アカウント名:
パスワード:
それにしても MS が脆弱性で問題起こして Linux の方が安全じゃないかという議論が持ち上がると、必ず「どんな OS にも脆弱性がある。きちんと運用する事が大事なんだ」とか言い出す人が出るのにね。オープンソースで問題がですと、すぐにオープンソースだから悪い、という議論になるのでしょうかね。
結局、脆弱性を連発するソフトは何べん直しても脆弱性を出しますね。オープンでもクローズでも。最初からセキュリティーを良く考えて作られた qmail とかは、オープンだけどさっぱり脆弱性を出さないし。
おっしゃるとおりで。後は、血相を変えてバージョンアップしなければいけない頻度が、6年11ヶ月に一度の「本当に不幸」といった頻度なのか、数ヶ月に一度の「恒例行事」と化しているのか、という差だけですね。
XOOPS が fork したのは存じておりませんでしたが、やはりセキュリティの確保がコンセプトのトップになっているぐらいだから、旧来というか本家の XOOPS はナニ・・・だったという事かと思います。是非、XOOPS-JPプロジェクトのみなさんには頑張って欲しいと思います。
ただ、バックエンドに PHP を使っているという段階で、サーバー管理者的にはリスク要因がありますが・・・ PHP も脆弱性の大常連ですからねぇ。(しかも、大抵は致命的な問題)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
やっぱオープンソースはだめなのか? (スコア:1, 余計なもの)
意見を変える必要を感じてしまう。
Re:やっぱオープンソースはだめなのか? (スコア:3, 参考になる)
- XOOPSに2種類の脆弱性、SQLインジェクションにつながるおそれも [itmedia.co.jp]
- XOOPSの公式サイトに不正侵入,「Apacheのセキュリティ・ホールが原因」 [nikkeibp.co.jp]
など、脆弱性を連発するし、そもそも開発チームもセキュリティーをあまり重視していないと思われるので、便利なのには違いないだろうけど、Xoops を採用したら最後、セキュリティー情報には目を光らせ、出たらすぐにパッチを当てるという、運用面で犠牲が求められるツールなので、導入には「覚悟」が必要だな。それにしても MS が脆弱性で問題起こして Linux の方が安全じゃないかという議論が持ち上がると、必ず「どんな OS にも脆弱性がある。きちんと運用する事が大事なんだ」とか言い出す人が出るのにね。オープンソースで問題がですと、すぐにオープンソースだから悪い、という議論になるのでしょうかね。
結局、脆弱性を連発するソフトは何べん直しても脆弱性を出しますね。オープンでもクローズでも。最初からセキュリティーを良く考えて作られた qmail とかは、オープンだけどさっぱり脆弱性を出さないし。
Re:やっぱオープンソースはだめなのか? (スコア:2, 参考になる)
犠牲や覚悟といいますが、それって当たり前のことでは?
セキュアなXOOPS [xoops.org]
qmailの脆弱性 [srad.jp]
Re:やっぱオープンソースはだめなのか? (スコア:2)
おっしゃるとおりで。後は、血相を変えてバージョンアップしなければいけない頻度が、6年11ヶ月に一度の「本当に不幸」といった頻度なのか、数ヶ月に一度の「恒例行事」と化しているのか、という差だけですね。
XOOPS が fork したのは存じておりませんでしたが、やはりセキュリティの確保がコンセプトのトップになっているぐらいだから、旧来というか本家の XOOPS はナニ・・・だったという事かと思います。是非、XOOPS-JPプロジェクトのみなさんには頑張って欲しいと思います。
ただ、バックエンドに PHP を使っているという段階で、サーバー管理者的にはリスク要因がありますが・・・ PHP も脆弱性の大常連ですからねぇ。(しかも、大抵は致命的な問題)
Re:やっぱオープンソースはだめなのか? (スコア:0)
たまに他言語サポート=EU圏諸語サポートなのかなぁと思っちゃう事もあるんですが、
SUSEにはMike Fabian氏 [www.suse.de]がいるので赤帽よりは安心できます。
Re:やっぱオープンソースはだめなのか? (スコア:2, 参考になる)
(中の人ではないので憶測ではあるが)
NovellForgeってのが確かXOOPS2でもXOOPS Cubeでもない、
XOOPS1のソースにNovellが色々と変更を加えて運用していた筈。
NovellForge開始後も機能面での変更は結構やっていたが、
その後XOOPS1以降XOOPS2、XOOPS Cubeで修正された脆弱性の穴を
個別に塞いでなかったんではないかな。もしくは見落としていた部分を攻められた。
Re:やっぱオープンソースはだめなのか? (スコア:1)
ニュースリリース [xoops.org]
興味のある人は公開されてるソースコード [novell.com]参照。
Re:やっぱオープンソースはだめなのか? (スコア:0)
Re:やっぱオープンソースはだめなのか? (スコア:1)
Re:やっぱオープンソースはだめなのか? (スコア:0)
Re:やっぱオープンソースはだめなのか? (スコア:0)
いるつもりの人がほとんどだと思います。
やや右の人はすぐに相手のことを左だと言い、やや左の人は
すぐに右だと言うのも世の常でしょう。
でもって、その手の話には価値が無いのも、以下略
Re:やっぱオープンソースはだめなのか? (スコア:0)
>運用面で犠牲が求められるツールなので、導入には「覚悟」が必要だな。
それはXOOPSに限らず、全てのソフトウェアに関しては同じ話。
別のモノを使っていれば、セキュリティ情報に眼を光らせなくても
良いという道理はないでしょう。
>最初からセキュリティーを良く考えて作られた qmail とかは、
>オープンだけどさっぱり脆弱性を出さないし。
qmailがなぜ脆弱性が少ないのかは、セキュリティを良く考えて
作られたからというよりも、機能が非常に少