アカウント名:
パスワード:
いえ、MX 落としてはいけない物リスト [tripod.co.jp] を見せれば「クローズドソースは昔から遥かに危険だった」と一撃で反論できるでしょう。
まあ、 PGP も MD5 のチェックもしないでインストールすれば、本質的に改竄されていても判らないという当たり前の事の認識がまだ甘い所が
例えば「Get Acrobat Reader Now!」というアイコンを置いて、それにリンクを張って、ハードディスクを全消去するプログラムを Acrobat Reader であるかの様に偽ってWebやFTPでダウンロードさせるといった悪質な悪戯は誰にでもできます。オープンソースなら、まだソースを見るという手がありますが、クローズドソースで EXE の実行ファイルしか無く、PGPやMD5も無いなら、「信じて実行してみないと判らない」のですから。
> 正規なサイト(もしくは商品としてのCDROM)から
sen
> 意味のない置き換えはやめませう。
たとえ話は相手に判りやすくするために使うのが目的なので、正直言って「ここまで話を何度も置き換えて説明しないと駄目かな」とは思いますが、私の説明が imo さんにとって意味が無く、幾ら説明しても「MX だからが悪いんだ!」という風に逸れてしまうのでしたら、逆にどういう事に置き換えて説明すれば imo さんは理解してもらえるのか教えてください。それに合った説明をしますから。
# ああ、 MX の実例なんか出すんじゃなかった・・・おかげで大ハマリだぁ、、、
おっしゃるとおりです。持ち出した例えが不適切でした。反省しています。
Yahoo! [yahoo.co.jp]、 Vector [vector.co.jp]、 窓の杜 [impress.co.jp] は代表的なダウンロードサイトです。そこではフリーウェアもシェアウェアも配布されていますが、ここは一時配布元ではありません。 ここからダウンロードするのは、ごく普通のことです。
こう言うとまた紛糾したり話が逸れるかもしれませんが、 今回 Sendmail.org のサイトがクラックされてトロイの木馬入りソースが仕掛けられたというのは、 技術的観点からは、もし Yahoo!、Vector、窓の杜などがクラックされてファイルを置き換えられた場合、 ユーザーがニセのバイナリだと見破れるだろうかという問題と変わりは無いと思います。
はあ? 改竄に関しては「同じような物」でしょ?
> オープンソースだから安全ではないというインパクトの大きい具体例
いや、話がずれてるのはこっち↑でしょう。
改竄予防のための手段が講じられているか、一次サイトがクラッキングを許すか否かの問題は、オープンソースか否かは関係しないでしょう。
そうすれば既知のウイルスに感染した物に関しては検出可能でしょう。でも、例えば「HDD を全部消す」なんてプログラムを作って、バイナリを全く置き換えたら、アンチウイルスソフトでも事前に検出できず、実行したら「さよ~なら~」になるかと思います。
試しにパッと検索してみました。目についただけでも結構ありますね。
例えば「HDD を全部消す」なんてプログラムを作って、バイナリを 全く置き換えたら、アンチウイルスソフトでも事前に検出できず、 実行したら「さよ~なら~」になるかと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
これってオープンソースの危機じゃねぇの? (スコア:0, 余計なもの)
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
以下再送。
この間のOpenSSHといい、
オープンソース陣営としてかなり冷や汗ものの事態ではなかろうか。
#オープンソースであるか否かに関わらないんだけど
#世間はそう見るよね。
#これを肴にオープンソース叩きをされたら
#かなり効くと思うんだが・・・
自サーバもってる他のオープンソースプロジェクトで
セキュリティ
Re:これってオープンソースの危機じゃねぇの? (スコア:2, すばらしい洞察)
> #かなり効くと思うんだが・・・
いえ、MX 落としてはいけない物リスト [tripod.co.jp] を見せれば「クローズドソースは昔から遥かに危険だった」と一撃で反論できるでしょう。
まあ、 PGP も MD5 のチェックもしないでインストールすれば、本質的に改竄されていても判らないという当たり前の事の認識がまだ甘い所が
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
正規なサイト(もしくは商品としてのCDROM)から
正当な手段でダウンロードしたものに
ウィルスが混ざっていれば危険だとは思いますが、
そもそもMXをつかってああいった商用ソフトウェアを
見知らぬ場所からダウンロードすること
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
例えば「Get Acrobat Reader Now!」というアイコンを置いて、それにリンクを張って、ハードディスクを全消去するプログラムを Acrobat Reader であるかの様に偽ってWebやFTPでダウンロードさせるといった悪質な悪戯は誰にでもできます。オープンソースなら、まだソースを見るという手がありますが、クローズドソースで EXE の実行ファイルしか無く、PGPやMD5も無いなら、「信じて実行してみないと判らない」のですから。
> 正規なサイト(もしくは商品としてのCDROM)から
sen
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
それが重要なんじゃん。
その前提をすっとばして、MXでダウンロードすればクローズドソースだってキケンだよって言ったところで、
>>何を言いたいのかが良くわかりません。
というのは当然の反応ではないかと。
>例えば誰かが
意味のない置き換えはやめませう。
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
- Acrobat 5J とか、午後のこ~だ 239d を装ったHDD全消去プログラムがあって、被害も出てる。
- この被害例では MX が使われているが、別に MX 以外の、普通の HTTP や FTP によるダウンロードでも、容易に真似できる。
