アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
この脆弱性は (スコア:2, 興味深い)
発見される確率が非常に低かったものなのでしょうか?
それとも、遅かれ早かれ発見されたはずのものだったのでしょうか?
この問題は、ソースの秘匿性の是非に関する主要な論点の一つ
だと思うのですが、今回の件はその事に対する例証の一つになる
のではないでしょうか。
# たとえば見せるなら最初から見せ、隠すなら徹底的に隠すべしとか。
Re:この脆弱性は (スコア:2, 興味深い)
ただ、「ソースが無い」状態は「ソースがある」状態よりも遥かに「数」が
多いので「見当がつきやすい物は見つけやすい」とも言えるでしょうし。
//シェア(ユーザー数)が少なければ当然見つかる確率も下がる…:P。
ソースがあり、それを眺める時間と理解する能力があり、更に頭の中で組み立てる
事ができる人なら、実行環境のみの状態よりも遥かに多くの「ミス」を見つけられる
事は望めると思うのです。
書いた本人が気がつけば良いのですけど、詰まらないミスをしてランタイムエラーを
だして「うぎゅぅ…」状態になって探すって言うのもありですから、「書いてる時に
は解らないしビルドした時だって解らない(だからランタイムエラー)」そして
おまけに「滅多にそう言った条件に遭遇しない」ならそれは潜在的なバグとして
日の目を見ないで終わるかもしれません。
MSの考え(MSだけとは言いませんけど)はこの「日の目を見なけりゃ解らない」
派で、オープンソースは「とにかく見つけて潰せ」と言った積極的な姿勢だと思う
のですけど。
どちらが良いかはあたしには解りませんけど、言える事は「MSはオープンソース
をけなしてる(?)暇なんか無いのじゃないの?」って事かも:P。
----
:oすずめのおやどはどこじゃろぉ
('>ぴよぴよ
Re:この脆弱性は (スコア:1)
ソースがあっても、穴の数は増えません。
# 目の数は増えますけどね
# 1,2,たくさん
補足いたします… (スコア:1)
//「目の数」と同じ意味です。
失礼致しました。
----
:oすずめのおやどはどこじゃろぉ
('>ぴよぴよ
Re:この脆弱性は (スコア:1)
もちろんそれはオープンソースにも言えることですですし、オープンソースのほうが悪意を持つユーザが見ることができる確率は多いでしょうけどね。
ただ、社会基盤としてソフトを見るなら多くの人(数的には、時間的にはお金をもらう職業プログラマが見るクローズドも同じくらいなのかもしれないですが)見ることが出来て修正ができる分オープンなソフトのほうが、セキュリティ的観点以外から見てもいいように思います。
Re:この脆弱性は (スコア:1)
んー、それこそが「オープンの穴」である「錯覚」だと思うんだけどね。
「見られること」と「検証していること」はまったく別の話だってことをまず理解しないと。
みなさんがソースでもバイナリでも持って来るときに、
どれだけの人がソースに目を落としているか非常に疑問です。
おそらくほとんどの人はバイナリだけ落としてるのでは?
誰も見てないのであればソースなんてないのと同じですよね。
結局、今のオープンソースのセキュリティは、
「誰かが見ているであろうと言う期待」と言う薄氷に過ぎず、
それは「誰も見られないから見つからないであろうと言う期待」と、
レベル的には何も変わらないんですよね。
実際、信者達があれだけ「完全にセキュアなんだ!」と豪語してたqmailにしたって、
蓋を開けてみれば「なんでそんなバカな」と言うぐらい簡単な仕組みでBoFがあったりするし、
結局「誰かが気が付くまで」と言うポイントはクローズでもオープンでも変わらないんだよね。
そこを理解せず単に「見られる」ことが「安全である」と強調するのは、
「赤信号、みんなで渡れば怖くない」を地で行く行為だと思うけど。
#オープンソースは「参加する事」で初めて威力を発揮するもの、
#誰かに期待するならどっちでも同じだと思いますが。
Re:この脆弱性は (スコア:1)
Re:この脆弱性は (スコア:1)
#まぁなんか我ながら意味不明な文章だしな・・。
多くの目があるからセキュリティは安心なんて書いたつもりはなくて、多くの人が携われるから社会基盤として「安心」して使えると書いたつもりです。
ソースプログラムレベルでのセキュリティという観点でいえば、コードの質を保つ体制が重要であってその方法のひとつにオープンソースがあるだけだと考えます。
#もちろん、オープンであることの意味はほかにもいろいろあります。
もう少しわかりやすくいえば、
オープンだろうがクローズだろうが、コードの質を保つ努力をしなけりゃ同じこと、でもオープンソースだと後々便利なことがおおいよ?どっち使う?って話です。
前半部分については、たとえクローズドソースで隠し通したとしても、複数人で開発している限り、オープンソースより確立は低いかもしれないけど悪意のソースを閲覧できる人がいないとは言い切れないよね?それって概して言えば実は危険度ってそんなにかわらないんじゃないの?って話です。特にクローズドソースだと気がつかない被害が多く出てそうな気がします。(まぁ実害が出たって話聞かないですから、杞憂かもしれませんけどね)
#とりあえずオープンソースだから安全だとはおもってないってことで。
Re:この脆弱性は (スコア:0)
DoS?
Re:この脆弱性は (スコア:0)
・最初から見せる→事前検診、対処療法
今回ソースの一部が出回っただけでセキュリティ上の問題が発見
されたわけですけど、自社以外の期間にソースチェックをして貰う
ということは無かったんでしょうか。
Re:この脆弱性は (スコア:0)
○対症療法