発見出来なく作ることが可能。秘密の内部レジスタを設けておいて、
特殊な命令の並びとデータ−の状況の場合にだけ、
そのような秘密の内部レジスタにデータ−を隠したり、読み出せたりする
ようにしておくことで、OS内部の情報を非特権レベルのプログラムを用いて
盗み見したり、他のプロセスの情報を抜いたりすることが原理的には可能。

41 :login:Penguin:04/07/17 03:51 ID:wnzMIgyv
>>40
なかなか緻密でおもしろい論だが、そこまでレベルを下げるといくとあまりに
抽象的なデータの流れしかクラックできない訳でバックドアというような
高位の行為を仕掛けるというのは実際問題はかなり難易度が高い。
それならよっぽどネットワークチップそのものにバックドアを設けるという
行為の方が遥かに楽で確実であると考える。
ただし暗号化というアプリケーション層との連携を考えないと流れるデータは
盗めてもそれが何を意味しているかは不明でただの無意味な数字列でしかない。

コンパイラの遺伝的云々も技術的には可能だが、実際的、歴史的には非常に
難しいし効果があまりにも弱い。
これらはそもそも中枢の人間が悪さをしようと思えばなんとでもできるという
ことを示しているだけであって、セキュリティポリスの幹部が悪人であれば
すべての根拠がひっくりかえってしまう。(小説としてはおもしろいが)

オープンソースの抑止力は、それが公開されるという「恐怖」によって保たれる、
という説を私は推す。
誰かによって「見られるかもしれない」という可能性は犯罪行為の抑止力になる。
国家のIT化においてどっかのデストリのをそのまま使うというのはあまりにも
愚であるとは思う。それではWindowsをそのまま使うのと大差を感じない。
国家百年の計とまではいわずとも時間をかけてソースを読んで検証して
「自分のものにして」使っていって欲しいと思う。
ひとからのバイナリ配布が危険という>>1記事での指摘はもっともだと思うから。
それが可能だからオープンソースの意義があるしLinuxを採用する意義が有る。


42 :login:Penguin:04/07/17 07:15 ID:HhdDtO9W
この自演君は何をしたいのだろう?

43 :login:Penguin:04/07/17 07:45 ID:51cKrnpP
文体まったく一緒だもんなぁw

44 :素人:04/07/17 09:18 ID:HlvBZDX8
よくわかりませんが、やっぱり、この例は全然反例になってないのではないでしょうか。
昔は今とちがって、セキュリティーに関する意識は低かったし、
悪意のトラップドアがしかけてあることを想定したチェックがなされていたとは
思えません。

90年代の前半あたりからインターネットやユニックスを使ってますが、
当時は本当にのんびりとしたものでした。

この例はそれよりさらに昔ですよね?
そりゃあ、だれもチェックしませんよ。

45 :login:Penguin:04/07/17 09:41 ID:0qqvJozK
銀行とかのシステムではテスタが仕事をしているかどうかをチェックするため
コーディング段階で意図的にバックドアやバグを仕込む。
そして実際にテストで100%混入したバックドアは潰される。
だからオープンが駄目なようにクローズドもまた駄目。
という論法は成り立たないな。
>>1から導き出せるのはオープンソースは危険。
ということだけ。

46 :login:Penguin:04/07/17 09:56 ID:EwaW8oB4
>昔は今とちがって、セキュリティーに関する意識は低かったし、

昔はそうかも知れないが、バックドアを暴露する直前でも(つい最近でも)バレてなかったことを考えると相当ヤバイ
「セキュリティ意識の低かった頃にチェックしたソースでも再チェックしない」ということになる

>そりゃあ、だれもチェックしませんよ。

そして未だに誰も再チェックしてませんよ


47 :login:Penguin:04/07/17 18:21 ID:t4apxsTc
俺たちテスターなの?

48 :login:Penguin:04/07/17 19:06 ID:HhdDtO9W
>>46
つーか、例のコードは発表当時まだ現役で生き残ってたのか?
あの手法だと新アーキテクチャには転生できねーよな?

