パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

マイクロソフト製品は情報公開すると「危険」」記事へのコメント

  • 例えば、兵器、戦車でも潜水艦でもいいけど、そういうものの
    安全と無敵性を守るために、設計図を全世界に公開しろ、とは
    みなさん、言わないわけね。

    例えば、公開されたWinのコードをコンパイルして、リバース
    エンジニアリング禁止の規約を付けて一般に販売する、
    「他人の創作物の乗っ取り」についても、寛容なわけね。

    LINUXとWinの両方に感染するウイルスが/.で報告されたのは
    ついこの間のことだし、しかもWinにはアンチウイルスソフトが
    市販されている状況で、LINUXには無いときているこの時代に、

    他人の著作物を無償で公開し、乗っ取られる可能性を暗に認めさせ、
    システムの新たな脆弱性
    • >「他人の創作物の乗っ取り」についても、寛容なわけね。

      それを言ったら、 Windows を「コード泥棒」と呼ぶ人もいるけど(笑)

      > LINUXとWinの両方に感染するウイルスが/.で報告されたのは
      > ついこの間のことだし、しかもWinにはアンチウイルスソフトが
      > 市販されている状況で、LINUXには無いときているこの時代に、

      私が投稿でそれに言及した(笑)のはついついこの間だが、元々は去年の3月のニュース [ascii24.com]だけどね。(苦笑) 一部で騒がれていたが、実質的に被害は無かったようだ。また、その後も続々類似のウイルスが登場しているという話は無い。

      > LINUXには無いときているこの時代に、

      「うわぁ、アンチウイルスソフトが無けりゃ守れない!」ってのは、 Windows しか知らない人間の誤った憶測だね。 現状では、Linux は最新のアンチウイルスソフトで固めた Windows よりはるかにウイルスに関して堅牢だとだけ言っておく。「必要ない」というのが依然として正解だ。未来永劫の事までは断言できないとしても、だ。 逆に Windows が最新のアンチウイルスソフトで固めないとウイルスにやられる程に OS が根本的に脆弱なの。 でも「俺、Linux 使った事が無いからお前の言っている事が解らない」というならパス。

      > なーーんか、子牛のステーキは食って、クジラを喰うなって運動している
      > どこかのヒステリックな団体みたい。

      捕鯨のたとえを持ち出すと話が逸れるね。 「日本が叩かれる理由」とNY市立大学の霍見芳浩教授による『外から見た日本』 [videonews.com]なんて映像による証拠があると知っていれば、「みんな(世界)はヒステリックだ。自分(日本)だけが正しい」というのは説得力として弱いから。

      ところでソースを秘匿している Windows は、それほど堅牢なのか? MS に問題を報告するとすぐに対応してくれているのか? 実績はそうではないようだが。

      親コメント
      • by Anonymous Coward on 2002年05月09日 11時42分 (#90892)
        >Linux は最新のアンチウイルスソフトで固めた Windows よりはるかにウイルスに関して堅牢だとだけ言っておく。「必要ない」というのが依然として正解だ。未来永劫の事までは断言できないとしても、だ。

        今は必要無いけど、メジャーになるにつれ必要となるし、発見もされているので今後要注意かと。

        >逆に Windows が最新のアンチウイルスソフトで固めないとウイルスにやられる程に OS が根本的に脆弱なの。

        いや、これはWindowsがLinuxに比べてメジャーだから、攻撃する人が多いためと思われ。
        別にOSが脆弱な訳では無いと思う。アプリの穴は多いけど、それはLinuxも一緒。
        ただ、決定的な違いは穴をふさぐ為の個々のアプリのアップデートの早さじゃないかな。

        オフトピだけど、
        >> なーーんか、子牛のステーキは食って、クジラを喰うなって運動している
        >> どこかのヒステリックな団体みたい。

        >捕鯨のたとえを持ち出すと話が逸れるね。 「日本が叩かれる理由」とNY市立大学の霍見芳浩教授による『外から見た日本』
        >[videonews.com]なんて映像による証拠があると知っていれば、「みんな(世界)はヒステリックだ。自分(日本)だけが正しい」というのは説得力として弱いから。

