アカウント名:
パスワード:
オープンソースだと、善人のふりしてプロジェクトに入り込み、バックドア仕掛けるとか、防ぐことできないだろ。
firefoxは安全なのか。全世界で何億台のpcに入ってそうだし。
> オープンソースだと、善人のふりしてプロジェクトに入り込み、> バックドア仕掛けるとか、防ぐことできないだろ。
善人のふりすると言ったって、バグ修正や機能追加でパッチを沢山送って、コミッター、リリースマネージャと昇格していくには、少なくとも2、3年はかかるような気がする。
#その2、3年の間に FTP プロトコルは消滅すると予測。
ま、しょぼいプロジェクトなら可能だろうけど、使ってる人が少なかったらバックドアを仕掛ける価値があるのかどうか。
> #その2、3年の間に FTP プロトコルは消滅すると予測。
しねーよ
それ言い出したら選択肢はIEかoperaの二択に。
そんな時間と手間がかかってしかもバレればあっさり除去されるようなことしなくても、Skypeに接触して圧力かけて盗聴用バックドア作らせたなんてのもあったでしょ。圧力の方法が金で釣ったか、暴力で脅したか、話し合いで説得したかというのは気になるけど。オープンソースは入り込んで仕込んでだまくらかすのには弱いが、脅しや金には案外強い。
買収に強いのは、未然に防ぐよりも、陥落後の対応ですよ。古参の主導メンバーもそうですが、企業主導のも同様、パッチ採用の可否を判断する権限があり、しかも本人はレビューなしでやりたい放題なら仕込めるとは思います。
コミッタが投げた脆弱性修正が問題なさそうなのになぜかrejectになるとかで疑われやすいし、疑いが起きればバグトラッカーが炎上するし、みんながソースを見始める。本人が改善する気がなければ、フォークしてしまえばいい。もちろん関与の証拠が見つかればマスコミに吊るし上げできるし。そういった抵抗する開発者を政府が弾圧するとかでなければね。
>目が多ければ対処も早い。
その目がそれを見ているか?目は見たいものを見る傾向がある。
プロプライエタリだったら防げるんですか?ちょっと何言ってるかわかりません。
> 少なくとも、その会社に入るなり、開発チームにつながるルートが無いと> 難しいよね。
オープンソースプロジェクトのコードレビューより杜撰な審査でコーダーを雇ってる例だって、いくらでもあるような気が……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
他のオープンソースは (スコア:0)
オープンソースだと、善人のふりしてプロジェクトに入り込み、
バックドア仕掛けるとか、防ぐことできないだろ。
firefoxは安全なのか。全世界で何億台のpcに入ってそうだし。
Re:他のオープンソースは (スコア:2)
> オープンソースだと、善人のふりしてプロジェクトに入り込み、
> バックドア仕掛けるとか、防ぐことできないだろ。
善人のふりすると言ったって、バグ修正や機能追加でパッチを沢山送って、コミッター、リリースマネージャと昇格していくには、少なくとも2、3年はかかるような気がする。
#その2、3年の間に FTP プロトコルは消滅すると予測。
ま、しょぼいプロジェクトなら可能だろうけど、使ってる人が少なかったらバックドアを仕掛ける価値があるのかどうか。
Re: (スコア:0)
> #その2、3年の間に FTP プロトコルは消滅すると予測。
しねーよ
Re:他のオープンソースは (スコア:1, おもしろおかしい)
Re: (スコア:0)
それ言い出したら選択肢はIEかoperaの二択に。
Re: (スコア:0)
Re:他のオープンソースは (スコア:2, 興味深い)
そんな時間と手間がかかってしかもバレればあっさり除去されるようなことしなくても、Skypeに接触して圧力かけて盗聴用バックドア作らせたなんてのもあったでしょ。圧力の方法が金で釣ったか、暴力で脅したか、話し合いで説得したかというのは気になるけど。
オープンソースは入り込んで仕込んでだまくらかすのには弱いが、脅しや金には案外強い。
Re: (スコア:0)
プロジェクトに対して、ではなく、古参の主要メンバー個人を標的にすれば、あっさり陥落すると思うが。
OpenBSDのバックドア疑惑とか、ありましたよね。
Re: (スコア:0)
買収に強いのは、未然に防ぐよりも、陥落後の対応ですよ。
古参の主導メンバーもそうですが、企業主導のも同様、パッチ採用の可否を判断する権限があり、しかも本人はレビューなしでやりたい放題なら仕込めるとは思います。
コミッタが投げた脆弱性修正が問題なさそうなのになぜかrejectになるとかで疑われやすいし、疑いが起きればバグトラッカーが炎上するし、みんながソースを見始める。本人が改善する気がなければ、フォークしてしまえばいい。もちろん関与の証拠が見つかればマスコミに吊るし上げできるし。そういった抵抗する開発者を政府が弾圧するとかでなければね。
Re:他のオープンソースは (スコア:2, すばらしい洞察)
プロプラ版「目が多ければ」だね。
Re: (スコア:0)
むしろ、プロジェクトの重要な部分に潜り込みやすいか、そうでないかが重要で、Firefoxぐらいだと相当難しい気がするんだけど。Microsoftに雇ってもらう方が簡単じゃないか?
Re: (スコア:0)
だから、防ぐことができないのは上等で、その先が問題。
Re:他のオープンソースは (スコア:1)
>目が多ければ対処も早い。
その目がそれを見ているか?
目は見たいものを見る傾向がある。
Re: (スコア:0)
Re: (スコア:0)
目が多いと言う期待だけで、ソフトウェアの品質には向上したり、セキュリティホールが減ったりはしない。もちろん、悪意で埋め込まれたコードへの対処が速くなったりもしない。
ユーザの視点からオープンソースで確実にプロプライエタリよりも優れていると言えるのは、ハードウェアやOSに対する縛りが少ないことぐらいじゃないかな。
Re: (スコア:0)
> オープンソースだと、善人のふりしてプロジェクトに入り込み、
> バックドア仕掛けるとか、防ぐことできないだろ。
プロプライエタリだったら防げるんですか?
ちょっと何言ってるかわかりません。
Re: (スコア:0)
難しいよね。
オープンソースなら、誰が関わってるか丸わかり&ソースは公開なんで、
仕込む前段階は簡単だよね。
そういう事では?
どーやって仕込むかはまた別問題だが。
コードチェックの段階で見つけられないような、複雑な物仕込まれる可能性
ってどの程度なんだろ。
Re: (スコア:0)
> 少なくとも、その会社に入るなり、開発チームにつながるルートが無いと
> 難しいよね。
オープンソースプロジェクトのコードレビューより杜撰な審査で
コーダーを雇ってる例だって、いくらでもあるような気が……
Re: (スコア:0)
その点、オープンソースで人不足で困っているところだと、無償ボランティアとして入り込むのは(相対的に)容易いでしょう。