49 :login:Penguin:04/07/18 08:16 ID:XBx5BkJF
オダウト氏の原文はどうだったんだろう、
1の中でトンプソンの発言とされる
| 自分で作ったものでないコードは信用できないということだ。ソースレベルの
| 検証や監視をどれだけ行っても、信用できないコードから身を守ることはできない。
は、トンプソンの原文にあったかっこ書きが欠落してるね。もとは、
| 自分で作ったものでないコードは信用できないということだ
| (私のような人間を雇った企業製のコードならなおさらである)。
| ソースレベルの....
といっていて、
すべてオープンソースでシステムを作る
ことが、これに対する解の一つだと思われるのに。
他人の文の一部分を削除して引用して、逆の意味にもってくるのは、どうかと思う。


50 :login:Penguin:04/10/07 11:10:49 ID:gs4kF/z8
原則とかどうでも良いだろう。


現実は、クローズドの方が、オープンソースに負けてるからな。

51 :login:Penguin:04/10/09 00:04:58 ID:BENgKIN4
トンプソン氏は(自宅の)UNIXのバイナリコードに、すべてのUNIXシステムに自動的に同氏のユーザー名と
パスワードを付加するバックドアを埋め込んだ。
(そのパソコンは自宅で誰にも触られないように自宅で電源も入れずに保管した)

 トンプソン氏は14年後にその秘密を明かしたときに、こう宣言したという。「これから得られる教訓は明白だ。
自分で作ったものでないコードは信用できないということだ。ソースレベルの検証や監視をどれだけ行っても、
信用できないコードから身を守ることはできない」

 「Linux開発者が生まれる前に、ケン・トンプソン氏は既に“大勢の目”でソースコードを監視しても問題を防げないことを
証明していた」とオダウド氏。

52 :login:Penguin:04/10/09 16:47:27 ID:hQrQx5Mz
>>現実は、クローズドの方が、オープンソースに負けてるからな。

と、こういう輩は、発言の論理性が無い。
バグが見つかる数と、脅威が現実になることには関連性がない。
バグはオープンソースもそうではないものも同じだけ見つかっている。
とりあえずbugtraqを見てから判断しろ。
英語が苦手ならセキュリティホールmemo。
つまり、どれだけ人の目をひきつける製品かということが要素である。

脅威は、実際にどれだけの人が使っているかと、その深刻度にある。
危険を冒して犯罪をおこなうわけだから、誰も使っていないものに努力はしない。
また、数が少なくても、Linuxのソースサーバへの侵入など致命的な攻撃が可能であれば
脅威は現実になるわけだ。

結果的に、どっちもどっちであり、より信用できるほうを採用すべき。

53 :login:Penguin:04/10/09 16:47:50 ID:PTDXGfmn
自宅で勝手に作って、誰の目にも触れないように保管してたら、
大勢の目で監視してることにはならんと思うんだが。

54 :login:Penguin:04/10/09 17:35:52 ID:S8PRrKm5
>>52
> バグはオープンソースもそうではないものも同じだけ見つかっている。

ソースキボン。

> とりあえずbugtraqを見てから判断しろ。

プロプラソフトのバグはどう判断する?

55 :login:Penguin:04/10/09 19:33:47 ID:hQrQx5Mz
>>53
多くのフリーソフトのように、一人で開発しているのであれば多くの目はないだろう。
しかも着目されていないソフトウェアであれば、多くの目など期待できない。
人気が無ければ、貢献もな。
もし大勢で開発をしていたら?最低でも給料分は目がある。もし人気があって、
ソースが無くても動作が不正であれば現象を調査したり、シンボルだけでデバッグ
したりする人間がいれば?
さらにその作業によりビジネスにできるのであれば?
これを読んで理解できなければ、意見する資格は無い。

