アカウント名:
パスワード:
Damien Miller 氏によれば、暗号そのものは恐らく安全であろう、とのことです。http://permalink.gmane.org/gmane.os.openbsd.tech/22559 [gmane.org]
何かを仕込むとすればネットワーク関連のコードで、鍵データがパディングに混入するようにしたり、秘密データに隣接する部分を読むとき「うっかりはみ出す」ようにしたり、mbuf を「うっかり再利用する」ようにしたり、タイミング攻撃によるサイドチャネル (2000年当時はあまり知られていなかった) を用意したりといった可能性が思いつく、と書いています。
そのうちの幾つかは対策が取られていますが、すべて疑念を晴らすには地道なコード監査以外ないようです。
フレームの元だけどこのバックドアも含めてソースが配布されていたのだろうからオープンソースならコード監査が出来るから安全なんて神話だよね。
公開されているから安全というのは短絡的だと思う。でも、オープンソースだからこそ、ライセンス面などで安全性の検証可能性のハードルが低いとはいえる。
ソースの公開によって確保できるのはコードの検証可能性であり、この検証可能性によって安全な利用への道が”担保”されるだけで、保証はない。しかし、今回の指摘によって誰しもが当該コードを検証することは”可能”である。(クローズドソースなら契約上、検証さえできない場合がある。)少なくとも、検証を必要とする人間・組織がコードを直接検証できることはオープンソースの強みだろう。
もちろん検証する能力や資源は別の問題としてあるが、これはクローズドソースでも当てはまる。
>オープンソースだからこそ、ライセンス面などで安全性の検証可能性のハードルが低いとはいえる。
検証自体のハードルは低いかもしれない。でも、その検証の結果、まずいとなった場合、それに対応できるか?というのが、結構、面倒だと思うよ。
細かなパッチ程度で対応できたとしても、それが正式にコンパイルされ配布されるためのテストを受けて、さらにいくつもの配布先で対応するわけだろ?
>少なくとも、検証を必要とする人間・組織がコードを直接検証できることはオープンソースの強みだろう。
そういった検証を自分の責任でやらなあかんのかよ、しんどいこった...というユーザの方が多いと思うね。プロプライアリティなシステムは、その面で楽だよな..という風に考えられている様に思う。
どっちにせよ、バックドアだろうが、問題の数とそれを潰す工数が少ない方が好まれるとは思うけどね。
send-pr(なり)すればいいだけだと思うんですけどそうではないのですか? 1日以内に開発者が片付けてくれます。これがMSだったら、PRしても「リリースは約束できない」とだけ回答が帰ってきて、脆弱性が残ったままとなりZero Day Attackを許してしまうだけではないのですか?6 月上旬にGoogleの研究者のTavis Ormandy氏がWindows XPのゼロデイ脆弱性を公開した際にMicrosoftから非難を受けているわけですが。
だからといって、責任とってくれるわけじゃないけどね。
いや、高額な契約を結べば責任とってくれるのか?知らないけど。
負担がわからないとか、それこそ、金払っているから分かるつもりないし。
意地悪じゃなくて、怠慢。社畜乙。
>怠慢。社畜乙。
ま、何百かのシステムでの検証とか、簡単に出来るのでしょうね。そういう人材はほしいですな。サーバ貸しもやっているけど、2400台に載っている様々なシステムについて、ちゃっちゃとやってもらえたら、嬉しいね。そういった工数を消費しつつ、仕事しているだけなわけで、負担とかなくして出来る程に、簡単なんだろうなぁ...www
>負担がわからないとか、それこそ、金払っているから分かるつもりないし。
金額に見合った成果物なのかな?という疑惑が結構ある。同じパッチだとかいう触れ込みがあって調べてみたら違っていたとかね。その差は何?コンパイラが違う?で、そのコンパイラで作ったものの実績は?え?...で潰れちゃう程度のお方が多いのが、まだまだダメなんだなぁという印象。
安全性を説明できない、この程度の検証をやりましたというのが示されていないケースがあるよね。
そういった程度のモノの提供が目立つので、迂闊に採用できない。名の通ったベンダーなら、「あそこが間違えたなら仕方ないし、それは現場の問題ともしずらい」という面がある。
新参者が性急なことをコソっとやるから、カドがたつんだよね。
>高額な契約を結べば責任とってくれるのか?知らないけど。
責任はとる他に、落としどころに落とすというのがある。LinuxとかFreeBSDとか、そこらへんがてんで出来ていない。
1日で出来るとかいっているバカもいますが、それは「あんたのサーバであんたのサービスなら勝手にその拙速パッチでもあてていたらええ、わしとこのは、そうじゃねぇからなぁ、一昨日おいで」ってなところでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
バックドアの余地は (スコア:5, 参考になる)
Damien Miller 氏によれば、暗号そのものは恐らく安全であろう、とのことです。
http://permalink.gmane.org/gmane.os.openbsd.tech/22559 [gmane.org]
