パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

ネット通販にバックドア仕込む、開発エンジニアが逮捕・起訴」記事へのコメント

  • > 自分のポイントが1万円分を下回ると
    ・ってプログラム内部に特定の個人IDとか会員IDを判別する仕組みを
    埋め込んだってこと?
    これだとソース見ない限りわからないかもしれないけど、ソース見たら
    すぐ分かっちゃうよね。

    ・テストでは見つからなかったの?
    ひょっとしてその逮捕されたエンジニアがテストも行ったの?
    • Re:自分のポイント (スコア:2, すばらしい洞察)

      ソース見れば分かるなんてのは、爆笑というか何というか、ナイーブですな。ソースを難読化するツールなんて昔っから山ほどある。一見動いていて、見ても何がなんだか分からないものをリファクタリ
      • by patagon (1453) on 2004年03月15日 20時40分 (#514810) 日記
        > この意見全体やっぱり失笑もの。
        納品物としてソースまで見ることはないのがほとんどと思われるけど、
        特定のIDをなんかするようなヘボなコードは入れないと思ったんですよ。
        万が一ソースを見られたらその時はそのIDをもとに誰かってわかるでしょう。
        だから特定のIDを区別するようなコーディングをソース中に埋め込まなくても
        特定のIDの時はなんか特別の処理をしてくれるような仕組を埋め込む方法が
        あるのか知りたかったんですけどね。
        親コメント
        • 仮の話 (スコア:2, 興味深い)

          by dreambug (11354) on 2004年03月15日 21時17分 (#514835)
          if (userrec->userid == TESTUID1) {
                CheckIdRecord(userrec); /* DATA Check */
          }

          なんて書き方して肝心のモジュールはライブラリにぶち込んで、
          ソースは消してしまう。ってやると、
          疑ってかからない限り普通にソース読む人は発見できないんじゃないかな?
          非標準ライブラリのソースが全部あるかどうか確認とか、
          ライブラリ削除して再構築できるかチェックなんて普通してませんよね?

          ID判定そのものをライブラリに隠蔽したほうがいいのか
              checkIdRecord(userrec); /* DATA Check */
          これじゃココでの説明が上手くいかない
          親コメント
          • by G7 (3009) on 2004年03月16日 1時06分 (#514969)
            >ライブラリ削除して再構築できるかチェックなんて普通してませんよね?

            XPとかが教えるところの「毎日フルビルド(だったっけ?)」というプラクティスが
            こんなところでも役立つとわ(^^;

            XPって、良い意味で「隠し事が出来ない」やり方だよね。
            まあ、普通に作ってりゃソフトなんてものは
            隠し事しないに限るもんだが。
            親コメント
            • by Anonymous Coward
              しててもその過程で「ライブラリファイルを削除」しないと
              ソース消されたモジュールは残り続けますよ?
              普通のMakefileってライブラリに対しては
              「新しくなったオブジェクトの入れ替え」になりますよね?
              「ライブラリを削除してクリエイト」になっていないと
              この場合は露見しませんよ
          • Re:仮の話 (スコア:1, 参考になる)

            by Anonymous Coward on 2004年03月16日 10時36分 (#515125)
            バイナリ隠蔽、に1票。
            「(納品された通販会社はともかく)システム構築を請け負った開発元の引継ぎ者が、その後ソースを一切見ない」という前提でこれほどのリスクを侵すとは思えない。ライブラリかロードモジュールそのものを作成して、システムに組み込んで離任……ってセンじゃないかなあ。
            容疑者の開発環境って押収したのだろうか? よもや会社の環境に不正なソースを残すハズはなかろうから、出てくるとしたら自前のPCとかからだと思うんだが。

            押収といえば、せしめた本やらDVDは全部持ってたんだろうか? それともヤフオクで転売?
            #後者だとすると、オークションの履歴も捜査対象に入るのかな?
            親コメント

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

処理中...