アカウント名:
パスワード:
トロイの木馬を仕込まれる事例 [impress.co.jp]もあるんで、最近はソース公開であっても、リリースアナウンスのメールなどにMD5のハッシュ値を記載する場合がほとんどで、中には改竄防止のためにハッシュ値を記載したメールやファイルにPGPなどで電子署名したりする例もあります。
うろ覚えですが、debianなどでは、公式バイナリには電子署名が必須だった気がします。
ということで、今回議論(もしくは非難)されるべきはmozilla.orgあるいはMozilla Foundationのバイナリ作成および配布方法であって、オープンソース全体に敷衍すべき問題ではないと思いますが。
現実的なレベルなら、公式配布しているサイト経由で取得したもの であれば信頼できる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
ソースを使え、ルーク (スコア:1)
Firefox本体はともかく拡張ぐらいならすぐ読めるし。
でもWindowsの1アプリとしてみると彼の意見はもっともだ。Firefoxもそういう時期なんでしょうね。
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
ミラーサイトにある未署名バイナリに問題があるかどうかは
あまり関係がないと思いますが。
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
> ミラーサイトにある未署名バイナリに問題があるかどうかは
> あまり関係がないと思いますが。
ですね。/.jpのこのトピックのコメントでも脊髄反射して主題を取り違えている人が多すぎだと思います。
該当のblog記事を読む限り、主に配布方法の信頼性の問題を指摘しているのであって、firefoxそのものに信頼性がないとは言ってませんよね。彼が言っていることは妥当な問題指摘だと思います。
ですが、そこで「How Can I Trust Firefox?」というタイトルはちょっと刺激的な上に誤解を招きやすいと思いました。だから、筆者がMSの人ということもあいまって、必要以上に燃え上がっちゃったんじゃないでしょうか。
Re:ソースを使え、ルーク (スコア:1)
しかしFirefoxが「初心者にもお勧め」、「WindowsでもIEの代わりに最適」と広告しようとすればそれではいけない。バイナリでクリック1つでインストールできなければならない。バイナリで配布するならばコードを見て改ざんされていないか確認することは不可能であり、配布方法の信頼性が必要となる。彼の主張はそういうことであり、正しい。
で、私はそういうことは理解したうえで、(おそらくMoziilaの開発者も共有していたであろう)従来の感覚を示し、なぜMozillaやほかのオープンソースのソフトウェアが署名に気をかけなかったのか暗に示しただけです。
別にMozilla開発者の書いたコードに悪意のあるコードが含まれているかどうかとか、彼の主張が間違っているだとか、MSやIEがどうだとか、そういうことを主張しているのではなく、決して主題を取り違えてはいません。
#確かにそんなに明確に厳格に主張したわけではないですよ。でもそれは何か意図があって明確にせずに暗に示したわけではなく、単に眠い頭で雑談として書いただけだから明確になってないだけです。あのあやふやな書き込みを見て、同じような感覚を持った人がなんとなく同意してくれればそれで十分でした。
#また、私の言葉足らずな書き込みを見てあなたが「主張を取り違えている」と誤解したことは仕方のないことです。
#ただ、私の書き込みが彼の主張を取り違えて書かれたもので*ない*ことははっきりさせておきたいです。
Re:ソースを使え、ルーク (スコア:1, すばらしい洞察)
ある程度大規模なソフトに対して、
悪意のある改竄を受けていないかどうか
エンドユーザーに判断できますか?現実的に。
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
>Firefoxの昔のエンドユーザーは、
>自分でソースをコンパイルして使うユーザーでした。
>当然ユーザーはソースを読むことができるので、
ソースからコンパイルできるユーザと、ソースを読んで理解できるユーザは
必ずしも一致するわけではないし、後者のほうは全く少ないです。
>そのソースが安全かどうかの判断ができ、
>安全とわかったソースから作ったバイナリは当然安全です。
現実的な話、数千行以上におよぶソースを見せられても、安全かどうかの判断を
下すには日数が要するはずです。
ある有名なオープンソースのソフトウェアのソースが悪意を持った人物に改竄され、
そのまま配布されていた事件では、気づいた人はソースを読んで発見したという
わけではなく、コンパイルして実行し、その挙動がおかしいということに
気づいたからに過ぎませんでした。
当然、挙動に不審を覚え、ソースを読んで調べたわけですが、コンパイルして
使う前にソースが安全かどうか調べる人なんて少ないでしょう。
Re:ソースを使え、ルーク (スコア:1, すばらしい洞察)
> そのソースが安全かどうかの判断ができ
バージョンアップのたびにソースツリーのdiffをすべて検証してコンパイルしていた人なんてほとんどいないんじゃ…
ソースのすべてが実際にアンゼンだったかどうかは、 ソースコードを読むことではなく「コンパイル後の不具合報告」で判断してたような希ガス
Re:ソースを使え、ルーク (スコア:0)
>そのソースが安全かどうかの判断ができ、
>安全とわかったソースから作ったバイナリは当然安全です。
ですから、自分の入手したソースが安全か判断できるのかということです。現実的に。
Re:ソースを使え、ルーク (スコア:0)
>自分でソースをコンパイルして使うユーザーでした。
バージョン0.1の頃からwin32版のバイナリしか使ったことがないエンドユーザーですが何か?
