アカウント名:
パスワード:
Vectorのチェック体制がどうなっているのかよく知りませんが、不正な情報送信に関してはノーチェックなのでしょうか?
この手の不正ソフトウェアでいうと、古くは "WinGroove" や "Vocal Cancel" [srad.jp]、最近では "JWord" が配布されています。 アンチウイルスソフトウェアに登録されれば画一的に対処するようですが、それ以上のチェック、たとえば仮想マシン上で一通り動作させて不正な通信やディスク書き込みなどを行なっていないかどうかはノーチェックのようです。
オープンソースでないとしたら今後はこの手のチェックも行なわざるを得なくなるんでしょうね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
チェック体制 (スコア:2, 興味深い)
Vectorのチェック体制がどうなっているのかよく知りませんが、不正な情報送信に関してはノーチェックなのでしょうか?
この手の不正ソフトウェアでいうと、古くは "WinGroove" や "Vocal Cancel" [srad.jp]、最近では "JWord" が配布されています。
アンチウイルスソフトウェアに登録されれば画一的に対処するようですが、それ以上のチェック、たとえば仮想マシン上で一通り動作させて不正な通信やディスク書き込みなどを行なっていないかどうかはノーチェックのようです。
オープンソースでないとしたら今後はこの手のチェックも行なわざるを得なくなるんでしょうね。
Re:チェック体制(-1;荒らし) (スコア:2, すばらしい洞察)
ソースが公開されてるだけで「送信しない」なんて誰も確証持てないでしょ?
誰か読んでチェックしてくれる、ってだけで無条件配布するほうが怖いぞ。
Re: (スコア:0)
不正プログラムを発見したのは、怪しい通信がされていることに
気づいてからソースを確認、そして不正プログラムを発見という
流れだったと思います。
オープンソースであることは、確認がやりやすいというだけで、
不正プログラムを事前に防げるというものではないんですよね。
しかも、sendmailのときは、あからさまに海外のIRCサーバに接続する
という一目瞭然の怪しい動作で分かっただけで、これがsendmailに
仕込まれた不正プログラムが25番ポートを使って司令ホストと通信
するようなものだったら発見されないまま、長期間、広範囲に広まった
ものと思われます。
Re: (スコア:0)
以前にも、オープンソースなソフトウェアでありながら、特定の環境でコンパイルすると違う挙動を示すようにされたものがあったと記憶しています。
(確か、/.Jでタレこまれて記事になってた……詳細は失念)
第一、公開されてるソースからそのバイナリが生成されている保障は誰がするのでしょう?
結局は、配布元が何らかのチェックをした上で配布しないといけないのではないかと思います。
# 自分でソース読んで自分でバイナリ生成すればいいだろ という突込みが怖いのでAC
Re:チェック体制(-1;荒らし) (スコア:2, 参考になる)
Re: (スコア:0)
・コンパイル時にターゲットにバックドアを仕掛ける部分
・コンパイラ(次の世代の自分)をコンパイルする際に自分自身の感染能力をコピーする部分
この2つの要素が絡み合っていたので、コンパイラとして圧倒的シェアを取ってる間はどうにもならないでしょうね。
全てが信用出来ないという点ではカーネルに組み込んで悪さをするルートキットと同じ感じでしょうか。