>>54
bugtraqを見てわかるだろうが、どのようなソフトであっても、
bugtraq には現象がレポートされている。セキュリティに限るが。
(ちゃんとディストリのパッケージに含まれるアプリ分をすべて足してみろ)
もしも範囲を広げて通常のバグでを考えたとしても、同じではないか?
Linuxのアップデートでエンバグするのは当たり前の状況であるのは、
Linuxのユーザーで、バグレポートを追っていればわかるだろう。
もしもそれらの事情を知らないのであれば、まずは情報を入手して判断しろ。
独自のソフトはそれらの情報が公開されたものに限られるが、Sunのように
Webで顧客からの問い合わせの内容が閲覧できたり、MSのように大量な情報として
公開されているものもある。

私はそこそこの企業のシステムを診ているが、複数のベンダーを扱っているため
部門ではこういった話になれている。MSのサポートなどは、バグが見つかれば
公開情報を作成するよう圧力をかければ済むこと。
そういった圧力もかけられない団体の製品は、社内に使用するのを遠慮させている。


56 :ジョンマクレーン:04/10/09 21:59:42 ID:ge7RMYQK
あーん。リナックスは、発展しないよ。
理由はあきらかだ。鵜員動図のアプリがいかに多く優秀かが答えだ。

なぜ、感染していかないか?
つまり裏をかえせば感染力が弱いといっているわけだ。
そしてつまり人気がないということである

人気がない?うんそうだ。君と君の仲間だけの大切なものなだけだ。
まあ、msnあたりの庶民チャトでリナックスってしってる?
と今すぐきいてみな。しらなーいっていわれて終りだ。

アホまで浸透したことが鵜員の偉大なところってこと。
そろそろ諸君も気がつかないとな。次の鵜員のオーエスで
完全に撃チンだな。




57 :login:Penguin:04/10/10 00:47:43 ID:Ck3i07o4
統合失調症の方のカキコって
どんなものかわかりました。

58 :login:Penguin:04/10/10 01:08:54 ID:GzPrMxdI
>>55
ああ、危険なオープンソースって、誰も使わない人気のないアプリのことだったのね。
納得。

59 :login:Penguin:04/10/10 01:28:06 ID:LyjmDfYT
>>55
レポートされたバグ報告が全て見られるbugtraqと、
企業が選んで公開するプロプラのバグ情報と、
どうして同じ基準で見ることができるのか、
全く謎だ。

60 :login:Penguin:04/10/10 03:20:09 ID:dK0cuuDG
>>55
>公開情報を作成するよう圧力をかければ済むこと。
「圧力」ってどんなことするんですか?
フリーソフトウェアの場合
不具合は能力があれば自社で修正することが可能ですが
独占的ソフトにはその手段はあなたのおっしゃる「圧力」しかありませんよね


61 :login:Penguin:04/10/10 06:30:03 ID:7KiaMK71
命令セットが公開されているCPUは、セキュリティ原則に反する。

62 :login:Penguin:04/10/10 07:29:15 ID:pfF+5kys
最近JPEGに深刻なセキュリティーホールになるバグがあったのを考えれば
ソースが公開されていても誰も気づけないのは明らか。
JPEGのコードなんて何年前からか、わからないぐらいから公開されている。

で、わざとセキュリティーホールになるバグを埋め込まれたらどうしようもないわけで、
特にオープンソース系は不特定多数の開発者が参加しているぶん
悪意ある開発者が参加しやすい=オープンソースは危険だと思うよ。^^。


63 :login:Penguin:04/10/10 07:48:42 ID:urZqFcro
1行目から釣りか

64 :login:Penguin:04/10/10 10:57:18 ID:LyjmDfYT
>>55
> MSのサポートなどは、バグが見つかれば公開情報を作成するよう圧力をかければ済むこと。
> そういった圧力もかけられない団体の製品は、社内に使用するのを遠慮させている。

日本語訳:
「俺様はMSに圧力かけて公開情報を作成させられるほどの大物だぞ。
がはははは。」


65 :login:Penguin:04/10/10 11:26:09 ID:YKX2SraX
>>55
>MSのサポートなどは、バグが見つかれば
>公開情報を作成するよう圧力をかければ済むこと。