        これは、アナタも話を鵜呑みにしすぎだね。調査捕鯨自体は認められている事だから、叩かれる理由にならない。
        商業捕鯨と同列に扱う方がおかしな話である。実体は似ていてもね。

        ヒステリックな団体ってのは多分GPだと思うけど、これは自然保護団体では無くて
        今は只の圧力団体。捕鯨に反対することで、世界の偽善者から寄付の名目で金を巻き上げている。
        多分言い過ぎでは無いと思うな。
        <当然まじめに考えてる人も一杯居ると信じたいけど、感情論が基本になっているからな・・・。
        文句を言っている当のアメリカはセミ鯨等の絶滅危惧種を年間数頭捕獲している。アラスカ州のエスキモーね。
        また、調査では年間3000頭(ミンク)くらいなら生態系を崩さないと判断が下され、
        各国の調査団もコレを認めている。でも、圧力団体に票を左右されかねないお国の代表は
        本会議で必ず商業捕鯨に反対の立場を貫く。ってのが真相だと思う。鯨の為ではなく票集めの為にね。
        だって、ノルウェーなんて脱退しちゃって捕鯨を開始したけど、鯨は減っていないどころか増えている。(年600頭程)

        >ところでソースを秘匿している Windows は、それほど堅牢なのか? MS に問題を報告するとすぐに対応してくれているのか? 実績はそうではないようだが。

        ソース公開されても、同じだと思われ。
        親コメント
        • > 発見もされている

          それを報告したのが他ならぬ TechnicalType 氏だと思うが、 他にもあるなら教えてくれ。

          > WindowsがLinuxに比べてメジャーだから、攻撃する人が多いためと思われ。

          そうではなくて、 前にも書いた通り、 一般ユーザの権限でシステムを好き勝手にいじれて、 ちょっとした誤操作でもアプリのバグでも簡単に乗っ取られてしまうため。 これは OS が根本からセキュリティ抜きの思想で作られているということ。

          NT 系統では管理者権限が設けられているが、大抵のサイトではこれを単に管理担当者のアカウントに追加している。つまり、これらの人がウィルスメールを受け取っただけでおしまいになる。

          正しい使い方は、インストールなどの作業をするたびに Administrator でログインしなおすことになるのだろうが、 面倒すぎて誰もやっていないだろう。

          すなわち、(少なくとも標準では) su コマンドが用意されていない。これが大きい。

          こういう現状の認識なしに、 Linux だって同じだろうと憶測だけ述べても、 空論としか言いようがない。

          親コメント
          • su (Switch User) (スコア:2, すばらしい洞察)

            by tty77 (4123) on 2002年05月09日 13時58分 (#90979) ホームページ
            > すなわち、(少なくとも標準では) su コマンドが用意されていない。これが大きい。

            ありますよ、su。
            runas って名前ですが。(Win2k 以降)

            あるいは、コンテキストメニューに「別のユーザで実行」というのも。

            ただ、個人所有のマシンで (Xp Home ですが) ユーザをわける意義って感じないわけで…。
            というよりも、root と「通常使用のユーザ」をわけるという文化が Windows にはなかっただけの話ですし。
            親コメント
            • by Anonymous Coward
              そのうち RedHat HomeEdition みたいのが出て、全ての作業はRootで行われるようになるんでしょうかね
          • > すなわち、(少なくとも標準では) su コマンドが用意されていない。これが大きい。

            だうと

            2000以降ではショートカットのプロパティで「別のユーザーとして実行」をチェックすればそれ相当の動作をします。

            確かにわかりづらいしめんどいけどね。
            親コメント
          • 正しい使い方は、インストールなどの作業をするたびに Administrator でログインしなおすことになるのだろうが、 面倒すぎて誰もやっていないだろう。

            やってますけどね。(^^; 確かに面倒くさいです。

            すなわち、(少なくとも標準では) su コマンドが用意されていない。これが大きい。

            欲しいです。(^^;
            でも、Windowsみたいに穴が多いと、suに該当する機能自体がすぐに乗っ取られちゃいそうで、それはそれで怖いです。

