アカウント名:
パスワード:
脆弱性はOSSであるかどうかによって存在するのではなく、脆弱性が存在しないことが証明されない限り必ず存在するものである。脆弱性が存在しないことを証明するのは、悪魔の証明である。自己満足の世界でしかない。
どんなソフトウェアにも脆弱性はある、という前提で。攻撃側からしたら、「脆弱性を探すコスト」をできるだけ下げつつ、「攻撃できるターゲットが多い」方が効果が望めるので。
つまりオープンソースかどうかではなく、単に「普及すればするほど狙われる」以上の話ではないし、だから「普及率が低い新製品」は、そういう意味では確かに有利ではある。
近頃は標的型攻撃というのがありまして
で?
標的型であれば、使用しているソフトがプロプラだろうがオープンソースだろうが、普及率が高かろうが低かろうが、狙われる確率は大差ないし、この話題には関係ないと思うんだが。
狙われる確率は大差ないかもしれないが、普及率が高いほうが脆弱性の情報は上がってきやすかろうよ
上がる先がどちらになるかは不明ですけどね
# 普及している分高く売れそうだし、# 重大な障害が見つかり修正版が公開されてもそれが適用されるのに何ヶ月かかることやら
脆弱性の情報は、どこに上がるんだろうか、普及率が高いほうが闇で高値で売れそう
オープンソースのほうが脆弱性を探すコストが下がる可能性もあるが、同時に脆弱性が発見されて対策される可能性も上がるのでどっこいどっこい。
OSSは最低限のレビューが保証されるが、プロプラでその保証がないから品質は完全にピンきり。ただまぁこんなこと自称しちゃう時点でなんとも怪しくはある。普及するまでもなくごく一部のユーザによる検証で破綻してもおかしくはないが、普及して攻撃にさらされるようになった時にどうなるか見ものだな。
プロプラつってもさー。最低単位がハードこみ約100万円(保守3年つき)とかいうアプライアンスなわけですよ、これ。
Windows(やIE)、Adobe製品等、量販店いけば誰でも買えるって代物なら兎も角、こんなもんを「検証して破綻させる一部のユーザー」って何者よ?企業ユーザーとかで「購入して試験したら穴を見つけた」みたいなことは起き得るけど、それは普通にメーカーに保守として修正させるよね。かといって一般人やらクラッカーグループがこんなもんわざわざ買って検証するとは思えない、個人が道楽で買う金額じゃないし、販売方式的に足がつく可能性も高いのに。
あと、DNSってプロトコルの仕様として、サーバー側のソフトウェア名称を取得するようなコマンドはなかった筈なので。アプライアンスがよほどタコい設定をしてない限り、「そもそもそのDNSアプライアンスを使ってる」ことを外部が知れるかどうかが困難だし。まあうん、たとえば「Bindでゼロデイ攻撃が多発」みたいな状況で、クラッカーグループが「こいつ攻撃してみたけどBindの脆弱性が通らない、何か別の使ってるな」ぐらいに観測される程度が関の山じゃないかなぁ。
# あまりに普及したらブラックボックス攻撃に晒されて穴が見つかることもあるかもしれないけど# それは1年や2年で起きるようなことじゃないから、心配しなくていいと思うよ
DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。
日本語読めないの?それともバカなの?
「大金をとってるから価値が高い」ではなく、「どれだけユーザーが増えるかもわからないようなアプライアンスで、保守契約こみで契約するような代物を、クラッキングのために買うヤツはそうそう居ない」ってだけの話じゃん。
> OSSは最低限のレビューが保証される
マジで!? じゃあ俺もOSSやる!
