アカウント名:
パスワード:
そんな神話は最初からなかった
というか、神話は最初から神話でしかなかった、というか。
クラッカーの大半は営利目的だから、攻撃が成功した場合のリターンが大きければ、OSSだろうとクローズドだろうと安全じゃない。脆弱性市場というものが既にある。 http://cpplover.blogspot.jp/2012/06/blog-post.html [blogspot.jp]なのでクローズドが安全というのも同じくナンセンス、攻撃しても大したリターンがないようなマイナーなソフトでないかぎり、脆弱性情報の取引価格の上昇要因にしかならない。
例えば、Googleの社員が空港の非公開部分の見取り図をパブリックに公開しちゃって問題になっていたよね。これは警備上の問題で、オープンではないものが公開されたからだ。
ソースコードでも同じだ。とことん調べれば空港もプログラムも非公開の部分を見ることはできるが、簡単ではない分、クローズドな情報は、オープンな情報よりも安全なんだ。
誰でも入れる公衆便所と、客しか入れないレストランのトイレでは、レストランのトイレのほうが安全だろう。
同じ品質のコードならば、クローズドのほうが安全なのは間違いない。
OSSの方が見つけやすく直しやすいというだけで、網羅的に安全を保障しているわけではない。
プロプラの方が安全という嘘を誰も信じなくなっただけだし。
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
どこにレスつけようかと思ったけど、ここに。>安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
ですね。そもそも「オープンソースに危険性がない、ぜい弱性がない」っていう話ではない。
プロプラに脆弱性があった場合 「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」
オープンソース「基本的に公開される。パッチは基本すぐに作られる(テスト不足であっても。)。 誰も作る人がいなければ最悪自分で(何処かに頼んでも)つくればいい・ソースはあるのだから。」よってパッチの公開速度が速いし、対策できない事は理論上あり得ないので、(プロプラよりは)総合的に安全度を高くすることが可能。
これは、=危険性のある時間が短いという意味で、時間で鳴らした場合の危険度の問題だと思ってます。
この辺の”時間”とか”総合”とかの前提を全く考えず、”主文”のみ取り出す人が最近多い気がしますね。(この件に限らず、日常でも)
オープンソースだとソースから脆弱性を発見されるってリスクもあります。
クローズソースならトライアンドエラーで穴探しするしかないわけで。(バイナリから探すってレベルだとどっちも同じなので除くとして)
問題が既知になってから修正されない危険度合いはオープンソースのが確実に低いですけども時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
>時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。この認識自体が間違い。
「その既知のぜい弱性に対する開発の時間が遅い(アクティブさがたりない、動かない)と思えば、自分でそこの部分は自分の気に入る速度で修正しろ。そうすれば自分のとこは自分の気に入るように常に安全だ。(いつでも塞げるから安全性は高い)」
それがオープンソースでしょ。 その前提を無視して「パッケージングされたディストリ」そのもので比べるからおかしい。
パッケージングされたディストリのみで比べるならプロプラもオープンソースも対して変わらん。
と言う事で、結局は元レスの様に開発のアクティブさ次第(自分も含む。自分がメンテする気が無い?それは知らん)って話だったりする訳でして・・・
プロプラに脆弱性があった場合「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」
プロプラに脆弱性があった場合「脆弱性のメーカー以外からの公開が許可されるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社が脆弱性情報を公開した者を非難起訴する様ではどうしようもない。」
> 安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
いや、オプソ教信者は、皆が監視してすぐに直されるから安全と主張していた。
ところがだ、memcopyの境界チェックすっ飛ばしなんか、調べようと思えばソースを簡単にチェックできるものなのに、長期に渡って、そして広範囲で使われるようになっても、誰も気づかなかった。
いや、気付かなかったわけではなかった…。
> プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、> その実態をどのように公開するか?の道筋がわからん。
オープンソースなので、OpenSSLで混入した脆弱性は容易に知ることはできたし、実際にすぐに発見されていた。ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた。具体的な一例をあげると、NSAはこの脆弱性を利用していたと関係者からの証言があると報じられている。
まさに、君がプロプラの問題点と言っている点が、OpenSSLの脆弱性で発生していたわけ。この攻撃がNSA以外でも、どの範囲でどれくらい行われていたか見当もつかないくらい検知不能なものだった。しかも過去のデータにさかのぼってクラックできるという致命傷すぎる大きな怪我だ。
この件で、プロプラと比較してオープンソースは脆弱性が発見されやすいが、公表されるとは限らず、悪用されやすいという事実を証明してしまった。
>ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた
この悪用していたのは”オープンコミュニティに参加していた本人なの?”
