Linux ディストリビューションの公式リポジトリーに含まれる Apache httpd、FreeBSD のリポジトリーに含まれる OpenSSH、Windows XP に含まれる Adobe Flash Player すべてに共通する同じ話だと思います。
また、Linux 環境上に自分でソースを拾ってきて入れた Apache httpd、FreeBSD ports に含まれる OpenSSH、Windows 環境上に入れる Visual Studio などであればすべてに当てはまらない話でしょう。
前者は「一つの製品を構成するソフトウェア群の一部」であり、後者は「特定の製品と組み合わせて利用可能な他の製品」です。
「LinuxというOS」というのを、「特定ディストリビューターによるディストリビューションとしてリリースされた一連の配布物」という定義として言えば、前者に分類されるものであれば「LinuxというOSの脆弱性」としては yes、後者に分類されるものであれば no となる、という理解は普通に行われないでしょうか。
そうではないというのであれば、FreeBSD や Windows のように「OS としての範囲が明確なもの」とは異なり、OS としての区別される範囲が不明瞭であり、かつ数千、数万もの Linux ディストリビューションに共通して言い切れる「OS としての範囲」を定義しないと、暴論と切り捨てることはできないでしょう。
もっと細かく言えば、glibc、sh、cat、echo、ifconfig、login、OpenSSL、OpenSSH、vi、emacs、GCC、X、GNOME、KDE、LibreOffice、Apache httpd ……等々の中で「どこまでが OS の範疇で、どこまでが OS の範疇ではない」と言い切れるのか、という辺りでしょうか。
これらは大抵のディストリビューターのリポジトリーに含まれていますが、通常はすべて (カーネルまで含めて) 開発主体はディストリビューター外部のプロジェクトですね。
「OS の範囲を言いたいのに、なんでわざわざ Linux なんていう不明瞭なものを出すんだ」という不適切さを示すために「暴論ではないでしょう」と言ってるのですよ。
Linux で一般的にここまでが OS という範囲、という共通的な認識など存在しませんし、「Linux という OS」という言葉であっさり説明できるものだとしている事、それ自体がこのストーリーの中で一番乱暴な話です。
外堀がこれでまた一つ埋まった (スコア:-1, フレームのもと)
Macは攻撃されない(マルウェアが少ない)から安全。
ユーザを騙して実行させてるんだからウィルス(マルウェア)じゃない。
と言ってきた信者の人たちの外堀がまた一つ埋められました。
これ、脆弱性ですよね。
システムは乗っ取られないものの、ユーザ権限で勝手にインストールされてしまう。
Re: (スコア:2, 興味深い)
OSとして見ると脆弱性ではありません。
単にOSを含んだシステム全体のセキュリティレベルが低いだけです。
Windows(OS)+セキュリティスイート(セキュリティ対策)では、
前者のセキュリティレベルを後者が引き上げることで
システム全体のセキュリティレベルを引き上げています。
なので、
悪意あるソフトウェアの可能性は後者により検知されます。
ですので、
Windowsはセキュリティ対策が必要で大変と公言したAppleのような姿勢では、
「セキュリティ対策したWinに比べるとMacはセキュリティレベルが低い」
という現実を受け入れる必要があり、
これを受け入れれば前述のとおりこれはOSの脆弱性ではないことになります。
もし、Appleが頑なな姿勢になってしまい
「これでもWinよりはセキュリティレベルは高いんだ」などと言い出すと、
こんどはMac OSの脆弱性としないといけませんね。
本来Mac OSにはその機能があるべきなのに今は欠けているという判断になっていきますから。
Re: (スコア:0)
Re: (スコア:0)
>WindowsUpdate
悪意あるソフトウェアの駆除ツールは
インストール必須ではないオプションのものですし、
「WindowsUpdate」という名称にはすでにOfficeUpdateなども統合されており
アレはもはや「OS単体」の域ではないと思いますよ。
たしかSecurityEssentialsのパターンファイル更新すら出てくると記憶しています。
どっちかっていうと「Winを対象としたMS製品全般の」アップデートな印象ですね。
Re: (スコア:0)
警告が出ないよう"普通に"インストールしたWindowsなら、自動で悪意あるソフトウェアの駆除ツールは毎回自動で導入されますし、アンチウィルスの導入も促されます。
MSEなどはWindowsのライセンスの上で提供されるものなので(不正ライセンスのWindowsなどでは使用できない)、OSに追加する形で提供されています。
ていうか、オプトアウトできる物はOSの機能ではないとか、多機能だからOSの機能ではないとか、頭大丈夫ですか?
その理屈で言うならiOSのアップデートはオプションだからOSの脆弱性の改修はできていない事になるし、ストアも色々提供しているからOSの機能ではないって事になりますよ?
# ちなみにWindowsUpdateにはサードパーティも自前の製品のアップデートを登録できます。nVidia等はビデオドライバまで提供してます。
Re: (スコア:0)
>ていうか、オプトアウトできる物はOSの機能ではないとか、
>多機能だからOSの機能ではないとか、頭大丈夫ですか?