「修正されていないぞおおおお」「誰か!バグを修正してええええ!」「おかしい、オープンソースは多くの人間がレビューしている」こう言っているOSS推進派も、コードの修正はしていないのである。「えっ」「それなのに修正されない・・・何か政治的な圧力があったに違いない」「はやく、バグをなおして、でないと攻撃されちゃって……!」泣き叫んでいるOSS利用のSIerですらも、メンテに人員を割いてはいないのである。
嫌われ者がやると、フルボッコにされますが。ACでは出せませんし。
MTAであるQMail [wikipedia.org]の作者が開発した、djbdns [cr.yp.to]を思い出しましたよ。まぁ、がんばってね…(´・ω・`) としかいえないですが。
qmailですな。qmailもdjbdnsも、今そのものを見ると「あんなキワモノ」という評価かも知れませんが、いずれも競合ソフトにセキュアであることの大切さを気付かせたものだったように思います。がんばったというより、結果を出したソフトたちですね。
どんなに堅牢な設計でもメンテを放棄されたソフトはセキュアでないと気付かされました。
qmailやdjbdnsも「柔軟性?協調性?なにそれおいしいの」というdjb氏の性格を体現したような偏屈なソフトではあったが、脆弱性の低さという点ではみごと公約通りの実績を叩き出してくれたじゃないか。
悪魔の証明かどうかはともかく、証明しようと思ったら脆弱性を数学的に定義しないといけないな。
ハードウェアに起因する脆弱性は含めるか。リンクしている標準ライブラリ等の脆弱性は含めるか。DDoSアタック耐性が弱いのは脆弱性に含めるか。(リソースを占有しすぎて他のプロセスの穴を突かれるとか)まあ色々ありそうですな。
結局、モデルとはプログラムで、仕様はモデルを作るための曖昧模糊とした何かなんですよね。仕様をモデルと同じ精細度で書いても意味ないので、曖昧模糊とは、それで良いそれ以外に有り得ない精細度では有るのですが、問題は、それを合意の正文書としてしまっていることで、いくらでも、仕様バグの湧き出す策源地と化している以上、証明は原理的に無理。
何をやっても、虎を屏風から出すのは誰だの話しでおわってしまう!
やはりここは「脆弱性ゼロ」を公約に新党をですね…
どうせ「私はAIです」とかいいながら反故にするんでしょ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
自己満足の極み (スコア:0)
脆弱性はOSSであるかどうかによって存在するのではなく、脆弱性が存在しないことが証明されない限り必ず存在するものである。脆弱性が存在しないことを証明するのは、悪魔の証明である。自己満足の世界でしかない。
Re:自己満足の極み (スコア:3, 興味深い)
どんなソフトウェアにも脆弱性はある、という前提で。
攻撃側からしたら、「脆弱性を探すコスト」をできるだけ下げつつ、「攻撃できるターゲットが多い」方が効果が望めるので。
つまりオープンソースかどうかではなく、単に「普及すればするほど狙われる」以上の話ではないし、だから「普及率が低い新製品」は、そういう意味では確かに有利ではある。
Re: (スコア:0)
近頃は標的型攻撃というのがありまして
Re:自己満足の極み (スコア:1)
近頃は標的型攻撃というのがありまして
で?
標的型であれば、使用しているソフトがプロプラだろうがオープンソースだろうが、普及率が高かろうが低かろうが、狙われる確率は大差ないし、この話題には関係ないと思うんだが。
Re: (スコア:0)
狙われる確率は大差ないかもしれないが、普及率が高いほうが脆弱性の情報は上がってきやすかろうよ
Re: (スコア:0)
上がる先がどちらになるかは不明ですけどね
# 普及している分高く売れそうだし、
# 重大な障害が見つかり修正版が公開されてもそれが適用されるのに何ヶ月かかることやら
Re: (スコア:0)
脆弱性の情報は、どこに上がるんだろうか、普及率が高いほうが闇で高値で売れそう
Re: (スコア:0, 興味深い)
オープンソースのほうが脆弱性を探すコストが下がる可能性もあるが、
同時に脆弱性が発見されて対策される可能性も上がるのでどっこいどっこい。
OSSは最低限のレビューが保証されるが、プロプラでその保証がないから品質は完全にピンきり。
ただまぁこんなこと自称しちゃう時点でなんとも怪しくはある。
普及するまでもなくごく一部のユーザによる検証で破綻してもおかしくはないが、
普及して攻撃にさらされるようになった時にどうなるか見ものだな。
Re:自己満足の極み (スコア:1)
プロプラつってもさー。最低単位がハードこみ約100万円(保守3年つき)とかいうアプライアンスなわけですよ、これ。
Windows(やIE)、Adobe製品等、量販店いけば誰でも買えるって代物なら兎も角、こんなもんを「検証して破綻させる一部のユーザー」って何者よ?
