アカウント名:
パスワード:
そんな神話は最初からなかった
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
どこにレスつけようかと思ったけど、ここに。>安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
ですね。そもそも「オープンソースに危険性がない、ぜい弱性がない」っていう話ではない。
プロプラに脆弱性があった場合 「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」
オープンソース「基本的に公開される。パッチは基本すぐに作られる(テスト不足であっても。)。 誰も作る人がいなければ最悪自分で(何処かに頼んでも)つくればいい・ソースはあるのだから。」よってパッチの公開速度が速いし、対策できない事は理論上あり得ないので、(プロプラよりは)総合的に安全度を高くすることが可能。
これは、=危険性のある時間が短いという意味で、時間で鳴らした場合の危険度の問題だと思ってます。
この辺の”時間”とか”総合”とかの前提を全く考えず、”主文”のみ取り出す人が最近多い気がしますね。(この件に限らず、日常でも)
オープンソースだとソースから脆弱性を発見されるってリスクもあります。
クローズソースならトライアンドエラーで穴探しするしかないわけで。(バイナリから探すってレベルだとどっちも同じなので除くとして)
問題が既知になってから修正されない危険度合いはオープンソースのが確実に低いですけども時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
>時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。この認識自体が間違い。
「その既知のぜい弱性に対する開発の時間が遅い(アクティブさがたりない、動かない)と思えば、自分でそこの部分は自分の気に入る速度で修正しろ。そうすれば自分のとこは自分の気に入るように常に安全だ。(いつでも塞げるから安全性は高い)」
それがオープンソースでしょ。 その前提を無視して「パッケージングされたディストリ」そのもので比べるからおかしい。
パッケージングされたディストリのみで比べるならプロプラもオープンソースも対して変わらん。
と言う事で、結局は元レスの様に開発のアクティブさ次第(自分も含む。自分がメンテする気が無い?それは知らん)って話だったりする訳でして・・・
プロプラに脆弱性があった場合「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」
プロプラに脆弱性があった場合「脆弱性のメーカー以外からの公開が許可されるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社が脆弱性情報を公開した者を非難起訴する様ではどうしようもない。」
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
オープンソースの方が安全 (スコア:5, すばらしい洞察)
そんな神話は最初からなかった
Re: (スコア:0)
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
Re:オープンソースの方が安全 (スコア:3, 興味深い)
どこにレスつけようかと思ったけど、ここに。
>安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
ですね。
そもそも「オープンソースに危険性がない、ぜい弱性がない」っていう話ではない。
プロプラに脆弱性があった場合
「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、
そもそも会社がなくなってればどうしようもない。」
オープンソース
「基本的に公開される。パッチは基本すぐに作られる(テスト不足であっても。)。 誰も作る人がいなければ最悪自分で(何処かに頼んでも)つくればいい・ソースはあるのだから。」よってパッチの公開速度が速いし、対策できない事は理論上あり得ないので、(プロプラよりは)総合的に安全度を高くすることが可能。
これは、=危険性のある時間が短いという意味で、時間で鳴らした場合の危険度の問題だと思ってます。
この辺の”時間”とか”総合”とかの前提を全く考えず、”主文”のみ取り出す人が最近多い気がしますね。
(この件に限らず、日常でも)
Re:オープンソースの方が安全 (スコア:2, 興味深い)
オープンソースだとソースから脆弱性を発見されるってリスクもあります。
クローズソースならトライアンドエラーで穴探しするしかないわけで。
(バイナリから探すってレベルだとどっちも同じなので除くとして)
問題が既知になってから修正されない危険度合いはオープンソースのが確実に低いですけども
時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
Re:オープンソースの方が安全 (スコア:1)
>時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
この認識自体が間違い。
「その既知のぜい弱性に対する開発の時間が遅い(アクティブさがたりない、動かない)と思えば、
自分でそこの部分は自分の気に入る速度で修正しろ。
そうすれば自分のとこは自分の気に入るように常に安全だ。
(いつでも塞げるから安全性は高い)」
それがオープンソースでしょ。 その前提を無視して「パッケージングされたディストリ」
そのもので比べるからおかしい。
パッケージングされたディストリのみで比べるならプロプラもオープンソースも対して変わらん。
Re: (スコア:0)
と言う事で、結局は元レスの様に開発のアクティブさ次第(自分も含む。自分がメンテする気が無い?それは知らん)って話だったりする訳でして・・・
Re: (スコア:0)
プロプラに脆弱性があった場合「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」
プロプラに脆弱性があった場合「脆弱性のメーカー以外からの公開が許可されるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社が脆弱性情報を公開した者を非難起訴する様ではどうしようもない。」