パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される」記事へのコメント

  • by Anonymous Coward on 2015年05月30日 23時06分 (#2822749)

    Linux系OSでは、DebianとかUbuntuとか、RHELとかFedoraとか
    ArchやGentooとかが、パッケージ配布のためのリポジトリーを持っていて
    gpgとかmd5sumとかを使って、不当なパッケージがユーザーの元に届くことを防いでいるじゃん。

    それが主目的じゃ無いわけだけどさ…

    Windows用に、OSSのそれなりのポリシーを持ったリポジトリーと
    パッケージ管理ツールを提供するとしたら
    どのくらいの資金が必要で
    それを集める有効な方法は、まだ発見されていないのかな?

    それとも、Windowsでは
    OSSと戦う姿勢を持つ企業や団体のほうが影響力を持っているの?

    プログラマー以外のWindowsユーザーでは
    SHA-256とかmd5sumとかの知名度の低さにも驚くけどさ

    • by Anonymous Coward

      PuTTYも、バイナリのハッシュは公式サイトで公開しているんじゃなかったかな?
      シェル拡張でmd5なりshaなりチェックできる機能があるのだから、早く標準に取り入れて欲しいとは思いますけどね。

      • シェル拡張でmd5なりshaなりチェックできる機能があるのだから、早く標準に取り入れて欲しいとは思いますけどね。

        Windows 8 ならシェル拡張なんて入れなくても、標準でハッシュ値の確認ができますよ。Power Shell (スタート画面から powershell で検索)に次のように打ち込めばチェックできます。

        PS C:\> Get-FileHash C:\test\test.txt -Algorithm SHA256 | Format-List

        Algorithm : SHA256
        Hash      : 961B6DD3EDE3CB8ECBAACBD68DE040CD78EB2ED5889130CCEB4C49268EA4D506
        Path      : C:\test\test.txt

        アルゴリズムは、SHA1 | SHA256 | SHA384 | SHA512 | MACTripleDES | MD5 | RIPEMD160 に対応しています。

        なお、脆弱なため SHA1, MACTripleDES, MD5 の3つは使わない方が良いと思います。

        親コメント
        • > Windows 8 ならシェル拡張なんて入れなくても、標準で

          いや、Windows 7 でも標準でできますが。

          c:\>ver
           
          Microsoft Windows [Version 6.1.7601]
           
          c:\>certutil -hashfile c:\autoexec.bat MD5
          MD5 ハッシュ (ファイル c:\autoexec.bat):
          d9 eb ec 66 68 a6 09 2f cb d1 71 3c 34 7a a5 e0
          CertUtil: -hashfile コマンドは正常に完了しました。
           
          c:\>certutil -hashfile c:\autoexec.bat SHA1
          SHA1 ハッシュ (ファイル c:\autoexec.bat):
          e8 f2 df 75 ac a9 3c bf 91 76 12 75 93 09 27 13 e8 bc dc 94
          CertUtil: -hashfile コマンドは正常に完了しました。
           
          c:\>certutil -hashfile c:\autoexec.bat SHA256
          SHA256 ハッシュ (ファイル c:\autoexec.bat):
          7e 96 3f ca 61 d4 65 0c 67 51 9f f2 66 9e da c3 25 81 36 21 39 20 40 93 0b c1 1a
            ec da 91 a4 98
          CertUtil: -hashfile コマンドは正常に完了しました。

          小文字でアルゴリズムが指定できないところが MS らしい手抜きを感じます。
          エラーメッセージもなんとかならんのか…

          c:\>certutil -hashfile c:\autoexec.bat sha1
          CertUtil: -hashfile コマンド エラーです: 0xd00000bb (-805306181)
          CertUtil: WsResetMetadata

          親コメント
        • by Anonymous Coward on 2015年05月31日 11時43分 (#2822884)

          いや、あのね、CUIでハッシュチェックできる機能じゃなくて、エクスプローラー上でできる機能を標準搭載しろと、元コメは言っているわけで。そこでPower Shellを持ち出すのは、いささか間違っているとは思わないかな?