違うでしょ。「発見者(悪意あるハッカー)が通報せずに悪用する」リスクそのものはプロプラでも、オープンソースでも同じ。
どちらが安全か?という議論は「善意の発見者が通報した後、どういうシナリオになる(なりうるか)」で議論すべき事では?
ただ、それ以外に「ソースが公開されているからパッチが誰でも作れる=(安全係数)」だけでオープンソース優位と見るのは間違いだと私も思います。それ以外に
「今回のように”ソースが公開されているからこそ悪用可能な不具合をみつけ悪用する人”」もいるわけで。
ところがだ、OpenSSLはオープンソースであり、修正したらすぐ公開された。悪意の攻撃を計画する奴は、修正個所のコードを見てすぐに攻撃コードを開発して使い始めた。ほとんど修正版への対応が進まないうちから攻撃が大量に発生してしまった。
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 [atmarkit.co.jp]より,
>ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。>「この脆弱性は、さかのぼると2年前から存在していたことが確認さ
> >ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。> >「この脆弱性は、さかのぼると2年前から存在していたことが確認されている。
> あなたの描くシナリオとはだいぶ違っているようですね.
???あなた、大丈夫?
2年前にはこの脆弱性が混入していて、誰でもソースコードを見て発見することができたわけ。そして米NSAのように、いち早く発見して悪用していた勢力もあるわけ。
やっと最近になってコミュニティが問題に気付いて修正し、公開したが、その公開情報から実証コードを作った人が居ると
おっしゃることの意味は分かっているつもりなんですが、1点だけ……。
よって、オプソでセキュリティアップデート版がリリースされたら、クローズドよりも大急ぎでアップデートしないといけないわけ。
オープンソースの場合には攻撃方法が公開されているも同然なので急がなければいけないのはその通りなのですが、クローズドソースの場合、脆弱性が発見の経緯とかアップデートされるまでに放置された期間とかが示されないことも多いので(外部の専門家から多数の報告がされた後とか、攻撃があった後とかってこともあります)、やっぱり急がなければいけないのは同じですよね。# オプソっていうとモルヒネにしか聞こえないので、この略はやめてほしい
信者はそうかもしれませんが、それにオプソ・プロプラは関係ないです。
あと、オプソの方が脆弱性が発見されやすいという根拠がない。オプソもプロプラも長期にわたり発見されてない脆弱性もあればリリース直後に発見される脆弱性もあり、定性的には違わない。発見のされやすさと、悪用のされやすさの相関も示されてない。オプソもプロプラも沢山の脆弱性が悪用しない人により発見されていて、悪用しない人に発見されやすいとかされにくいとか、明らかな違いがあるわけでもない。致命的かどうかも様々だ。プロプラの問題がオプソでも発生するからオプソも変わらない、ではなくダメとする理由がない。そんなではプロプラ信者といわれますよ?
> あと、オプソの方が脆弱性が発見されやすいという根拠がない。
えっと、ちょっとかわいそうな感じですね。
オープンソースのほうがクローズドソースよりオープンであるという根拠がないと言ってるようなもんですよ、あなたのそれは。
以前はオープンであれば脆弱性は発見されやすく安全であるといわれていた。しかし、それは幻想であり、現在はオープンであることが発見されやすいこととイコールではないとされている。「オープン=発見しやすい」という図式を持ち出すとオプソ厨って言われますよ。
この話に限らず、神話という言葉はネガティブな目的で使われることが多いですね。
信じる信じないで判断する人はけっきょく救われない
そういう神話が広く信じられてきた、ということにしておいて、それを切って捨てる、という、相手を攻撃するためによく使われる手法だと思います。
ちょっと考えてみれば、そんな神話がそもそも成立するはずがないことが、すぐに分かるはず。いままでオープンソースにはセキュリティ上のバグがひとつもなかった、というのならともかく。
どんな世界にもバカはいるので、オープンソースにはセキュリティ上のバグがひとつもなかったと信じているバカなオープンソース信者も中にはいるかもしれないですが。
「神話」って言葉がおかしい。原発が安全とかの話で馬鹿なマスコミが使い始めた用法でしょ。まねすべきじゃないよ。
オープンソースの方が安全だという主張があった。それは多分誤解。
それだけのことでしょ。
>相対的にオープンソースの方が安全という状況
初耳です。根拠は?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
オープンソースの方が安全 (スコア:5, すばらしい洞察)
そんな神話は最初からなかった
Re:オープンソースの方が安全 (スコア:2)
というか、神話は最初から神話でしかなかった、というか。
Re:オープンソースの方が安全 (スコア:2)
クラッカーの大半は営利目的だから、攻撃が成功した場合のリターンが大きければ、OSSだろうとクローズドだろうと安全じゃない。
脆弱性市場というものが既にある。 http://cpplover.blogspot.jp/2012/06/blog-post.html [blogspot.jp]
なのでクローズドが安全というのも同じくナンセンス、
攻撃しても大したリターンがないようなマイナーなソフトでないかぎり、脆弱性情報の取引価格の上昇要因にしかならない。
Re: (スコア:0)
例えば、Googleの社員が空港の非公開部分の見取り図をパブリックに公開しちゃって問題になっていたよね。
