アカウント名:
パスワード:
僕んちなら須藤さんにそのパスワード渡せばroot取れますよ。須藤ズでも可。
# やっほーい
Windowsなんかと比較したりせず、正しい長所と短所だけを説明して普及活動をしてたら、たとえ何度も見つかってても、変な反感は生まれなかったのではないかと。
仮にその理屈が正しいのであれば、反感を招くために比較する奴は後を絶たないだろうね。実際、ここや 2ch とかで何度「コイツつり?」みたいな書き込みを見たか、食べたパンの枚数なんて覚えてないのと同じ位だろう。コミュニティ騒動の類を何回か見れば気づくのだけど、一番怖いのは、善意を持った無知な人であり、そういう奴を装って火種を放り投げる人なんだよね。(そしてそういう奴らは外面上区別が付
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
酷い脆弱性なのに (スコア:2, すばらしい洞察)
Re:酷い脆弱性なのに (スコア:2, すばらしい洞察)
人々もMS叩きぐらいしかやることが無いんだよ。
Re:酷い脆弱性なのに (スコア:1, すばらしい洞察)
vmspliceというシステムコールがどういうときに使われるものか
ピンと来ないからどの程度危険か分からない人も多いと思うんで
すが、酷さが分かる程度に解説してあげれば騒ぐ人も出てくるん
じゃないでしょうか。
Re:酷い脆弱性なのに (スコア:5, 参考になる)
これはいわゆる「local exploit」というやつで、本来ローカル権限しか与えられてないはずのユーザが、
このコードをコンパイルして実行すればroot権限をとれてしまうという問題なので。
既存のソフトウェアでvmspliceを使っていて、それをネットワーク越しにexploitされる
「remote exploit」とはちょっと話が違います。
が、既存のユーザ認証の仕組みを台無しにしてしまうと言う意味で、結構深刻な脆弱製と言えます。
Re:酷い脆弱性なのに (スコア:4, 参考になる)
こちら [nikkeibp.co.jp]に記事があがっていますが、
デフォルトで動作しているものでなおかつ、カーネルのTCP/IPスタックレベルでの問題なので、
普通のセキュリティーソフトでは対応できなかっただろう、という話も…。
ムービーデモ [immunityinc.com]が公開されています。
# exploitコード動いたー(^o^)/
# 実際に動かしてみると恐怖が広がりますネ。
Re:酷い脆弱性なのに (スコア:1, すばらしい洞察)
Re: (スコア:0)
一方、ユーザー自身が管理者権限を持っている自宅のパーソナル
Linuxなんかではあまり関係無いという話ですかね。
もちろん、自宅マシンでも対策はやっておいた方がいいんでしょう
けど。
Re: (スコア:0, 参考になる)
この前のfirefoxのアップデートでもリモートからの任意の
コード実行の脆弱性をfixっていくつもありましたし。
そのへんのゾンビ化したWindowsと何ら変わりはありません。
Re: (スコア:0)
最近はWindowsと同じく何でも送って来る(実績がある?)ということ
で、実際に悪用された例に興味があるのですが、どのようなものがある
のでしょうか。
その手の紹介サイトへのリンクでも示していただければ良いのですが。
Re:酷い脆弱性なのに (スコア:1)
実際に悪用される(された)かどうかは別問題。
ってのはどんなOSやソフトでも同じ。
Firefoxでは脆弱性を悪用された事例は今のところ
ニュースになったことはなかったかと思います。
Re: (スコア:0)
FF11のIDとパスワードを盗む
サイトへのリンクならオンラインゲーム系のBBSや
MIXIのコミュで大量に張られているのを見ました、
http://ort.sakura.ne.jp/taisai/ [sakura.ne.jp]
がとりまとめサイトみたいです
上の方を見ているとFireFoxも、そろそろ狙われる
可能性が出てくるかもだなー
Re: (スコア:0)
>> 最近はブラウザ経由で何でも送ってくる
というのは「まだ無いけど、これからも全く無いとは言いきれない」という
意味ですね。そこになぜ「最近は」という表現がつくのか分かりませんが...