何かを仕込むとすればネットワーク関連のコードで、
鍵データがパディングに混入するようにしたり、
秘密データに隣接する部分を読むとき「うっかりはみ出す」ようにしたり、
mbuf を「うっかり再利用する」ようにしたり、
タイミング攻撃によるサイドチャネル (2000年当時はあまり知られていなかった) を用意したり
といった可能性が思いつく、と書いています。
そのうちの幾つかは対策が取られていますが、
すべて疑念を晴らすには地道なコード監査以外ないようです。
Re: (スコア:0)
フレームの元だけどこのバックドアも含めてソースが配布されていたのだろうからオープンソースならコード監査が出来るから安全なんて神話だよね。
Re: (スコア:2, すばらしい洞察)
公開されているから安全というのは短絡的だと思う。でも、オープンソースだからこそ、ライセンス面などで安全性の検証可能性のハードルが低いとはいえる。
ソースの公開によって確保できるのはコードの検証可能性であり、この検証可能性によって安全な利用への道が”担保”されるだけで、保証はない。しかし、今回の指摘によって誰しもが当該コードを検証することは”可能”である。(クローズドソースなら契約上、検証さえできない場合がある。)少なくとも、検証を必要とする人間・組織がコードを直接検証できることはオープンソースの強みだろう。
もちろん検証する能力や資源は別の問題としてあるが、これはクローズドソースでも当てはまる。
Re: (スコア:2, すばらしい洞察)
>オープンソースだからこそ、ライセンス面などで安全性の検証可能性のハードルが低いとはいえる。
検証自体のハードルは低いかもしれない。
でも、その検証の結果、まずいとなった場合、
それに対応できるか?というのが、結構、面倒だと思うよ。
細かなパッチ程度で対応できたとしても、それが正式にコンパイル
され配布されるためのテストを受けて、さらにいくつもの配布先で
対応するわけだろ?
>少なくとも、検証を必要とする人間・組織がコードを直接検証できることはオープンソースの強みだろう。
そういった検証を自分の責任でやらなあかんのかよ、
しんどいこった...というユーザの方が多いと思うね。
プロプライアリティなシステムは、その面で楽だよな..
という風に考えられている様に思う。
どっちにせよ、バックドアだろうが、問題の数とそれを
潰す工数が少ない方が好まれるとは思うけどね。
send-prすればいいだけですが(Re:バックドアの余地は) (スコア:0, フレームのもと)
send-pr(なり)すればいいだけだと思うんですけどそうではないのですか? 1日以内に開発者が片付けてくれます。
これがMSだったら、PRしても「リリースは約束できない」とだけ回答が帰ってきて、脆弱性が残ったままとなりZero Day Attackを許してしまうだけではないのですか?
6 月上旬にGoogleの研究者のTavis Ormandy氏がWindows XPのゼロデイ脆弱性を公開した際にMicrosoftから非難を受けているわけですが。
Re: (スコア:0)
MSがなんでも意地悪で直さないとでも思ってる?開発能力が低いとでも思ってる?
少なくともMSの人は品質保証してコードを出すんだよ。その負担が分からないのは気楽でいいね。
Re:send-prすればいいだけですが(Re:バックドアの余地は) (スコア:1, フレームのもと)
だからといって、責任とってくれるわけじゃないけどね。
いや、高額な契約を結べば責任とってくれるのか?知らないけど。
負担がわからないとか、それこそ、金払っているから分かるつもりないし。
意地悪じゃなくて、怠慢。社畜乙。
Re:send-prすればいいだけですが(Re:バックドアの余地は) (スコア:1)
>怠慢。社畜乙。
ま、何百かのシステムでの検証とか、簡単に出来るのでしょうね。
そういう人材はほしいですな。
サーバ貸しもやっているけど、2400台に載っている様々なシステムについて、ちゃっちゃとやってもらえたら、嬉しいね。
そういった工数を消費しつつ、仕事しているだけなわけで、負担とかなくして出来る程に、簡単なんだろうなぁ...www
>負担がわからないとか、それこそ、金払っているから分かるつもりないし。
金額に見合った成果物なのかな?という疑惑が結構ある。
同じパッチだとかいう触れ込みがあって調べてみたら違っていたとかね。
その差は何?コンパイラが違う?で、そのコンパイラで作ったものの実績は?え?...で潰れちゃう程度のお方が多いのが、まだまだダメなんだなぁという印象。
安全性を説明できない、この程度の検証をやりましたというのが示されていないケースがあるよね。
そういった程度のモノの提供が目立つので、迂闊に採用できない。
名の通ったベンダーなら、「あそこが間違えたなら仕方ないし、それは現場の問題ともしずらい」という面がある。
新参者が性急なことをコソっとやるから、カドがたつんだよね。
>高額な契約を結べば責任とってくれるのか?知らないけど。
責任はとる他に、落としどころに落とすというのがある。
LinuxとかFreeBSDとか、そこらへんがてんで出来ていない。
1日で出来るとかいっているバカもいますが、それは「あんたのサーバであんたのサービスなら勝手にその拙速パッチでもあてていたらええ、わしとこのは、そうじゃねぇからなぁ、一昨日おいで」ってなところでしょう。