これは警備上の問題で、オープンではないものが公開されたからだ。
ソースコードでも同じだ。
とことん調べれば空港もプログラムも非公開の部分を見ることはできるが、簡単ではない分、クローズドな情報は、オープンな情報よりも安全なんだ。
誰でも入れる公衆便所と、客しか入れないレストランのトイレでは、レストランのトイレのほうが安全だろう。
同じ品質のコードならば、クローズドのほうが安全なのは間違いない。
Re: (スコア:0)
OSSの方が見つけやすく直しやすいというだけで、網羅的に安全を保障しているわけではない。
そもそも (スコア:0)
プロプラの方が安全という嘘を誰も信じなくなっただけだし。
Re: (スコア:0)
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
Re:オープンソースの方が安全 (スコア:3, 興味深い)
どこにレスつけようかと思ったけど、ここに。
>安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
ですね。
そもそも「オープンソースに危険性がない、ぜい弱性がない」っていう話ではない。
プロプラに脆弱性があった場合
「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、
そもそも会社がなくなってればどうしようもない。」
オープンソース
「基本的に公開される。パッチは基本すぐに作られる(テスト不足であっても。)。 誰も作る人がいなければ最悪自分で(何処かに頼んでも)つくればいい・ソースはあるのだから。」よってパッチの公開速度が速いし、対策できない事は理論上あり得ないので、(プロプラよりは)総合的に安全度を高くすることが可能。
これは、=危険性のある時間が短いという意味で、時間で鳴らした場合の危険度の問題だと思ってます。
この辺の”時間”とか”総合”とかの前提を全く考えず、”主文”のみ取り出す人が最近多い気がしますね。
(この件に限らず、日常でも)
Re:オープンソースの方が安全 (スコア:2, 興味深い)
オープンソースだとソースから脆弱性を発見されるってリスクもあります。
クローズソースならトライアンドエラーで穴探しするしかないわけで。
(バイナリから探すってレベルだとどっちも同じなので除くとして)
問題が既知になってから修正されない危険度合いはオープンソースのが確実に低いですけども
時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
Re:オープンソースの方が安全 (スコア:1)
>時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
この認識自体が間違い。
「その既知のぜい弱性に対する開発の時間が遅い(アクティブさがたりない、動かない)と思えば、
自分でそこの部分は自分の気に入る速度で修正しろ。
そうすれば自分のとこは自分の気に入るように常に安全だ。
(いつでも塞げるから安全性は高い)」
それがオープンソースでしょ。 その前提を無視して「パッケージングされたディストリ」
そのもので比べるからおかしい。
パッケージングされたディストリのみで比べるならプロプラもオープンソースも対して変わらん。
Re: (スコア:0)
と言う事で、結局は元レスの様に開発のアクティブさ次第(自分も含む。自分がメンテする気が無い?それは知らん)って話だったりする訳でして・・・
Re: (スコア:0)
プロプラに脆弱性があった場合「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」
プロプラに脆弱性があった場合「脆弱性のメーカー以外からの公開が許可されるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社が脆弱性情報を公開した者を非難起訴する様ではどうしようもない。」
Re:オープンソースの方が安全 (スコア:2, 参考になる)
> 安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
いや、オプソ教信者は、皆が監視してすぐに直されるから安全と主張していた。
ところがだ、memcopyの境界チェックすっ飛ばしなんか、調べようと思えばソースを簡単にチェックできるものなのに、長期に渡って、そして広範囲で使われるようになっても、誰も気づかなかった。
いや、気付かなかったわけではなかった…。
> プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、
> その実態をどのように公開するか?の道筋がわからん。
オープンソースなので、OpenSSLで混入した脆弱性は容易に知ることはできたし、実際にすぐに発見されていた。
ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた。
具体的な一例をあげると、NSAはこの脆弱性を利用していたと関係者からの証言があると報じられている。
まさに、君がプロプラの問題点と言っている点が、OpenSSLの脆弱性で発生していたわけ。
この攻撃がNSA以外でも、どの範囲でどれくらい行われていたか見当もつかないくらい検知不能なものだった。
しかも過去のデータにさかのぼってクラックできるという致命傷すぎる大きな怪我だ。
この件で、プロプラと比較してオープンソースは脆弱性が発見されやすいが、公表されるとは限らず、悪用されやすいという事実を証明してしまった。
Re:オープンソースの方が安全 (スコア:3, 興味深い)
>ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた
この悪用していたのは”オープンコミュニティに参加していた本人なの?”