「最近」というのはブラウザが存在した後ということなんですかね?
>>そのへんのゾンビ化したWindowsと何ら変わりはありません。
これも「そうなる可能性が全く0ではない」という意味ですね。
ただ、そうなると(当然のことながら)「セキュリティパッチを当ててウィ
ルスチェッカをインストールした」という程度の中途半端な対策しかしてい
ないWindowsも「そのへんのゾンビ化したWindowsと何ら変わりはありま
せん。」と言えるわけで、もう少し程度によって表現を区別してもらうと
ありがたいです。
Re: (スコア:0)
Re:酷い脆弱性なのに (スコア:1, すばらしい洞察)
僕んちなら須藤さんにそのパスワード渡せばroot取れますよ。須藤ズでも可。
# やっほーい
Re:酷い脆弱性なのに (スコア:1, 参考になる)
ちょっとウェブアプリのバグ突いて、cgiの実行権限で
vmspliceを使ったバイナリを送り込んで実行するだけで
OKですからね。
Re:酷い脆弱性なのに (スコア:1)
ネットワーク系ルータやNASやWEBサーバ作るときには、気をつけましょうって話だよね。
あれ、そういえばカーネルHttpdってプロセス実行できたっけ?
Re:酷い脆弱性なのに (スコア:1, おもしろおかしい)
祝日なんだし皆寝てますよ。
いえ、私だって寝ていたいんですよ。休日当番で出勤なんですよ!
Re:酷い脆弱性なのに (スコア:1, 参考になる)
Re:酷い脆弱性なのに (スコア:1, すばらしい洞察)
Re: (スコア:0)
ま、布教の仕方が誤ってたということだが。
Re:酷い脆弱性なのに (スコア:2, おもしろおかしい)
あ、アンタは知らないかもしれないけどねっ…
べ、別に(local exploitが見つかったのは)初めてだったってわけじゃないんだからっ!
勘違いしないでよっ! いままでだって何度も経験あるんだからねっ! [google.co.jp]
#と書くと初めてのような気がしてきた
# mishimaは本田透先生を熱烈に応援しています
Re: (スコア:0)
Windowsなんかと比較したりせず、正しい長所と短所だけを説明して普及活動をしてたら、たとえ何度も見つかってても、変な反感は生まれなかったのではないかと。
蔑視? (スコア:1, 興味深い)
ついでながら、
「スラド」も別に蔑視じゃないだろ。
マクドナルドを「マクド」(や「マック」)と呼んだらそれは蔑視なのか??
単に「日本人にとって言いやすい略語」だろ?
#洒落抜きに「マクド」と「スラド」は似たようなもんだろうと思ってるのでAC
Re:酷い脆弱性なのに (スコア:1)
それこそ偉大なIBM、MS、そしてRMSにもアンチがいるわけでwww
むしろアンチ勢力との競争で育つ部分って大きいんじゃないか?
アンチを作らないようにするより、あほなアンチを無視するほうが効率よくね?
争いごとの嫌いな日本人的にはイヤな結論かも知れんが。
# mishimaは本田透先生を熱烈に応援しています
こっち見んな by 窓 (スコア:1)
これは確かにそう思う.
たぶんWindowsも毎回「こっち見んな」って思ってる.
#いえ,窓を見ているのではありません.
#窓の向こうの景色を見ているのです.
