パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

流出したソースコードからIE 5の脆弱性が発覚」記事へのコメント

  • by rainforest (4616) on 2004年02月17日 17時46分 (#497493) 日記
    そもそも、ソースの流出が無ければ発見され得なかった、あるいは
    発見される確率が非常に低かったものなのでしょうか?
    それとも、遅かれ早かれ発見されたはずのものだったのでしょうか?

    この問題は、ソースの秘匿性の是非に関する主要な論点の一つ
    だと思うのですが、今回の件はその事に対する例証の一つになる
    のではないでしょうか。

    # たとえば見せるなら最初から見せ、隠すなら徹底的に隠すべしとか。
    • by Spatz (19753) on 2004年02月17日 18時00分 (#497516) ホームページ 日記
      ソースがあるのと無いのとでは、不具合を探す手間もだいぶと違うと思います。
      ただ、「ソースが無い」状態は「ソースがある」状態よりも遥かに「数」が
      多いので「見当がつきやすい物は見つけやすい」とも言えるでしょうし。
      //シェア(ユーザー数)が少なければ当然見つかる確率も下がる…:P。

      ソースがあり、それを眺める時間と理解する能力があり、更に頭の中で組み立てる
      事ができる人なら、実行環境のみの状態よりも遥かに多くの「ミス」を見つけられる
      事は望めると思うのです。

      書いた本人が気がつけば良いのですけど、詰まらないミスをしてランタイムエラーを
      だして「うぎゅぅ…」状態になって探すって言うのもありですから、「書いてる時に
      は解らないしビルドした時だって解らない(だからランタイムエラー)」そして
      おまけに「滅多にそう言った条件に遭遇しない」ならそれは潜在的なバグとして
      日の目を見ないで終わるかもしれません。

      MSの考え(MSだけとは言いませんけど)はこの「日の目を見なけりゃ解らない」
      派で、オープンソースは「とにかく見つけて潰せ」と言った積極的な姿勢だと思う
      のですけど。

      どちらが良いかはあたしには解りませんけど、言える事は「MSはオープンソース
      をけなしてる(?)暇なんか無いのじゃないの?」って事かも:P。
      --

      ----
      :oすずめのおやどはどこじゃろぉ
      ('>ぴよぴよ
      親コメント
    • クローズドなソースでも読める人は限定されてはいるもののいるわけで、当然その人達全員が悪意を持ってないとはいえないわけですよね。

      もちろんそれはオープンソースにも言えることですですし、オープンソースのほうが悪意を持つユーザが見ることができる確率は多いでしょうけどね。

      ただ、社会基盤としてソフトを見るなら多くの人(数的には、時間的にはお金をもらう職業プログラマが見るクローズドも同じくらいなのかもしれないですが)見ることが出来て修正ができる分オープンなソフトのほうが、セキュリティ的観点以外から見てもいいように思います。
      親コメント
      • by TameShiniTotta (19794) on 2004年02月18日 0時42分 (#497783)
        >多くの人(数的には、時間的にはお金をもらう職業プログラマが見るクローズドも同じくらいなのかもしれないですが)見ることが出来て修正ができる

        んー、それこそが「オープンの穴」である「錯覚」だと思うんだけどね。
        「見られること」と「検証していること」はまったく別の話だってことをまず理解しないと。

        みなさんがソースでもバイナリでも持って来るときに、
        どれだけの人がソースに目を落としているか非常に疑問です。
        おそらくほとんどの人はバイナリだけ落としてるのでは?
        誰も見てないのであればソースなんてないのと同じですよね。

        結局、今のオープンソースのセキュリティは、
        「誰かが見ているであろうと言う期待」と言う薄氷に過ぎず、
        それは「誰も見られないから見つからないであろうと言う期待」と、
        レベル的には何も変わらないんですよね。

        実際、信者達があれだけ「完全にセキュアなんだ!」と豪語してたqmailにしたって、
        蓋を開けてみれば「なんでそんなバカな」と言うぐらい簡単な仕組みでBoFがあったりするし、
        結局「誰かが気が付くまで」と言うポイントはクローズでもオープンでも変わらないんだよね。

        そこを理解せず単に「見られる」ことが「安全である」と強調するのは、
        「赤信号、みんなで渡れば怖くない」を地で行く行為だと思うけど。

        #オープンソースは「参加する事」で初めて威力を発揮するもの、
        #誰かに期待するならどっちでも同じだと思いますが。
        親コメント
        • by NAKA Hirotoshi (20576) on 2004年02月18日 0時48分 (#497789)
          その通り
          親コメント
        • 社会基盤としてとセキュリティ以外はと書いたつもりなんだけど・・。
          #まぁなんか我ながら意味不明な文章だしな・・。
          多くの目があるからセキュリティは安心なんて書いたつもりはなくて、多くの人が携われるから社会基盤として「安心」して使えると書いたつもりです。

          ソースプログラムレベルでのセキュリティという観点でいえば、コードの質を保つ体制が重要であってその方法のひとつにオープンソースがあるだけだと考えます。
          #もちろん、オープンであることの意味はほかにもいろいろあります。

          もう少しわかりやすくいえば、
          オープンだろうがクローズだろうが、コードの質を保つ努力をしなけりゃ同じこと、でもオープンソースだと後々便利なことがおおいよ?どっち使う?って話です。

          前半部分については、たとえクローズドソースで隠し通したとしても、複数人で開発している限り、オープンソースより確立は低いかもしれないけど悪意のソースを閲覧できる人がいないとは言い切れないよね?それって概して言えば実は危険度ってそんなにかわらないんじゃないの?って話です。特にクローズドソースだと気がつかない被害が多く出てそうな気がします。(まぁ実害が出たって話聞かないですから、杞憂かもしれませんけどね)

          #とりあえずオープンソースだから安全だとはおもってないってことで。
          親コメント
        • by Anonymous Coward
          > BoF

          DoS?
    • by Anonymous Coward
      ・徹底的に隠す→対処療法
      ・最初から見せる→事前検診、対処療法

       今回ソースの一部が出回っただけでセキュリティ上の問題が発見
      されたわけですけど、自社以外の期間にソースチェックをして貰う
      ということは無かったんでしょうか。

※ただしPHPを除く -- あるAdmin

処理中...