            --
            Yasuda
            親コメント
          • by zulu (4898) on 2002年05月09日 18時11分 (#91114)
            多くのWin9x系のソフトウエアがNT系で使えるとはいえ、 そういうソフトウエアのほとんどが 一般ユーザーで不自由無く操作出来るように作られていない。 だから、一般ユーザーでもシステム的な部分が自由に変更 出来るような設定にせざるを得ないし、不満に思う管理者が 自分のアカウントに管理者権限を設定しちゃうから危ないん ですよね。

            「別のユーザーで実行」が使いにくいのは確かなんだけど。
            親コメント
          • >NT 系統では管理者権限が設けられているが、
            >大抵のサイトではこれを単に管理担当者のアカウントに追加している。
            >つまり、これらの人がウィルスメールを受け取っただけでおしまいになる。

            そんなOutlookExpressの設定も変更しない様な、
            セキュリティ意識の低い奴にAdministrator権限を付与するほうがどうかしてるとおもわれ。
          • >> 発見もされている

            > それを報告したのが他ならぬ TechnicalType 氏だと思うが、 他にもあるなら教えてくれ。

            Linuxだからって安心しないで注意しようねぇ~って言っているのが何か気にさわりました!?

            >そうではなくて、 前にも書いた通り、 一般ユーザの権限でシステムを好き勝手にいじれて、

            もともとが、そういう設計思想のOSだと思うけど<DOS,MAC,Windows9x(Me)

            >ちょっとした誤操作でもアプリのバグでも簡単に乗っ取られてしまうため。

            これは、LinuxでもFreeBSDでも一緒。アプリ・サーバーの穴をつつかれればrootを取られておしまい。
            • これは、LinuxでもFreeBSDでも一緒。アプリ・サーバーの穴をつつかれればrootを取られておしまい。

              セキュアなサーバの世界を知らなすぎ。

              アプリ/サーバの穴を突付かれても主環境に影響を及ぼさないようにする chroot/jail などでの運用や、そもそも root を取られたところで何も出来ないように設定することもできる Trusted OS [bxn.ne.jp] などを調べてから話をしたほうが良いでしょう。

              今時本当に堅牢性を要求するシステムであれば、これらのことをせずに動作させている環境の方がおかしいです。

              例えば外部ネットワークからのパケットでは、ファイルに対する内容の変更を行うようなことは強制的に排除したり、なんてことも可能です。root を取っても named などを kill することもできなければ、named.conf を書き換えることもできない、なんてのも可能です。

              商用 UNIX では Solaris 辺りは Trusted Solaris が出ているが、これは日本国内での購入は難しいものの、Solaris 10 で Trusted Solaris 系列と Solaris 系列が統合される予定になっているので、今後日本でも普通に入手できるようになるでしょう。

              もっとも、現在でも PitBull LX なんかで、各種 daemon 群などを設定してからガワをかぶせて Trusted OS 化することもできます。

              *BSD 方面では、現在 FreeBSD をベースに TrustedBSD を着々と開発中。

              Trusted OS と呼ばれるものは全てオレンジブックの B1 ~ A1 レベルを満たしたものになりますが、Windows 系列では、今までにこの下のレベルである C2 レベルに、Windows NT 3.5 時代に一回だけ認定されたに過ぎません。これは standalone の話で、network node としてではありません。

              もちろん、これだけの堅牢性を持ったものは一般使用では非常に使いにくくクライアントでの利用はほぼ無理なので、クライアント用 OS を目指した Windows では必要のない話です。

              問題は、そのポリシーを引き摺ってそのままサーバ製品まで作っていることですから。

              ソース公開したら、運が良ければ Argus 社 [argus.com]が PitBull LX for Windows NT とか作ってくれるかもしれませんが。

              親コメント
              • >>Trusted OS と呼ばれるものは全てオレンジブックの B1 ~ A1 レベルを満たしたものになりますが

                元々のオレンジブックには、B以上のセキュリティレベルにはコンピュータルームの設置場所や部屋の鍵にまで規定があったような気がするんですが。コンピュータのOSだけの問題ではもはやないかと...(いかん、オフトピだ。)
        • > アナタも話を鵜呑みにしすぎだね。調査捕鯨自体は認められている事だから、叩かれる理由にならない。