あの世界はバグが見つかっても黙っておくことでなりたっている。
あんた何者かしらんがそのうちビルゲイツに頃されるよ

66 :login:Penguin:04/10/11 07:50:37 ID:HfQmKbAK
見つかるバグやトラップは氷山の一角に過ぎない。

また、あるバージョンのソースが皆によって、あるいはあなたによって検証
されてパスしたとしても、ネットからダウンロードする度に同一であるか
ということを毎回厳密にやらなかったりするところに盲点がある。
OSに仕掛けをしてよければ、ファイルサイズやシグネチャ−、ハッシュ値
diff をかけるなども、検査するときには正常だが、コンパイルする際、
あるいはコンパイラが出すコードに仕掛けがされるかもしれない。また
正常なバイナリをローダーが実行時にロードするときに、書き換えるかも
しれない。。。。。
演算回路も特定の入力パターンの時だけ、正常ではない結果を出すように
設計することは難しくない。パイプライン制御や裏レジスタをつかう
リネーミングなどの制御も、悪意を持った設計をされると危険。

67 :login:Penguin:04/10/11 08:40:21 ID:WsevHVwB
>>66
> あるいはコンパイラが出すコードに仕掛けがされるかもしれない。また
> 正常なバイナリをローダーが実行時にロードするときに、書き換えるかも
> しれない。。。。。
> 演算回路も特定の入力パターンの時だけ、正常ではない結果を出すように
> 設計することは難しくない。パイプライン制御や裏レジスタをつかう
> リネーミングなどの制御も、悪意を持った設計をされると危険。

だからこそ、できるかぎり広い範囲で「見通しのきく」環境が必要。


68 :ジョンマクレーン:04/10/11 11:25:14 ID:bAV6Ifyn
リナックス・・やってるなんざ
暗いっていいたいわけよ。

おまえらこのオーエスいかに使いずらいか
まだわからんのか?

このチンパンG野郎!

69 :login:Penguin:04/10/11 18:37:20 ID:tGLHT5u1
良く、オープンソースプロダクトはしょっちゅう深刻な脆弱性が見つかるからクソだというが、
殆どの場合が悪用される前に、これって使い方によって危険じゃないの?と言うことで発見されてる。
悪用されてから初めて気がつく某社のプロダクトの脆弱とは違うんじゃないかな?

70 :login:Penguin:04/10/11 19:06:03 ID:TT3FhM7g
>>66
見通しの効く環境は抑止の効果にもなっていると思う
変なコードを入れようものなら...
一方で独占的ソフトでは何をやられてるか分からない
気になったんですけどソース公開されてるソフトでスパイウェアってありましたっけ?


71 :login:Penguin:04/10/11 20:32:54 ID:mVPXGO65
>>69
>殆どの場合が悪用される前に、これって使い方によって危険じゃないの?と言うことで発見されてる。

仮にそのパターンが、悪意ある開発者が意図的に作ろうとして他の開発者に指摘されたとしよう。
次はもっと上手く込みこもうと悪意ある開発者は思うんじゃないか?

はっきり言ってLinuxってサーバーサイドで使われるから、
そういう悪意ある開発者が参加してくる危険性は否定できない。
例え針で開けたような誰も気付かない小さな穴でも自分であけた穴なら簡単に侵入できる。
しかもLinuxサーバー全てに進入できるなんて事になると、こんな美味すぎる話はないだろう。


72 :login:Penguin:04/10/11 20:34:33 ID:qUoxFA+L
CVSのデータ破壊されまくり事件とかあったな

73 :login:Penguin:04/10/11 20:58:55 ID:GQTLh/q2
「バグフィクス版」と「そのひとつ前のバージョン」を比較して脆弱性のある部分を特定し、
アップデート前のサーバが狙われたこともあったねぇ。