          親コメント
          • by Anonymous Coward

            ところでなんだか、最近ここでのPower Shell布教がウザくなってきたんだけど。
            何事にも限度ってものがあるんじゃないかな、と思うんだよね。

            • by Printable is bad. (38668) on 2015年05月31日 13時21分 (#2822923)

              ところでなんだか、最近ここでのPower Shell布教がウザくなってきたんだけど。 何事にも限度ってものがあるんじゃないかな、と思うんだよね。

               致し方ありません。PowerShell は テキスト出入力のパイプといった Unix 的で原始的な手法を180度改め、cmdlet (基本的なプログラム) 間で、オブジェクトデータの受け渡しを可能とした先駆者なのです。CLI界の革命といっても過言ではないはずです。しかしながら、CLI を愛する Unix信者の多くは、PowerShell を WSH (Windows Script Host) と似たようなものだろうと決めつけ軽蔑し、その先進的な理念と構想を知ろうともしません。

               プログラム・コマンド間でのデータの受け渡しに、いちいち、sed だの grep だの awk などの組み合わせてテキスト処理を行っているようでは CLI 界の未来には絶望しかないでしょう。現に、Unix信者が褒め称える Linux の CLI を使うことを極限まで嫌って、X だの Webmin だのを重用する稚拙なサーバ管理者の数が奔騰しているではありませんか。

               CLI の未来のためにも、人類と電子計算機との間の対話からでもスクリプト言語・複雑なプログラミング言語からでも様々なコマンドレットを結合することで直接的にメソッドを適用することのできる PowerShell の荘厳さを人類が理解し、そのアトリビュートを Unix の CLI にも採納する必要があるのです。

              親コメント
              • by Anonymous Coward

                何でもいいけどLinuxで使えるの?
                じゃなければいいや。

              • by Anonymous Coward

                色々ねじくれすぎててアンタ面倒くさいわ

              • by Anonymous Coward
                まあ人類がC#のオブジェクトを直接読み書きできる種に進化するまでは絶対普及しないと断言できるね
                まずは何するにもとりあえず-width 100000つけないと勝手に改行入れて出力ゴチャゴチャにする仕様を何とかしないと、武人の蛮用に堪えないオモチャの域を出ることはない
              • by Anonymous Coward
                まずは標準でポリシーがrestrictedなのをなんとかしてもらってからかな。
                せめてremote signedならいいんだけど。

                便利だし好きではあるけど、スクリプトファイル実行させるにはポリシー変えないといけない、(aliasあるとはいえ)タイプ数が多い、起動が遅いとかいろいろネックあるよな。

                テキスト欲しいのにオブジェクト返ってきちゃうのが便利なんだか不便なんだかイマイチ判断しきれない。
                最近はnode.jsとかで書く方が楽な様な気がしてる。パイプ?コールバックあるから別にそれで足りる。
              • by Anonymous Coward

                で、そのコマンドレットとやらは、必要となればワンライナーでさくっと作れたりするの?

              • by Anonymous Coward

                我が教義は正しいので限度も迷惑も関係なく布教するって?

                完全に故意犯やがな。

              • by Anonymous Coward

                君はテーブルの上にあるバケットを切るためにチェーンソーを用意するのかね?

                何か大きな勘違いをしているようなので突っ込みを入れておくと、君が言う「UNIX信者」の多くは
                Cもシェルスクリプトも、PerlもPythonもRubyも使っている。用途に応じて。

                君はPowerShellがこれらの言語のように、人々から支持されて有名になったと考えているんだろうか。
                我々は必要としていない、ただそれだけだ。必要性を感じないものを布教されるほど不快なことはない。

                もう一つ。
                君が革新的で先駆者、革命とまで讃えている「オブジェクトデータの受け渡し」も20年前から
                PowerShell以外で上手く良く動いている。

                シェルスクリプトには必要十分な処理をこなす能力があるのに、君が槍玉に挙げて得意になっているのは
                悪いジョークかと思ったよ。

              • by Anonymous Coward

                そうそう、そういう感じの人最近多いでしょ、あれって何なの?
                まさか本気なの?

            • by Anonymous Coward

              Unix/Linuxを語るときにコマンド禁止ねってのと同じだろ
              Windowsの標準コマンドシェルなんだから事あるごとにPowerShellの話が出てきて当然

            • by Anonymous Coward

              たかが2コメント程度(2015/06/01 15:45現在)で「布教うざい」とか
              沸点低すぎやしませんか?
              あれかね、オートバイ小僧よろしく「俺の気に入らないネタが視界に
              入ったら死んじゃう病」とか患ってるのだろうか

              • by Anonymous Coward

                まるで昔のアップル信者を見てるみたいだ・・・
                最近はMS信者の方が質悪いな。

          • by Anonymous Coward

            GUI大好きかwww

        • by Anonymous Coward
          そこでCRCを用意しないのがMSらしいというか。C#でプログラム作るたびにCRC32計算するコード書いている気がする…
          • by Anonymous Coward

