パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「セキュリティー強化のため」パッチを強制」記事へのコメント

  • なる可能性はないのかなぁ?と思ってみたり

    MSがpatchを当てることが出来るのならば,上手に
    改竄とか詐称をすれば他者も任意のpatchを当てられそう
    ですが,どうなんだろう?

    そうでなくてもSP当たるとアプリを更新しなければ
    ならないような現状では強制patchは勘弁願いたい
    ところですが…
    • その為にWindowsUpdateでは内部でSSL接続をしているはずですよ。
      MSのSSL証明書が盗られない限り詐称される危険性はかなり少ないでしょう。
      redhatのup2dateとかdebianのaptではどうなんでしょうか?

      #Slackware使いなのでAC
      • DNS詐称と組み合わせれば,別にMSのSSLの証明書を
        盗まなくても,SSL証明書をでっち上げることで
        サーバ詐称できそうな気もしますけど……
        ## 証明書のフィンガープリント持っているとは思いにくいし…

        問題はでっち上げに荷担してくれる認証局があるかどうか?
        • Windows Updateは、ダウンロードにSSLを使用しておらず、ダウンロードしたファイルにMicrosoftのコード署名があるかを自動的に検証しているはず。この検証の際に、Microsoftのルート証明書だけをトラストポイントとしているかどうかですね。そうしているのなら、
          でっち上げに荷担してくれる認証局が
          あっても問題ない。
          親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...