#ソースをみたことがある人の点呼を取ってみたい
Re:ソースを使え、ルーク (スコア:1)
>気づいたからに過ぎませんでした。
UnitTestなのでは?(^^;
ソースだから信用できるとは限らない (スコア:1)
トロイの木馬を仕込まれる事例 [impress.co.jp]もあるんで、最近はソース公開であっても、リリースアナウンスのメールなどにMD5のハッシュ値を記載する場合がほとんどで、中には改竄防止のためにハッシュ値を記載したメールやファイルにPGPなどで電子署名したりする例もあります。
うろ覚えですが、debianなどでは、公式バイナリには電子署名が必須だった気がします。
ということで、今回議論(もしくは非難)されるべきはmozilla.orgあるいはMozilla Foundationのバイナリ作成および配布方法であって、オープンソース全体に敷衍すべき問題ではないと思いますが。
Re:ソースを使え、ルーク (スコア:2, おもしろおかしい)
Re:ソースを使え、ルーク (スコア:0)
だめだこりゃ。
何を指摘されているのかぜんぜんわかってないようで。
「仮にソースが安全だとしても、ミラーサイトの配布バイナリが
改ざんされてないソースからコンパイルされたものかどうかはわからない」
という指摘でしょうに。
Re:ソースを使え、ルーク (スコア:1)
> >別にどんな信頼できないサイトから入手しようともソースを見て問題がなければ問題がないのでは。
> だめだこりゃ。
> 何を指摘されているのかぜんぜんわかってないようで。
どーも意識のずれがあるなぁ。
「どうすれば Firefox を信じられる?」との問いに対し、
「ソースを使え」=「自分でチェックしたソースコードからビルドしろ」
という答えは間違っていない。
自分でビルドするなら、配布元においてあるバイナリは無用の産物だ。
だから ruto 氏は「バイナリなんてホンのおまけぐらい」と書いている。
実際問題、信頼性の問題は 100% 安全とか 100% 危険とか、
そういう問題ではない。
PKI だって、PC を使う上での全体的な安全性から考えれば、
「こういうチェックを入れるとこういう攻撃に対してだけは
大丈夫、でも他は知らんよ?」程度のもの。
> いまどきの大規模ソフトのソースをいちいち読んで安全性を
> 判断するって時点で非現実的だけど。
それはそもそも、「どうすれば Firefox を信じられる?」という
問いが非現実的な問いだからなんではないのかね?
現実的なレベルなら、公式配布しているサイト経由で取得したもの
であれば信頼できる。
でもそれじゃ信頼できない。ミラーサイトのドメインはチェックする。
でも MD5 のチェックはしない。という。そんな初心者いねぇよw
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:0)
Re:ソースを使え、ルーク (スコア:1)
> 感染していて
どっちかっつーと、それは極論でしょう。
HTTP で受け取ったものは全部入れ替わっている可能性を否定できない、
という話でしょ。google や yahoo、ネット経由で入手した
日々のニュースも信用できない。
もちろん全サイト、全アプリが PKI で対策するという手もあるよ。
けど、もっと別の対策が必要なんではないかと…
#隣のやつに説教したりとかw
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:0)
え?違うんですか?私はいつもそう思っていますよ。
ただ、誰がそんなことをしたいかと考えれば普通のサイトでそれが起きる可能性は低めですね。
ところが、フィッシングで銀行口座を乗っ取るとかが目的で、
Re:ソースを使え、ルーク (スコア:1)
1. 近隣の PC から DNS 偽装をされる可能性があるネットワーク構成だ
2. 隣の PC に DNS 偽装するスパイウェアが組み込まれている
3. そのスパイウェアには偽の Firefox の DL サイトに誘導できる機能がある
4. 自分が Firefox を DL する(と、偽の Firefox が手に入る)
5. 偽の Firefox を使って個人情報を扱ったり、決済したりする
6. マズー
(または、1. 2. 3. の替わりに「上流のネットワーク管理者が
信用できない人だ」というパターンもある)
…という危険性が十分にあって、その対策として PGP 署名に
よるチェックがあるんだけどそういうことはしたくない(それでは
安心できない)ような場合だよね。
PKIの署名がついたことによるうれしさというのはその程度だと
思う。これをどう取るかはその人次第。
個人的には、もちろんうれしい。でも、実行ファイルに署名のない
他のブラウザやソフトウェアにマイナスイメージをつけるほど
