パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

UNLHA32.DLLの開発停止、作者がLHA書庫の使用中止を呼びかける」記事へのコメント

  • by Anonymous Coward

    JPCERTが受付しないとMicco氏が開発やめるという
    このお話のロジックがよくわからんです。

    • by JULY (38066) on 2010年06月07日 13時33分 (#1775859)
      • LZH 形式は国際的に見るとマイナー。
      • 故に、アンチウィルスソフトが真面目に対応してくれないことがある。
      • 実際、問題があるケースがあるんで、Micco 氏としては、きちんと直して欲しいと思っている。
      • なぜなら、きちんと対応してもらわないと、LZH 形式がマルウェアの入れ物として使われることになる。UnLHA をメンテナンスをする者として、自分の子供が悪の片棒担いでいる、という状況は許しがたい(と思っているだろうという、私の勝手な想像)。
      • だから、IPA に報告しているんだけど、受理してもらえない。
      • IPA に受理してもらえない状況で、アンチウィルスソフトの各メーカーが自主的に対処してもらえる可能性が低い(実際、対応は進んでいない)。
      • 故に、利用の中止を呼びかけることにした。
      • 利用中止を呼びかけているのに、開発を続けるのは矛盾するので(というか、自分で利用中止を呼びかけているソフトウェアに対して、開発を継続するモチベーションを維持する、というのは、ちょっと考えられない)、開発も中止する。
      • でも、バグは使っている人に迷惑をかけることになるから、バグの修正だけは続ける。

      という感じかなぁ。

      親コメント
      • by Anonymous Coward

        > IPA に受理してもらえない状況で、アンチウィルスソフトの各メーカーが自主的に対処してもらえる可能性が低い

        ここがよく分からんのですが。
        どうしてアンチウィルスソフトのメーカーは自主的に対処しないの?

        実際にLZH 形式がマルウェアの入れ物として使われることになりはじめれば、それを検出できないアンチウィルスソフトが信用を失うだけでは?

        • by JULY (38066) on 2010年06月07日 16時49分 (#1776027)

          実際にLZH 形式がマルウェアの入れ物として使われることになりはじめれば、それを検出できないアンチウィルスソフトが信用を失うだけでは?

          基本的には、「費用対効果」でしょう。

          実際に LZH 形式で流通しているマルウェアが多ければ、もちろん自主的に対応するでしょう。ただ、もし、現実に流通量が少なければ、「日本の一部ユーザだけ」という事を理由に、後回しになることは十分に考えられます。

          もちろん、LZH 形式にきちんと対応していない事によって実際にマルウェアを逃した場合、ある程度の信用低下はあると思いますが、昨今、爆発的に増加する亜種に対して、後手に回って取りこぼす事が、珍しいことでは無くなってきたので、「LZH に入った物を取りこぼす」ということで失われる信用は、限定的ではないかと思います。

          逆に、「うちは LZH 形式にちゃんと対応してますよ!」というソフトが、商品としてどれだけのアドバンテージがあるか、ということにもなります。対応することで他社製品と差別化が出来て売上が伸びる、のであれば喜んでやるでしょうが、「LZH って何?」という人が大半だと思うので、市場に対するインパクトはほとんど無いと思います。まぁ、焦点になっているのはゲートウェイ型なので、デスクトップ向け商品よりは、LZH を知っている人が商品選択をする確率は高いと思いますが、それでも限定的でしょう。

          ちょっと話はそれますが、オライリーから出た「セキュリティの神話」という本をちょうど読んでいたのですが、その中で、ウィルス対策ソフト側として、圧縮ファイルの扱いが非常に難しい、という話がありました。何重にも圧縮処理をされていて、それを展開してみないと判定が出来ない。「そんな何重に圧縮されているような物は、調べるまでも無くクロだろ」と思うと、実は、ウィルス対策ソフト自身が配布するファイルが、マルウェアの作者に解析されるのを防ぐために同様の事をやっている、なんて事が書かれていました。

          ウィルス対策ソフトにとって、圧縮ファイルの取り扱い自体が、そもそも「面倒」なのに、日本の一部ユーザの為に対応するか、となると、他に優先順位が高いことが山ほどある、という気がします。IPA のようなところから「お墨付き」があれば、重い腰を上げて対応するかもしれませんが、それすら無い状態で、LZH 形式に積極的に対応するとしたら、その商品が日本のマーケットに特化しているか、他に優先すべき事象が無いか、のいずれかだと思います。

          # 個人的には、自己解凍形式が一番怖いと思う。

          親コメント
          • by Anonymous Coward

            その通りで、まさにこれがガラパゴスの恐ろしさですよね
            いかに世界標準を勝ち取ることが大事で、勝ち取れなかったら長いものに巻かれるのが安全であることがよくわかります

            所詮LZHの存在が大きいかどうかなんて、インターネットがまだ十分普及していなかった頃の過去の栄光の話で、今は立派なガラパゴスですから

        • by Anonymous Coward
          セキュリティの基本は安全寄りだからです。
      • by Anonymous Coward
        LZHは元々の出自が古き良きオンラインソフト時代のフリーソフトで,かつてZIPのように有償の製品を販売する有力なベンダーが無かったため,万が一の際のリスク回避を考えて徐々に企業での利用が減っていったいきさつがあります.
        しかし,いまだにパソコンのドライバのアップデート等をLZHで配布するメーカーが残ってたりするので,IPAが相手してくれないというのは非常に困ったことだと思います.(インストーラもアマチュア作成のフリーのものを使ってるメーカーがあるんだけど,同じような脆弱性の問題が発覚したらどうするんだろうね?)
        • by nmaeda (5111) on 2010年06月07日 18時38分 (#1776111)

          >かつてZIPのように有償の製品を販売する有力なベンダーが無かったため,

          単にLzhが日本独自の形式で、世界的に見ればマイナーな形式だからかと。
          (一時期のCompuServeではLzhもそれなりに使われたりしていたが……)

          近年は海外ベンダーも最初から日本語版を含む各国語版も同時にアメリカ本社などで開発。当然、パッチなどはZipで配布。さらに日本国内に有力なソフトハウスがほとんどなくなった。そんな理由では。

          >インストーラもアマチュア作成のフリーのものを使ってるメーカーがあるんだけど,同じような脆弱性の問題が発覚したらどうするんだろうね?)

          別のインストーラ生成ツールに乗り換えれば良いだけでは? 有償製品を使っていても再配布する手間は変わらないでしょう。
          有償製品であれば保守されるなどという保証はありません。多少、可能性が高いかも? 程度のことでしょう。

          親コメント
          • by Anonymous Coward
            企業がどこの馬の骨が作ったのかも分からないマルウェア付きのフリーソフトやシステムを破壊するバグ付きのフリーソフトを使ってユーザーのもとでトラブル起こしても再配布で済むなら弁護士はいならい. 有償製品があるのに金をケチってフリーソフトを使ったりしないのが企業の常識. 保守されるかどうかの問題なでは無い.
            • by Anonymous Coward
              有償製品ならマルウェアやシステムを破壊するバグがないとは言えないぞ。 契約上、ソフトを使ったことで何が発生しても免責だよってことになってるから、弁護士も役に立たない。

クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人

処理中...