屍体メモ [windy.cx]
Re: (スコア:0)
仮にその理屈が正しいのであれば、反感を招くために比較する奴は後を絶たないだろうね。実際、ここや 2ch とかで何度「コイツつり?」みたいな書き込みを見たか、食べたパンの枚数なんて覚えてないのと同じ位だろう。コミュニティ騒動の類を何回か見れば気づくのだけど、一番怖いのは、善意を持った無知な人であり、そういう奴を装って火種を放り投げる人なんだよね。(そしてそういう奴らは外面上区別が付
Re: (スコア:0)
FUDだの比較だのといったやり方をしてるのが問題だと思います。
Re:蔑視?(おふとぴ:-1) (スコア:0)
これらは、それを取り巻く(一部の)人たちを指して蔑視しているのであって、対象物そのものが蔑視対象になるかはまた別な話。
つまり、オプサとかスラダやマクダ(対象+er)なら蔑視になる、と(ォィ
あ、「オープンソースだから素晴らしい!」と万歳している人はジトーンとした目で見てしまいますね。そのソフトウェアがオープンであることは特徴(特長)の一つではあるけれど、一番のポイントではないでしょうから。
#スラダなのでAC
Re: (スコア:0)
だから20年以上やっても勝ててないじゃない。
Re: (スコア:0)
他は都合の良いように後付けした理由だし。
確かに無料で使えることが多いけど、それはオープンソースの本質ではない。
何か問題が発見されても自由に改変できるから、ユーザーの手によって対応できる。
だけど基本は「自由」であることがオープンソースの意義だよね。
Re: (スコア:0)
それは10年以上前から言われ続けていて、相手を知らない人が今でも延々と語り継いでいるだけ。
10年前の時点では正しかった。
少なくともVistaからは社内でのレビュー数を増やしたり、設計上の方針をセキュリティ重視に振ったり、マージの責任者を設けたりする事でMSは品質を高めている。
多くの目でチェックされているからという理由自体は今でも正しい。
比較の文言は間違っているけど。
ただ少なくともリリース前にもうワンステップ、セキュリティ的な点からチェックする専任がいればLinuxももっとマシになるとは思う。
Re: (スコア:0)
放置されているものはとことん放置されているよ。
Re: (スコア:0)
>放置されているものはとことん放置されているよ。
どのCVE?
Re:酷い脆弱性なのに (スコア:1, すばらしい洞察)
Re: (スコア:0)
Re:酷い脆弱性なのに (スコア:1, おもしろおかしい)
Re:酷い脆弱性なのに (スコア:1, すばらしい洞察)
情報収集しないのに誹謗することだけは忘れんのな
Re: (スコア:0)
クローズドソースは読むことすら許されない
この違いは大きい
Re: (スコア:0)
Re: (スコア:0)
誤った反論のアプローチは、むしろ自分を窮地に追い込むだけなので注意しましょう。
Re: (スコア:0)
もしも人数が多かったらですが、「無能の集団」も人数が集まったら
こんなことができるといえるのでは?
Re: (スコア:0)
見つかったことが、「安全だなんて言えない」ことの根拠なのなら、
世の中に安全なソフトウェアなんてないと言えるかもよ。世の中に
安全なソフトウェアが存在しないのなら、安全だなんて言えない
などという議論に、意味はない。
まあ、オープンソースは(脆弱性はひとつも存在しないという意味で)
安全だ、と主張しているやつがいたら、そいつが間違っていたという
ことは言えるかもしれないが、そんなの、まさしく「当たり前の事」。
Re:酷い脆弱性なのに (スコア:1, 興味深い)
ない。
でも、もし、MSのOSをお金だして買っていて、脆弱性が出てきたら「不良品じゃないか!」と叩くところ。
Linuxは、これだけの成果物をタダで使わせてもらっている。しかも問題があると迅速に対処してくれることが多い。
このちがいは大きいでしょう。
OSSかどうかよりは、タダかどうかのほうが、この場合には、重要なはず。MSがすべてのソフトウェアをタダで配っていれば、
少なくとも私は、脆弱性に関してMSを叩かない。(ほかにもっといいものがあれば使わなくはなるだろうけど。)
Re: (スコア:0)
Re: (スコア:0)
Re: (スコア:0)
Re:酷い脆弱性なのに (スコア:1)
メーカーは責任取らないですよね。
すごく高いお金を出してサポート契約していれば別だけど。
Re: (スコア:0)
Re: (スコア:0)
…誰もいなくならなければ。
Re: (スコア:0)
MS「MSは」「Windowsは」っていう逆ギレ的な批判逸らし。