74 :login:Penguin:04/10/11 21:15:43 ID:dVqoLdcx
>>71
そらクローズドソースでも同じ事だろ。

そういう悪意ある開発者が開発グループに参加してくる危険性は否定できない。
もっと言えば会社公認でやられる危険性も否定できない。

75 :login:Penguin:04/10/11 23:27:30 ID:3X119rah
>>71
>>49

76 :login:Penguin:04/10/11 23:31:21 ID:mVPXGO65
>>74

漏れが言ってるのは開発に参加できるオープンソースの話。
参加できないオープンソースなら話は違ってくるわけだが・・・
いちをオープンソースの定義を調べたら漏れが間違ってるわけで・・
正直すまんかった。


77 :login:Penguin:04/10/12 01:46:08 ID:KBY1IBTI
>>76
> 漏れが言ってるのは開発に参加できるオープンソースの話。
> 参加できないオープンソースなら話は違ってくるわけだが・・・

どういう基準で参加できる/参加できないんだ?
どんなオープンソースでもパッチを送ることは可能だ。その意味では開発に参加できる。
一方で、cvsコミット権をanonymousに与えているプロジェクトなど聞いたこともない。
不特定多数が直接コードをコミットできるプロジェクトなど事実上存在しない。

現実のオープンソースは「比較的少数のコアメンバーと不特定多数のユーザー」から
成り立っている。

78 :login:Penguin:04/10/12 06:47:16 ID:XC0nJnjz
1の言いたい事はわかる。

だが、では何ならば信じられる?
自分が作ったソフトウェア以外は全て、Linuxと同様に
信じられないことにならないか?

オープンソースがセキュリティ的に優れているという言葉をそのまま
信用しているわけではないが、MSの社員やAppleの社員なら、
必ずしも信用できるかというと、おれはどっちも同じようなものだと思う。

79 :login:Penguin:04/10/12 06:51:30 ID:0vstLbsI
信じられるのは、自分だけ。
以上。

80 :login:Penguin:04/10/14 01:29:49 ID:kjOmnX/E
信じるものは、足をすくわれる。

81 :login:Penguin:04/10/14 06:27:40 ID:hxG9Eraz
コードを読んでセキュリティーホールが見つかるコードは駄目なんだよ。

82 :login:Penguin:04/10/14 06:46:52 ID:6rxMk6pA
>>81
読んでもセキュリティーホールを見つけようがないコードよりは遥かにマシだけどな。


83 :login:Penguin:04/10/15 01:58:23 ID:jHOSUd26
圧力に関して反応してる子供たちへ。
社会に出れば分かるが、ベンダーを顎で動かせるぐらいじゃないと、
いい仕事は出来ないな。
もし社会人で社会のパワーゲームが分からなければ、まあ、先行き無いぞ。
MSくらいうまく使え。

84 :login:Penguin:04/10/15 02:00:09 ID:jHOSUd26
>レポートされたバグ報告が全て見られるbugtraqと、
>企業が選んで公開するプロプラのバグ情報と、
>どうして同じ基準で見ることができるのか、
>全く謎だ。

まずはサイトを見てからモノを言え。

85 :login:Penguin:04/10/15 02:04:31 ID:jHOSUd26
>良く、オープンソースプロダクトはしょっちゅう深刻な脆弱性が見つかるからクソだというが、
>殆どの場合が悪用される前に、これって使い方によって危険じゃないの?と言うことで発見されてる。
>悪用されてから初めて気がつく某社のプロダクトの脆弱とは違うんじゃないかな?

悪い、Debianのサーバーの侵入などゼロデイの十八番はどこだっけ?
恥かくぞお前。


86 :login:Penguin:04/10/15 02:11:04 ID:jHOSUd26
>見通しの効く環境は抑止の効果にもなっていると思う変なコードを入れようものなら...
だから、誰がチェックしてて誰がリジェクトしてるんだ?
そもそも、コードのレビューってやったことあれば、
開発しながら全コードのレビューがどんなに大変かわかるだろ。