重要なことだとはとても…
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:0)
FooSetup.exe をダウンロードしたら、スパイウェア付きのものに差し替えられていて、スパイウェアに感染させられると同時に本物のFooSetup.exeが起動するようになっていたら気づかないですしね。
そして、
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
それはそのとおり。
でも #701303 は、「Firefox のバイナリに PKI 署名がつくと
具体的に何がうれしいのか(どういう攻撃を防げるのか)」の話。
あなたの言うような攻撃にはブラウザの PKI 署名だけではどうにも
ならんのですよ。
もちろん、ユーザの必要とするネット上の実行バイナリすべてに
PKI 署名をつけるよう、それぞれの開発元に要求するってのもアリだ。
けど、自組織のネットワークセキュリティを見直すほうが
現実的というものじゃないのかなー。
で、#701246 の結論に戻る。
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:0)
> どうにもならんのですよ。
Flashも、Shockwaveも、Real playerも、Acrobat Readerも、Java 2 SEもたいていのものにはデジタル署名がもう付いいるわけで、仕事用マシンには特に不自由しない。
Firefoxにはデジタル署名がなかったので、IEを使うよう推奨するしかなかった。
そういう話。
で、何か?
Re:ソースを使え、ルーク (スコア:2, 参考になる)
PGP署名じゃダメなの?
いや、Firefox のバイナリには以前から署名があるんですよ。
PGP で(最初 MD5 って書いたけど、俺調べたらちゃんと PGP の
署名があったよ)。
Mozilla 側でも、署名がないと認めているのは拡張機能のみ。
もちろん「PGP は信頼できん」「めんどくさい」というのも
アリだと思うけど、
「信頼性を確認する方法がない」というのと
「信頼性を確認するのに手間がかかる」「ポリシーが一致しない」
というのとはちょっと印象が違わない?
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:0)
Re:ソースを使え、ルーク (スコア:0)
ならんのですよ。
攻撃を防ぐのがPKI署名の役目ではなくて、たとえニセモノのサイトから
あるソフトウェアをダウンロードしたとしても、そのソフトウェアが
信頼のおけるPKI署名を持っていれば安全である(可能性が高い)
ということでしょう。
逆にOpenSSHやsendmailのように開発元がソースで配布していたとしても
改竄されてバックドアが仕込まれていた事件もあったわけです。
Re:ソースを使え、ルーク (スコア:1)
鍵サーバから持ってくればいいんでは?
まぁ PGP 署名の問題点は署名した鍵を信用できるかどうかのほうだ。
署名した鍵を信用するための方法は人それぞれだけど
(直接相手に会うとかなw)、当人のメールアドレスで
Web を検索してその実績を見て納得するとか、
鍵に署名している人を調べて、周囲の人の業績なり社会的地位なり
を見て納得するとか、さらにその周囲の人の…
(もちろん鍵の指紋はいつでも要チェックだ!)
お好きにどうぞ。
#周囲の人では、たとえば Heikki Toivonen氏あたりを
#信用してみるのはどうよ。元 Netscape の人らしいぞ。
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:0)
鍵サーバなんて誰でもニセの鍵を突っ込めるんだけどねえ。
なんで鍵サーバなんて危ないものが運営されてるのか、理解できんよ。
Re:ソースを使え、ルーク (スコア:0)
>鍵サーバから持ってくればいいんでは?
「正しい」というところに主眼があるのですがね…
http:の鍵サーバから持ってきても意味が無い。
Re:ソースを使え、ルーク (スコア:1)
PGP の基本から勉強してね…
それで問題ないんだよ…
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:0)
> PGP の基本から勉強してね…
> それで問題ないんだよ…
ハァ?問題あるにきまってるじゃん。
お前が勉強しろよ、カス。
Re:ソースを使え、ルーク (スコア:0)
坊やはちゃんと勉強しろよ。
Re:ソースを使え、ルーク (スコア:0)
>「ソースを使え」=「自分でチェックしたソースコードからビルドしろ」
>という答えは間違っていない。
>
>現実的なレベルなら、公式配布しているサイト経由で取得したもの