          だから、調査捕鯨だけは認められているのだからといって、実際には商業捕鯨をしているのに、それを「これは調査捕鯨です。商業捕鯨ではありません」なんて、子供でも解るようなウソを世界を相手につくから、日本が袋叩きにされてるんじゃないの。そういう見え透いた事をして批判を浴びると「世界の言う事は筋が通らない」といった話を*国内向けに*するから、マスコミが感

          • 双方共に言いたいことがあるのはわかるが、既にすさまじく脱線してるから双方共に止めてくれ
          • >調査捕鯨だけは認められているのだからといって、実際には商業捕鯨をしているのに
            >子供でも解るようなウソを世界を相手につくから、日本が袋叩きにされてるんじゃないの

            反捕鯨国や環境団体はそういう理由で動いてるのでなく、捕鯨と鯨食に反対してるのだろ。
            #90892の
            >文句を言っ
          • オフトピックも甚だしいけど、レスつけちゃお。

            >実際には商業捕鯨をしているのに、それを「これは調査捕鯨です。商業捕鯨ではありません」なんて、子供でも解るようなウソを世界を相手につくから、日本が袋叩きにされてるんじゃないの

            他の国も調査捕鯨をやっている(やっていた)けど何か!?
            そんでもって、食肉用に流通してる(してた)けど何か!?

            現在でもノルウェーは調査捕鯨を行っていて、捕獲した鯨の肉を国内で
            流通させていてるから、本来なら日本と同じ立場。

            元レスは
      • >Linux は最新のアンチウイルスソフトで固めた
        >Windows よりはるかにウイルスに関して堅牢だとだけ言っておく。

        そうかなぁ。
        Windowsは利便性の為にウィルスを受け入れる口がLunixよりも
        たくさんあるのは認めるけど。
        例えば…
         OutlookExpressのマクロ機能とか、
         OutlookExpressのファイル添付機能とか。
         InternetExplorerのActiveX回りとかスクリプト回りとか。
        いま、ウィルスウィルスっ
        • by Anonymous Coward on 2002年05月09日 11時56分 (#90909)
          > Linuxだってこんな感じに口を用意すれば、
          > 状況は大して変わらないんじゃないの?

          同じ機能(バグ含む)をもつならば、
          同じセキュリティホールが出来るでしょう。

          そもそも、そんな機能を入れるのがダメだ、ということ。
          そして、それを取り外すことが出来ないのは、もっとダメだ、
          ということ。

          ついでに言っておきますが、Linuxかどうか、というのは
          全く重要ではないのでは。以上のような機能は全て、
          GnomeなりKDEなりの上で動くアプリケーションにおいて
          行われるべきでは。

          そもそも、「Linux」と指定した場合、
          Xも統合していないのだから、IEのような
          「ブラウザ統合」はあり得ないでしょう。

          Linuxに、Xも、KDEなりのデスクトップ環境も統合されて、
          そしてほかに選択肢が無くなった場合、
          というかなり限定された状況になりますが。

          そうなったら私はBSDに行こう……
          親コメント
          • >そもそも、そんな機能を入れるのがダメだ、ということ。
            >そして、それを取り外すことが出来ないのは、もっとダメだ、 ということ。

            OutlookExpressもInternetExplorerもアンインストールできますよ。
            代替え選択肢はいくらでもあるしね。

            私はBecky+NNだけど、今までウィルスって一度も感染した事ないな~
            おまけでついてきたからアンチウィルスソフトは入ってるけど。

            >ついでに言っておきますが、Linuxかどうか、というのは
            >全く重要ではないのでは。

            話の
            • OutlookExpressもInternetExplorerもアンインストールできますよ。

              Windows2000やXPからInternet Explorerをアンインストールして使用できるのでしたら、ぜひ方法を公開していただけませんか。

              NT 4.0からIEを削除して使っていますが、Windows2000以降でそれができるのでしたら、バージョンアップも視野に入りますので、ぜひお教えください。

              • IEradicator is tiny, script that uses the Windows setup engine to surgically remove Internet Explorer versions 3 through 6.0 from Windows 95, Windows 98, Windows 98 Second Edition, Windows Millennium and Windows 2000(sr1).

                http://www.98lite.net/ieradicator.html

                #私は使ったこと無いので、どうなるか不明。
              • ありがとうございます。教えていただいたページにあった

                Not for use with Windows 2000sr2 or Windows XP

                と、Products [98lite.net]のページにあった

                FREEWARE for personal use!

