パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

未知のWindowsの脆弱性を探して賞金2万ドル」記事へのコメント

  • OSSもやればいいのに (スコア:1, すばらしい洞察)

    by Anonymous Coward
    ソース公開されてれば「カンニング」できる。
    せっかく公開されてても見る人が限定されてる状況下では非公開なのと大差ないので、多くの人に見る機会を与えることになって、それで脆弱性も見つかれば、一石二鳥。
    • Re: (スコア:2, すばらしい洞察)

      by Anonymous Coward
      脆弱性を探すためにソース読む
      ソースを理解する人間が増える→開発者も増える
      一石三鳥
      • by Anonymous Coward
        実際には脆弱性を探すためだけにソースを読む者は稀で、
        使っているOSSが想定通りに動かないとか、誤動作するとか、
        そいういう現象にぶつかったときに調べるためにその部分の
        ソースを読むというケースがほとんどです。

        正常に動作はするが脆弱性を抱えている部分に関しては、
        ほとんど気づかれることはありません。

        脆弱性を探すためだけにソースを読んでいるのは悪意の攻撃者で、
        自分が悪用するためにだけ探していることが多いです。

        ソースを理解できないものはソースを読むということすらしないので、
        開発者になるというのもほとんどあり得ません。
        開発にかかわっている人が、ソースを読むことでレベルアップする
        ということはあると思いますが。
        • 「セキュリティーホールの発見者に賞金を出すよ」と発表することでソースコードを読める人が増えるかどうかは、よくわからないので安易に結論に飛びつくことは避けますが。

          脆弱性を探すためだけにソースを読んでいるのは悪意の攻撃者で、
          自分が悪用するためにだけ探していることが多いです。

          そんなことはないのでは。「多い」という表現の捉え方の違いかもしれませんが。僕はソフトウェアのセキュリティーに興味があって、セキュリティーホールを探すためにソースコードを読んだことがあります。これによって「こいつ悪い奴じゃないの?」と判断されてしまうとしたら悲しいです。

          OpenBSD では code auditing [openbsd.org] といって、特にバグが報告されているわけでもないコードを見直して、隠れたバグやセキュリティーホールを持つ個所を探すという習慣があります。

          また、一般にソフトウェアのセキュリティーホールの発見者を見ているとソフトウェアセキュリティーを専門に扱う会社の社員であることがよくあります。そういう人は、ソースコードが公開されているソフトの場合、セキュリティーホールを探すためにソースコードを読むのではないでしょうか。

          親コメント

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...