パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenBSDがOpenSSLの大掃除に着手、「OpenOpenSSL」サイトも立ち上がる」記事へのコメント

  • by Anonymous Coward on 2014年04月17日 23時33分 (#2584315)

    一番信頼性が重視させるOpenSSLの実装がこれじゃあね。

    みんなが自由にソースを見ているから信頼性が高くなるなんていうことが
    幻想に過ぎなかったってことを実証しちゃったって感じだなあ。

    • by Anonymous Coward on 2014年04月18日 0時14分 (#2584327)

      安心しろ、クローズドソースのRSA社から買える実装のソースも絶望的に汚い。

      親コメント
      • by Anonymous Coward

        やっぱり二度づけ禁止は徹底しないと…

        「汚いのも味や」と言われればそれまで

        • by Anonymous Coward

          ヤンヤンつけボーの二度漬けはかなりのカルチャーショックでした

      • by Anonymous Coward

        ソースが汚いと解読されないから安心だというコボル世代の人もいるから

    • 煽りなのかも知れないけど、その通りだよ。
      テストやコードのチェックもせずに「~だから信用できる/できない」ってのは全て誤り。「わからない」が唯一絶対の正解。

      「~だから信用できる/できない」と仮定することで得られるものもあるので、機会費用として適当に見積もっておいしいところを得るのが本来ですかね。

      親コメント
    • by Anonymous Coward on 2014年04月17日 23時55分 (#2584324)

      その観点だとクローズドの方がより怖いと思うけど。

      親コメント
      • by Anonymous Coward on 2014年04月18日 10時38分 (#2584501)

        >> みんなが自由にソースを見ているから信頼性が高くなるなんていうことが
        >> 幻想に過ぎなかったってことを実証しちゃったって感じだなあ。

        > その観点だとクローズドの方がより怖いと思うけど。

        もはや、オプソ信望者たちのプロプラ(クローズド)ディス理論も力なしか。
        まともに反論もできなくなってしまった。

        「その観点」で「クローズドの方が~」って全然繋がってないが。

        オプソの利点は、何か自社ソフトウェアを開発する際に流用できるという程度じゃないだろうか。

        親コメント
        • by Anonymous Coward

          クローズドで全く同じものが提供されてたら、まだ(公開する意思のある人は)誰も気づかないままだったって可能性の方が高いと思うけど
          この発見>改良こそが「みんなが自由にソースを見ているから信頼性が高くなる」ってプロセスなわけでしょ?

          今回はその発見に数年かかったというだけで。
          「みんなが自由にソースを見ているから最初から脆弱性は入り込まない」なんてことはあり得ないんだし。

    • by Anonymous Coward on 2014年04月18日 5時40分 (#2584406)

      こうやって晒されて、これから鍛えられて、信頼性が上がっていくんだから合ってるんじゃね。どうでもいいけど。

      まあテキトーな根拠で安全安全しつこい奴が鬱陶しいのはわかる。

      親コメント
    • by Anonymous Coward

      OpenSSL のソースを見てみろとは言いません。一度Configureファイルの中身だけでも見てみてください。これができるのもオープンソースですから。

      一見configure を使っているようでも、普通に見られるシェルスクリプトとは全く違い、Makeファイルの作成法が独自の方法だったり、OSやアーキテクチャーは自分で選択するようになっていたり、コンパイルオプションもアセンブラの指定があったりと、相当きわどいことをしているなとわかります。オープンソース界でもちょっと特殊なのです。OpenSSLは。

      しかもこれが前世紀から延々と受け継がれているのです。1.0.0リリースの時だったか、最高品質だから安心して乗り換えてくれ的なコメントが出されていましたが、とても信じられません。古いのです。何もかもが。ぼろぼろのものをつぎはぎして使っているのです。他に適当なものがないから。

      いずれまた同じような事件が起きます。OpenOpenSSLが一から叩き直してくれるなら、そっちに期待したいです。

    • by Anonymous Coward

      なんでそういう結論になるの?
      オープンソースだから、今回、たまたまコードを読んでた人が見つけたんでしょ?
      コードが公開されてなかったら、読む人もいないので見つけられなかったでしょう。

普通のやつらの下を行け -- バッドノウハウ専門家

処理中...