> 一方で独占的ソフトでは何をやられてるか分からない
知りたがりは自由だが、社会では無駄なことに労力は使わないな。
見なくてよいものは見ない。常識だろ。

>気になったんですけどソース公開されてるソフトでスパイウェアってありましたっけ?
お前Windowsユーザーだよな。
ルートキット+簡単なスクリプトで狙ったサーバーから引っこ抜く。
パッチなんてあたってないサーバーだらけだし、ツールもいくらでも。

87 :login:Penguin:04/10/15 02:45:10 ID:1m33KOuX
>>83
> MSくらいうまく使え。

さんざん料金を払いながら、何の解決にもならない回答をもらって
追加料金請求されることを「うまく使う」というのですね。
よーくわかりました。(爆

88 :login:Penguin:04/10/15 02:48:27 ID:VpHDnmXj
debianの件の脆弱性はmandrakeがそれ以前に修正してたよ

89 :login:Penguin:04/10/15 02:59:22 ID:qNk4WTzF
>>83
> 圧力に関して反応してる子供たちへ。
> 社会に出れば分かるが、ベンダーを顎で動かせるぐらいじゃないと、
> いい仕事は出来ないな。
NASAに言ってみたら?

http://japan.linux.com/print.pl?sid=04/10/04/0257212
| オープンソース開発者の即応性も満足すべきものだった。Norrisによれば、
| オープンソースだと数時間で対応してもらえることが、商用ソフトでは数ヶ月
| かかったという。
|
| 「彼らが我々に保証してくれたのは、担当の開発者が調査しているので半年
| 後の次のリリースには解決するだろうということぐらいだった」とNorrisは回
| 想する。「我々は問題を独力で解決しなければならず、新バージョンがリリー
| スされた場合の統合の手間を考えるとぞっとした。」
|
| 対照的に、バグフィックスや一時的回避策についてのオープンソース開発者
| の対応はすばやく、即応的だったとNorrisは言う。
|
| 「商用コンポーネントをもう使わないとは言わないが、嫌な経験だったこと
| は確かだ。」


90 :login:Penguin:04/10/15 03:06:04 ID:VpHDnmXj
>だから、誰がチェックしてて誰がリジェクトしてるんだ?
>そもそも、コードのレビューってやったことあれば、
>開発しながら全コードのレビューがどんなに大変かわかるだろ。

開発者とセキュリティ調査会社
全コード見なくても差分を見ればいいだろ

91 :login:Penguin:04/10/15 03:10:49 ID:VpHDnmXj
>>86
>> 一方で独占的ソフトでは何をやられてるか分からない
>知りたがりは自由だが、社会では無駄なことに労力は使わないな。
>見なくてよいものは見ない。常識だろ。

実は二重スパイだった--「スパイウェア対策ソフト」を装う悪質なプログラム
http://japan.cnet.com/news/media/story/0,2000047715,20064151,00.htm

92 :login:Penguin:04/10/15 17:57:27 ID:spYpf5KW
>>86
>だから、誰がチェックしてて誰がリジェクトしてるんだ?
プロジェクトにもよるけどパッチをマージするときにはチェックするのが普通でしょ
チェック自体に怪しいコードを100%フィルタアウトする能力はなくても
その存在が怪しいコードを混入しようとする意図を抑止する効果はあるよ

>お前Windowsユーザーだよな。
屈辱的なことを言うね(苦笑)

>ルートキット+簡単なスクリプトで狙ったサーバーから引っこ抜く。
スパイウェアの認識が私と違うようです


93 :login:Penguin:04/10/23 09:40:48 ID:J7R8zOFZ
たしかにオープンソースのほうが悪意のあるハッカー(クラッカー)に悪用される危険も
それだけ高いんじゃない? 安全と思うのはソースを読むことができるハッカーだけの理屈で。

94 :login:Penguin:04/10/23 09:43:28 ID:J7R8zOFZ
かといってクローズソースが安全とは言えないけどね。
ハッカーと企業のどちらを信用するかという問題だけど、どこにスパイウェアが
埋め込まれているか分からないもんね。

95 :login:Penguin:04/10/23 12:16:10 ID:ErPXVzfH
ソースを読むことができるハッカーやセキュリティ会社がほとんどの場合
クラッカーより先に脆弱性を発見してくれるので安全です