企業ユーザーとかで「購入して試験したら穴を見つけた」みたいなことは起き得るけど、それは普通にメーカーに保守として修正させるよね。
かといって一般人やらクラッカーグループがこんなもんわざわざ買って検証するとは思えない、個人が道楽で買う金額じゃないし、販売方式的に足がつく可能性も高いのに。
あと、DNSってプロトコルの仕様として、サーバー側のソフトウェア名称を取得するようなコマンドはなかった筈なので。
アプライアンスがよほどタコい設定をしてない限り、「そもそもそのDNSアプライアンスを使ってる」ことを外部が知れるかどうかが困難だし。
まあうん、たとえば「Bindでゼロデイ攻撃が多発」みたいな状況で、クラッカーグループが「こいつ攻撃してみたけどBindの脆弱性が通らない、何か別の使ってるな」ぐらいに観測される程度が関の山じゃないかなぁ。
# あまりに普及したらブラックボックス攻撃に晒されて穴が見つかることもあるかもしれないけど
# それは1年や2年で起きるようなことじゃないから、心配しなくていいと思うよ
Re: (スコア:0)
DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、
「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。
Re: (スコア:0)
DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、
「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。
日本語読めないの?それともバカなの?
「大金をとってるから価値が高い」ではなく、「どれだけユーザーが増えるかもわからないようなアプライアンスで、保守契約こみで契約するような代物を、クラッキングのために買うヤツはそうそう居ない」ってだけの話じゃん。
Re: (スコア:0)
> OSSは最低限のレビューが保証される
マジで!? じゃあ俺もOSSやる!
Re:自己満足の極み (スコア:1)
> OSSは最低限のレビューが保証される
「修正されていないぞおおおお」
「誰か!バグを修正してええええ!」
「おかしい、オープンソースは多くの人間がレビューしている」
こう言っているOSS推進派も、コードの修正はしていないのである。
「えっ」
「それなのに修正されない・・・何か政治的な圧力があったに違いない」
「はやく、バグをなおして、でないと攻撃されちゃって……!」
泣き叫んでいるOSS利用のSIerですらも、メンテに人員を割いてはいないのである。
Re: (スコア:0)
嫌われ者がやると、フルボッコにされますが。ACでは出せませんし。
Re:自己満足の極み (スコア:1)
MTAであるQMail [wikipedia.org]の作者が開発した、djbdns [cr.yp.to]を思い出しましたよ。
まぁ、がんばってね…(´・ω・`) としかいえないですが。
Re:自己満足の極み (スコア:1)
qmailですな。
qmailもdjbdnsも、今そのものを見ると「あんなキワモノ」という評価かも知れませんが、いずれも競合ソフトにセキュアであることの大切さを気付かせたものだったように思います。がんばったというより、結果を出したソフトたちですね。
Re: (スコア:0)
どんなに堅牢な設計でもメンテを放棄されたソフトはセキュアでないと気付かされました。
Re:自己満足の極み (スコア:1)
qmailやdjbdnsも「柔軟性?協調性?なにそれおいしいの」というdjb氏の性格を体現したような偏屈なソフトではあったが、
脆弱性の低さという点ではみごと公約通りの実績を叩き出してくれたじゃないか。
Re: (スコア:0)
悪魔の証明かどうかはともかく、証明しようと思ったら脆弱性を数学的に定義しないといけないな。
Re: (スコア:0)
ハードウェアに起因する脆弱性は含めるか。
リンクしている標準ライブラリ等の脆弱性は含めるか。
DDoSアタック耐性が弱いのは脆弱性に含めるか。(リソースを占有しすぎて他のプロセスの穴を突かれるとか)
まあ色々ありそうですな。
Re: (スコア:0)
結局、モデルとはプログラムで、仕様はモデルを作るための曖昧模糊とした何かなんですよね。
仕様をモデルと同じ精細度で書いても意味ないので、曖昧模糊とは、それで良いそれ以外に有り得ない
精細度では有るのですが、
問題は、それを合意の正文書としてしまっていることで、
いくらでも、仕様バグの湧き出す策源地と化している以上、証明は原理的に無理。
何をやっても、虎を屏風から出すのは誰だの話しでおわってしまう!
Re: (スコア:0)
やはりここは「脆弱性ゼロ」を公約に新党をですね…
Re: (スコア:0)
どうせ「私はAIです」とかいいながら反故にするんでしょ