パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

流出したソースコードからIE 5の脆弱性が発覚」記事へのコメント

  • そもそも、ソースの流出が無ければ発見され得なかった、あるいは
    発見される確率が非常に低かったものなのでしょうか?
    それとも、遅かれ早かれ発見されたはずのものだったのでしょうか?

    この問題は、ソースの秘匿性の是非に
    • クローズドなソースでも読める人は限定されてはいるもののいるわけで、当然その人達全員が悪意を持ってないとはいえないわけですよね。

      もちろんそれはオープンソースにも言えることですですし、オープンソースのほうが悪意を持つユーザが見ることができる確率は多いでしょうけどね。

      ただ、社会基盤としてソフトを見るなら多くの人(数的には、時間的にはお金をもらう職業プログラマが見るクローズドも同じくらいなのかもしれないですが)見ることが出来て修正ができる分オープンなソフトのほうが、セキュリティ的観点以外から見てもいいように思います。
      親コメント
      • by TameShiniTotta (19794) on 2004年02月18日 0時42分 (#497783)
        >多くの人(数的には、時間的にはお金をもらう職業プログラマが見るクローズドも同じくらいなのかもしれないですが)見ることが出来て修正ができる

        んー、それこそが「オープンの穴」である「錯覚」だと思うんだけどね。
        「見られること」と「検証していること」はまったく別の話だってことをまず理解しないと。

        みなさんがソースでもバイナリでも持って来るときに、
        どれだけの人がソースに目を落としているか非常に疑問です。
        おそらくほとんどの人はバイナリだけ落としてるのでは?
        誰も見てないのであればソースなんてないのと同じですよね。

        結局、今のオープンソースのセキュリティは、
        「誰かが見ているであろうと言う期待」と言う薄氷に過ぎず、
        それは「誰も見られないから見つからないであろうと言う期待」と、
        レベル的には何も変わらないんですよね。

        実際、信者達があれだけ「完全にセキュアなんだ!」と豪語してたqmailにしたって、
        蓋を開けてみれば「なんでそんなバカな」と言うぐらい簡単な仕組みでBoFがあったりするし、
        結局「誰かが気が付くまで」と言うポイントはクローズでもオープンでも変わらないんだよね。

        そこを理解せず単に「見られる」ことが「安全である」と強調するのは、
        「赤信号、みんなで渡れば怖くない」を地で行く行為だと思うけど。

        #オープンソースは「参加する事」で初めて威力を発揮するもの、
        #誰かに期待するならどっちでも同じだと思いますが。
        親コメント
        • by NAKA Hirotoshi (20576) on 2004年02月18日 0時48分 (#497789)
          その通り
          親コメント
        • 社会基盤としてとセキュリティ以外はと書いたつもりなんだけど・・。
          #まぁなんか我ながら意味不明な文章だしな・・。
          多くの目があるからセキュリティは安心なんて書いたつもりはなくて、多くの人が携われるから社会基盤として「安心」して使えると書いたつもりです。

          ソースプログラムレベルでのセキュリティという観点でいえば、コードの質を保つ体制が重要であってその方法のひとつにオープンソースがあるだけだと考えます。
          #もちろん、オープンであることの意味はほかにもいろいろあります。

          もう少しわかりやすくいえば、
          オープンだろうがクローズだろうが、コードの質を保つ努力をしなけりゃ同じこと、でもオープンソースだと後々便利なことがおおいよ?どっち使う?って話です。

          前半部分については、たとえクローズドソースで隠し通したとしても、複数人で開発している限り、オープンソースより確立は低いかもしれないけど悪意のソースを閲覧できる人がいないとは言い切れないよね?それって概して言えば実は危険度ってそんなにかわらないんじゃないの?って話です。特にクローズドソースだと気がつかない被害が多く出てそうな気がします。(まぁ実害が出たって話聞かないですから、杞憂かもしれませんけどね)

          #とりあえずオープンソースだから安全だとはおもってないってことで。
          親コメント
        • by Anonymous Coward
          > BoF

          DoS?

身近な人の偉大さは半減する -- あるアレゲ人

処理中...