定義として完全ではありませんが、筋違いとも思えません。
たとえばLinuxディストリビューションのリポジトリにおいては、
Linuxカーネル以外にも
大量のユーティリティ類やアプリケーション類が登録されているのが普通です。
ここで、リポジトリで提供されるものはすべて
「LinuxというOSの機能」でしょうか?
それらの脆弱性はすべて「LinuxというOSの脆弱性」でしょうか?
WindowsUpdateでIISのアップデートがあるからIISはOSの機能なんだ、と叫ぶなら
ディストリビューションのリポジトリにApacheがあるからApacheはOSの機能なんだ、
などと叫ばなければなりません。
しかしそれは暴論でしょう。
そこにはやはり「OS」と「それ以外」の区分けがあります。
それを理解できていないあなたの論調は、残念ですが理解が浅いと思わざるを得ません。
Re:外堀がこれでまた一つ埋まった (スコア:1)
いえ、まったく暴論ではないでしょう。Apache httpd を自分でソースコードを拾ってきて入れたにも関わらず「Linux の脆弱性だ」と言うのは暴論というのは同意できますが。
しかし、公式リポジトリーに含まれる「該当ディストリビューションを構成する一連のソフトウェア群」に含まれる Apache httpd を入れたのであれば「該当ディストリビューションを構成するソフトウェアが持つ脆弱性」であって、それをもって「該当ディストリビューションが持つ脆弱性」であると表現するのは暴論ではないでしょう。
リポジトリーに含めるソフトウェアとして何を含めるかを決めるのは、当然 Apache httpd のプロジェクト側ではなくディストリビューター側です。あくまでもディストリビューター側が「自らの目的を達成するために Apache httpd を構成に含めている」訳であり、含めた以上は「一連の配布物を構成する部分」でしかありません。
Linux ディストリビューションの公式リポジトリーに含まれる Apache httpd、FreeBSD のリポジトリーに含まれる OpenSSH、Windows XP に含まれる Adobe Flash Player すべてに共通する同じ話だと思います。
また、Linux 環境上に自分でソースを拾ってきて入れた Apache httpd、FreeBSD ports に含まれる OpenSSH、Windows 環境上に入れる Visual Studio などであればすべてに当てはまらない話でしょう。
前者は「一つの製品を構成するソフトウェア群の一部」であり、後者は「特定の製品と組み合わせて利用可能な他の製品」です。
「LinuxというOS」というのを、「特定ディストリビューターによるディストリビューションとしてリリースされた一連の配布物」という定義として言えば、前者に分類されるものであれば「LinuxというOSの脆弱性」としては yes、後者に分類されるものであれば no となる、という理解は普通に行われないでしょうか。
そうではないというのであれば、FreeBSD や Windows のように「OS としての範囲が明確なもの」とは異なり、OS としての区別される範囲が不明瞭であり、かつ数千、数万もの Linux ディストリビューションに共通して言い切れる「OS としての範囲」を定義しないと、暴論と切り捨てることはできないでしょう。
もっと細かく言えば、glibc、sh、cat、echo、ifconfig、login、OpenSSL、OpenSSH、vi、emacs、GCC、X、GNOME、KDE、LibreOffice、Apache httpd ……等々の中で「どこまでが OS の範疇で、どこまでが OS の範疇ではない」と言い切れるのか、という辺りでしょうか。
これらは大抵のディストリビューターのリポジトリーに含まれていますが、通常はすべて (カーネルまで含めて) 開発主体はディストリビューター外部のプロジェクトですね。
Re: (スコア:0)
>いえ、まったく暴論ではないでしょう。
暴論です。
Linuxにおいて「OS」と「ディストリビューション」を混同していることが問題の根底にあります。
これはWindowsにおいての「OS」と「それ以外」と同じ混同です。
そしてそれは今回の流れの最初に
”「OS」+「セキュリティスイート」”という表現で明確に分離が試みられています。
残念ですがそれを理解しない人が問題を膨らませようとしている状況です。
そこにおいて、何がOSで何がOSではないか、は
万人に対しての明確な答えは出ないでしょうが議論としては興味あります。
だが、「全部OSなんだ」は議論としても意味がありません。
x86で動作するコードの脆弱性はすべてx86アーキテクチャの脆弱性なんだ、
なんて話(そしてさらに先)に行き着くだけの、典型的な極論、暴論です。
Re: (スコア:0)
> Linuxにおいて「OS」と「ディストリビューション」を混同していることが問題の根底にあります。
Linuxにおいて「カーネル」と「OS」を混同していることが問題の根底にあるような気がしました。
Re:外堀がこれでまた一つ埋まった (スコア:1)
とりあえず私はこう記述しています。
なぜこのように記述しているのかを考えた上で、「Linux という OS」と言うものが何を指しているのか定義していただけませんか。
一般的に、Linux においては "OS" という範囲は明確に定義されていません。
「OS の範囲を言いたいのに、なんでわざわざ Linux なんていう不明瞭なものを出すんだ」という不適切さを示すために「暴論ではないでしょう」と言ってるのですよ。
Linux で一般的にここまでが OS という範囲、という共通的な認識など存在しませんし、「Linux という OS」という言葉であっさり説明できるものだとしている事、それ自体がこのストーリーの中で一番乱暴な話です。