96 :login:Penguin:04/10/23 13:10:30 ID:ErPXVzfH
そして修正もすぐに行われる。


97 :login:Penguin:04/10/23 21:24:21 ID:ILTf0e/8
Linuxクライアントソフトはざっと分析しただけでも、50を超す欧州のソフト特許に触れる
コンピュータシステムが事実上停止に追い込まれるか、
ライセンス料の支払いを命じられる可能性もあると訴えでは指摘。
http://www.itmedia.co.jp/enterprise/articles/0408/05/news010.html

Linuxで利用の「libpng」と「Xpdf」に深刻な脆弱性
http://www.itmedia.co.jp/enterprise/articles/0410/23/news009.html

Apache、深刻な脆弱性修正のアップデートリリース
http://www.itmedia.co.jp/enterprise/articles/0410/23/news005.html

アイドルを起用したターボリナックス、戦略には疑問も
http://www.atmarkit.co.jp/news/200410/22/turbolinux.html


98 :login:Penguin :04/10/30 03:30:14 ID:mXjoPbg7
>>94
一番あぶないのは、クローズソースが一部の人間にのみハックされ、
そいつらが穴を探し、開発者達がそれを必死に埋める状態だな。
どのOSだとは言わないが。

99 :login:Penguin:04/10/30 11:49:31 ID:LIU/Q6o0
http://www.atmarkit.co.jp/ad/ms/linuxvswin/linuxvswin04.html

久しぶりに、あきらかな提灯記事を見たな…

100 :login:Penguin:04/10/30 13:24:58 ID:BgrsJuVi
>>99
ちゃんとPRって書いてあるのはある意味良心的かな?

101 :login:Penguin:04/10/30 18:14:58 ID:LIU/Q6o0
Windows Server 2003 25日
Red Hat Linux 47日
SuSE Linux 54日
更新プログラムが公開されるまでの平均日数


Windowsはパッチが提供できる見込みがつくまで、脆弱を公開しないからだろ。

102 :login:Penguin:04/12/02 01:58:30 ID:zcOVk9Pn
だとしてもというかだからこそオプソは危険だって主張なんでしょ。
脆弱性が公開されなおかつ塞がっていない期間が長いんだから。

>>100
もろ広告だよ。
ページのトップのバナーをサイト内にばら撒いてたし
MSのそれ系のページにリンクもしてるしね。

103 :login:Penguin:05/01/14 01:59:09 ID:rxkEADqK
http://www.microsoft.com/japan/windowsserversystem/facts/analyses/opencost.mspx
Linux の TCO は Windows よりも 5% から 20% 高い
最終更新日: 2004年10月8日
**
ダウンロード

Linux の TCO は Windows よりも 5% から 20% 高い
ダウンロードThe Costs And Risks Of Open Source -- Japanese.pdf (日本語)
920 KB
PDF
**
概要

独立した調査機関が Linux の展開について長期間分析した結果、
システム運用コストの高さが安価な初期コストを相殺し、
Linux の TCO が Windows よりも高くなると結論付けています。

特に、以下の点が挙げられています。
.

Linux の計画コストは、5% から 25% 高くなる。
.

Linux のトレーニング コストは、平均で 15% 高くなる。

104 :login:Penguin:05/01/14 02:08:30 ID:sYbfjdH8
必死な人が多いですな

105 :login:Penguin:05/01/14 02:19:47 ID:AKFWjatJ
そりゃあ負けりゃ死ですから


106 :login:Penguin:05/01/14 06:57:49 ID:AUnShJol
セキュリティはシステム全体で確保できるものだ。
オペレーティングシステムやアプリが
オープンソースだのクローズだのの議論に意味があるのかね?