            CRCは悪意ある改変には無力なので、この話題の用途には不適切ですよね。

            C#にCRC32計算するメソッドくらい用意しておけということについてはほんとそう思いますが。

      • by Anonymous Coward

        当時はそれもHTTPSで提供してなかったんだよ。
        チェックサムだってHTTPSで公開しない限り無意味だし、だったらバイナリそのものをHTTPSで提供するのと変わらん。

    • by Anonymous Coward
      Windows 全般で集約的なリポジトリを作るのは、とてもじゃないけど現実的な話ではないでしょう。
      リリースされるアプリの数が、Linux 系のディストリで管理される程度のものとは桁が違います。

      一般に Windows の世界では、昔から電子署名を使って不当なパッケージやバイナリが手元に届くのを防いでいます。
      まっとうな物であれば必ず電子署名されているといっても差し支えないくらいには普及していますよ。
      • by Anonymous Coward

        エンドユーザが特定の証明書を簡単に失効できない。
        thumbs down な証明書は蹴ってほしいのだが。
        インストーラに含まれるアドウェアはわりと同じ証明書が貼ってある。

    • by Anonymous Coward

      そもそもの問題はWindowsが最初からssh使えないのが悪い、ってのもあると思う。
      Windows使ってた時はPuttyやらPoderosaやら使ってて、Macに初めて買い換えた時sshはどのアプリ使えばいいんだろうと思ってたけど、普通にTerminal(shell)でそのまま使えるんだよな。
      Windowsのshellがもっとまともになればなと。
      まぁshellというか、それに関連する基本的なソフトウェア群だけど。sshとかviとかrsyncとか。
      パッケージ管理あると解決されるのかな。独占やらなんやらでMS自身はできそうにないけど、MacはMacportsやらHomebrewやら、Apple以外で実現してるんだよな。

      • パッケージ管理については、Windows 10のストアはどうでしょうか?Win32アプリも登録できるようになるそうですし。

        親コメント
      • by Anonymous Coward
        まぁ、Windowsにはない機能ですからね。
        LinuxがRDP使えるようにすればいいじゃんって言い分かもしれませんし。

        でもWindowsのバージョンが上がるごとにパス区切りにスラッシュが使える場所が増えてたりしますが。

        今は亡き Services for UNIXにssh入れるとか、MINGWやcygwinあたりを使ってねってところでしょうね。
        gitbash入れれば一応それだけで使えるとも思います(文字コード関係はわかんないですが)

        パッケージ管理は ChocolateyやnuGetがありますね。これはMVPの人が作った奴だったと思います。
        次期は OneGet で、MS手動だったような?
      • by Anonymous Coward

        Enter-PSSessionコマンドレット

    • by Anonymous Coward

      UNIX信者はめんどくせーな。
      エンジニアではない一般ユーザがたくさんいて、スパムメールに実行ファイルが添付されてくるようなWindows文化で、レポジトリなんぞセキュリティの観点からは無意味。
      代わりに、WindowsにはAuthenticodeという電子署名の仕組みがあって、OSレベルでバイナリの真正性をチェックしてるんだから、これを使えばよいだけ。

      >プログラマー以外のWindowsユーザーでは

      あなたの世間の狭さに言葉もないよ。プログラマー以外でSHA-256なんて知ってる人はほとんどいない。
      そんな世間感覚で、現実世界のユーザがセキュアに使えるソフトウェアは開発できないと思うぞ。
      あなたじゃ、Microsoftが、エンジニアでない一般ユーザがセキュアに使える環境を提供するために、どれほど苦労してきたか理解できないだろうな。

      • by Anonymous Coward

        Authenticodeをフリーソフトで使うには証明書の値段がかなり痛い
        英語圏で年間$99から$300、日本語での応対してくれるところで年間15000円から10万近いのまでピンキリだけどそこまでして署名する気にはならんですよ。
        サイトの広告収入やオンライン販売でまかなえちゃうくらい有名どころなら良いんだろうけど。

    • by Anonymous Coward
      そこから入れるとバージョン古いからソースから入れましょうっていうのがたまにあるけどね。
      または別のリポジトリ追加しましょうとか。ソースはさておき、そのPPAは本当に信頼できるの?って話もあるでしょうに。

      プログラマー以外のLinuxユーザーでも
      SHA-256とかmd5sumとかの知名度は高くないと思うよ。
      (そんなん逐一みましょうねってガイドしている本とか見たことない)
      あれもどっちかっていうとダウンロードエラー出てないかっていう用途の方が強いと思うんだけどな。ハッシュ値は改竄されていないってわけもないだろうし。

192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり

処理中...