違うでしょ。
「発見者(悪意あるハッカー)が通報せずに悪用する」リスクそのものはプロプラでも、オープンソースでも同じ。
どちらが安全か?という議論は「善意の発見者が通報した後、どういうシナリオになる(なりうるか)」で議論すべき事では?
ただ、それ以外に「ソースが公開されているからパッチが誰でも作れる=(安全係数)」だけでオープンソース優位と見るのは間違いだと私も
思います。それ以外に
「今回のように”ソースが公開されているからこそ悪用可能な不具合をみつけ悪用する人”」もいるわけで。
Re: (スコア:0)
ところがだ、OpenSSLはオープンソースであり、修正したらすぐ公開された。
悪意の攻撃を計画する奴は、修正個所のコードを見てすぐに攻撃コードを開発して使い始めた。
ほとんど修正版への対応が進まないうちから攻撃が大量に発生してしまった。
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 [atmarkit.co.jp]より,
>ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。
>「この脆弱性は、さかのぼると2年前から存在していたことが確認さ
Re: (スコア:0)
> >ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。
> >「この脆弱性は、さかのぼると2年前から存在していたことが確認されている。
> あなたの描くシナリオとはだいぶ違っているようですね.
???
あなた、大丈夫?
2年前にはこの脆弱性が混入していて、誰でもソースコードを見て発見することができたわけ。
そして米NSAのように、いち早く発見して悪用していた勢力もあるわけ。
やっと最近になってコミュニティが問題に気付いて修正し、公開したが、その公開情報から実証コードを作った人が居ると
Re: (スコア:0)
おっしゃることの意味は分かっているつもりなんですが、1点だけ……。
よって、オプソでセキュリティアップデート版がリリースされたら、クローズドよりも大急ぎでアップデートしないといけないわけ。
オープンソースの場合には攻撃方法が公開されているも同然なので急がなければいけないのはその通りなのですが、クローズドソースの場合、脆弱性が発見の経緯とかアップデートされるまでに放置された期間とかが示されないことも多いので(外部の専門家から多数の報告がされた後とか、攻撃があった後とかってこともあります)、やっぱり急がなければいけないのは同じですよね。
# オプソっていうとモルヒネにしか聞こえないので、この略はやめてほしい
Re: (スコア:0)
信者はそうかもしれませんが、それにオプソ・プロプラは関係ないです。
あと、オプソの方が脆弱性が発見されやすいという根拠がない。
オプソもプロプラも長期にわたり発見されてない脆弱性もあればリリース直後に発見される脆弱性もあり、定性的には違わない。
発見のされやすさと、悪用のされやすさの相関も示されてない。
オプソもプロプラも沢山の脆弱性が悪用しない人により発見されていて、悪用しない人に発見されやすいとかされにくいとか、明らかな違いがあるわけでもない。
致命的かどうかも様々だ。
プロプラの問題がオプソでも発生するからオプソも変わらない、ではなくダメとする理由がない。
そんなではプロプラ信者といわれますよ?
Re: (スコア:0)
> あと、オプソの方が脆弱性が発見されやすいという根拠がない。
えっと、ちょっとかわいそうな感じですね。
オープンソースのほうがクローズドソースよりオープンであるという根拠がない
と言ってるようなもんですよ、あなたのそれは。
Re: (スコア:0)
以前はオープンであれば脆弱性は発見されやすく安全であるといわれていた。
しかし、それは幻想であり、現在はオープンであることが発見されやすいこととイコールではないとされている。
「オープン=発見しやすい」という図式を持ち出すとオプソ厨って言われますよ。
Re: (スコア:0)
この話に限らず、神話という言葉はネガティブな目的で使われることが多いですね。
Re: (スコア:0)
信じる信じないで判断する人はけっきょく救われない
Re: (スコア:0)
そういう神話が広く信じられてきた、ということにしておいて、それを切って捨てる、という、
相手を攻撃するためによく使われる手法だと思います。
ちょっと考えてみれば、そんな神話がそもそも成立するはずがないことが、すぐに分かるはず。
いままでオープンソースにはセキュリティ上のバグがひとつもなかった、というのならともかく。
どんな世界にもバカはいるので、オープンソースにはセキュリティ上のバグがひとつもなかったと
信じているバカなオープンソース信者も中にはいるかもしれないですが。
Re: (スコア:0)
「神話」って言葉がおかしい。
原発が安全とかの話で馬鹿なマスコミが使い始めた用法でしょ。
まねすべきじゃないよ。
オープンソースの方が安全だという主張があった。それは多分誤解。
それだけのことでしょ。
Re: (スコア:0)
>相対的にオープンソースの方が安全という状況
初耳です。根拠は?