107 :login:Penguin:05/01/14 07:01:20 ID:AUnShJol
Windowsサーバには小さいシステムしか組めない致命的な問題があるよな。
そもそもスケーラビリティの問題を解決できてないので
大規模なシステムでは使えないのだよ。

108 :login:Penguin:05/01/14 13:22:36 ID:aklPG6xr
>>107
Windows Datacenter Editionもしらん子供か?
UNISYSとかの64個のCPU乗せたメインフレームで元気に動いているが。

まあ俺はサーバーにWindowsを使うことは嫌いだけど。
柔軟性が低くて管理が面倒(GUIツールがないとできないことがおおい)で
トラブルがあったときの原因究明が困難だから。


109 :login:Penguin:05/01/14 20:14:03 ID:kRV1V+lF
MS Word やワードパッドに Q33NY と貼り付け、フォントサイズを 72 に変更し、
フォント名をWindows 標準フォントである Wingdings に変更しますと、、、

みなさんが Windows をお使いでしたら、すぐにでも「あなた」のパソコンで
再現できます。
Microsoft社は自社の Web サイトでこの件について解説しています。

もし、これが、サイバーテロなどに使用されたとしたら、ほぼ世界中の
パソコンが「コロっと」誤動作や停止してしまうということになりかねません。
もっと賢くて、.jp というドメイン名を持つプロバイダに接続している
パソコンだけ被害がでるように。などとされたら、どうなるでしょうか。

考えすぎかも知れません。しかし、ヨーロッパの EC では、オープンソースへ
の移行を真剣に取り組んでいます。そして日本でも取り組みが進められています。

オープンソースにしてあれば、このような危険性を非常に小さくできます。


110 :login:Penguin:05/01/14 20:16:54 ID:QBI4NHSy
たまに age てみるとたくさんかかりますね…

111 :login:Penguin:05/01/14 21:57:36 ID:AUnShJol
>>108

データセンターサーバーエディションって「Fake Product」でしょ。
何億円も出して泣いてるユーザを見たゾ。
理論的にはとか、ヤケクソの類なのだ。

112 :login:Penguin:05/01/14 22:01:27 ID:UwFt5TrY
>>108
データセンタ用で、メインフレーム用ではないと思うが。

113 :login:Penguin:05/01/14 23:19:00 ID:AUnShJol
>>108
まず、オマエの基本給をここに書け。
その基本給に見合った発言か考えろ。


114 :login:Penguin:2005/05/08(日) 00:15:02 ID:5gINr4ms
ソースコードの開示は絶対に反対

115 :login:Penguin:2005/05/08(日) 00:21:10 ID:10chknUZ
久しぶりに書き込みがあったと思ったら、これまた随分な電波ですね。

116 :login:Penguin:2005/05/12(木) 03:21:14 ID:LImMUAAM
>>114はIDからしてMS社員。

117 :login:Penguin:2005/10/17(月) 21:32:08 ID:Z8aEgSFd
hosyu

118 :login:Penguin:2006/01/24(火) 02:27:31 ID:H/sEt0St
ソースはすべてアセンブラ、いや、0と1のみ。
これで誰もバックドアには気づきまい・・・。

00001120000100001100100101110111

119 :login:Penguin:2006/01/24(火) 21:07:31 ID:aez+d7NK
>>118

2が入ってるのは気づいたが、どこでどう笑うべきなのか判らない。

120 :login:Penguin:2006/01/24(火) 21:49:53 ID:IcZRaVE7
100101011001001001010010010101001001010010100010111 (訳 ワッハッハッハ)

121 :login:Penguin:2006/01/26(木) 19:25:22 ID:yDAv9ip0
米マイクロソフトは25日、欧州連合(EU)の欧州委員会がEU競争法(独禁法)違反に
あたるとして同社に出していた是正命令に応じて、基本ソフト「ウィンドウズ」の設計情報である
ソースコードのうち、ウィンドウズ・サーバー分をすべてライセンス開示すると発表した。
欧州委による制裁を回避するのが狙いとみられる。

http://www.nikkei.co.jp/news/main/20060125AT2M2502N25012006.html

122 :login:Penguin:2007/01/27(土) 00:05:31 ID:lumPTf7+
けっきょく自分が書いたコードしか信用できないわけか。

43 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)