- こうなると、sendmail の件は「オープンソースだからいけなかったのだ」とは言えない。
という事を言いたかったのですが、> 意味のない置き換えはやめませう。
たとえ話は相手に判りやすくするために使うのが目的なので、正直言って「ここまで話を何度も置き換えて説明しないと駄目かな」とは思いますが、私の説明が imo さんにとって意味が無く、幾ら説明しても「MX だからが悪いんだ!」という風に逸れてしまうのでしたら、逆にどういう事に置き換えて説明すれば imo さんは理解してもらえるのか教えてください。それに合った説明をしますから。
# ああ、 MX の実例なんか出すんじゃなかった・・・おかげで大ハマリだぁ、、、
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
以上の事象を説明するに適当な例を出しなさい。
> (#180854) [srad.jp]
> 「クローズドソースは昔から遥
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
おっしゃるとおりです。持ち出した例えが不適切でした。反省しています。
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
あなたが言っているのは
>> 「クローズドソースは昔から遥かに危険だった」
ではありませんでしたか?あなたは
「オープンソースだったからいけなかった」に反論しているのではなく、「クローズドな商用ソフトウェアは、昔からオープンソースなソフトウェア以上に危険だ」と言っているのだと感じられますが。
MXにかかわらず、こういうもの(リストに載っているもの)が
HTTP経由で公開されている可能性もあるのだから、危険だろう、
と、そういうことですよね?
私には、どうしてクローズド
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
話をずらすのはやめよう。
これはオープンソースだから安全ではないというインパクトの大きい具体例だということで
君のその論法ではオープンソースでも安全でないのだから優位性が保たれなくなったと認めることになる。
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
> 保証も無いような場所からダウンロードするかが不思議でなりません。
> こういうソフトって、普通は一時配布元からダウンロードするものではないでしょうか。
Yahoo! [yahoo.co.jp]、 Vector [vector.co.jp]、 窓の杜 [impress.co.jp] は代表的なダウンロードサイトです。そこではフリーウェアもシェアウェアも配布されていますが、ここは一時配布元ではありません。 ここからダウンロードするのは、ごく普通のことです。
こう言うとまた紛糾したり話が逸れるかもしれませんが、 今回 Sendmail.org のサイトがクラックされてトロイの木馬入りソースが仕掛けられたというのは、 技術的観点からは、もし Yahoo!、Vector、窓の杜などがクラックされてファイルを置き換えられた場合、 ユーザーがニセのバイナリだと見破れるだろうかという問題と変わりは無いと思います。
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
はあ? 改竄に関しては「同じような物」でしょ?
> オープンソースだから安全ではないというインパクトの大きい具体例
いや、話がずれてるのはこっち↑でしょう。
改竄予防のための手段が講じられているか、一次サイトがクラッキングを許すか否かの問題は、オープンソースか否かは関係しないでしょう。
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
クローズドなソフトウェアの危険性とは別の話では?
逆に、MD5などのチェック機能が無い
オープンソースソフトウェアは、必ずしも
安全ということはできるだろうか?
重要なのはソースの形態ではなくて、
そのソフトウェアが正しいものであるかどうかを
チェックする機能なのでは。
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
そうすれば既知のウイルスに感染した物に関しては検出可能でしょう。でも、例えば「HDD を全部消す」なんてプログラムを作って、バイナリを全く置き換えたら、アンチウイルスソフトでも事前に検出できず、実行したら「さよ~なら~」になるかと思います。
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
本来、正規の入手ルートにも関わらず、キケンがイッパイな例をあげればよかったと思いますよ。
クローズドソースの商品だって、開発元以外にも代理店から正規に購入することも可能なので、
代理店がウイルス仕掛けまくれるとかそういう事例があればよかったのではないかと。 ^^;
クローズドソースのくせに、バックドアがいっぱい仕込まれてるMS製品って言い出すと荒れるかな?
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
常に分析する必要はないですが何か問題があったとき、如何に迅速に対策できるかが重要。
ソースが公開されてると開発元のリリースを待たずとも自分で解析して対応できます。
# 皮肉なのでAC
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
試しにパッと検索してみました。目についただけでも結構ありますね。
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
トロイの木馬として、既知のものであれば検出されると思います。
と言うか、されます。
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
Re:これってオープンソースの危機じゃねぇの? (スコア:0)
お前はホントに馬鹿だね。
例え話ってのは、よっぽどうまい例えじゃないと、かえって話の焦点がぼやけたり発散したりするんだよ。
そんなことも分からずに偉そうにしてるのか?
まったく、いつまで頭の中が春なんだ?