                といった辺りがネックですね。"personal use"と言っても、ライセンス [98lite.net]のページには「製品添付とかについては問い合わせろ」だけで、たとえば会社で使うのを躊躇してしまいます(unzip32.dllなんかはダメですし)。

                また、ここではOutlook Expressもアンインストールする前提ですから、

          • >それを取り外すことが出来ないのは、もっとダメだ
            IEはスクリプトを無効にできるますよ。
            ウィルスが流行るのは無効にしない、つまりそれらの機能が必要な人が多いということで「そんな機能を入れるのがダメ」ということにはならないのでは?
            •  無効にできることを知らない人が多いと思うのですが。
               あるいは、無効にできることを知っていても、それが利便性と何とを天秤に掛けた設定なのかを知らなければ、当然不便になるような設定はしないだろうと思いますし。

               便利になる設定はすべてオプションであるべきではないかと。
               それこそ、利便性のために必要な人は自分で設定すればいいんじゃないでしょうかね。
              親コメント
              • by Anonymous Coward on 2002年05月09日 13時07分 (#90953)
                >便利になる設定はすべてオプションであるべきではないかと。

                でも、ふつ~のお客様の場合、
                製品を買ってその『製品が*使える*状態であるのは当然の事』
                って意識の人が多いんじゃないかな~。

                たぶんDefaultの設定を安全側にたおすと、
                『できないんだけど、なんで動かないんだよ~』
                という苦情の電話でサポートセンターごった返しそう。
                ↑の場合と比べて、
                『なんでおまえんとこの製品はデフォルトで危ない方に設定が倒れてるんだよー』
                ってお客様は相対的にすくなさそう。

                学校でコンピューターのセキュリティの授業とかをやって、
                下地を作らないと安全側にたおした製品がバカ売れってのは無さそう。
                親コメント
              • たぶんDefaultの設定を安全側にたおすと、
                『できないんだけど、なんで動かないんだよ~』
                という苦情の電話でサポートセンターごった返しそう。
                ↑の場合と比べて、
                『なんでおまえんとこの製品はデフォルトで危ない方に設定が倒れてるんだよー』
                ってお客様は相対的にすくなさそう。

                でも、そうするとセキュリティニュ

              • >「ほにゃらら情報が暴露される危険性がある。」とか

                便利な方が良いお客様は、こゆ事にはあまり無関心だと思われ。
                「脆弱性…? 難しくてようわからん。」ってのもあるだろうし。
                感心があっても「自分だけは大丈夫」と思ってる人は多そう。
              • そ~ゆ~お客様は安全側にたおした場合、便利機能があることすら気付かないのでは?
                んで、「便利な隠し機能」特集を組む雑誌が売れるのだ。

                >下地を作らないと安全側にたおした製品がバカ売れってのは無さそう

                便利機能をありがたがって使ってる人ってそんなに多いかな?
                今の製品が便利機能故に売れているのならそうかもしれませんが、
                ほとんどの場合、そうじゃないでしょうから、安全側にたおしてもほとんど変わらないでしょう。
                親コメント
              • 「脆弱性…? 難しくてようわからん。」
                と言った舌の根も乾かないうちに、被害を受けたりして「なんでこんなことになるんだ、責任とれ」とか「なぜ安全な設定にしておかなかったんだ」とか「あんたも教えてくれればよかったのに、冷たい奴だ」「なぜ俺を真摯に説得してくれなかったんだ」等々の火の粉を降りかける罠。
                親コメント
              • >便利機能をありがたがって使ってる人ってそんなに多いかな?

                たとえば、
                『メールに添付されてきたファイルのアイコンをWクリックすると
                 関連づけされているアプリケーションが起動する。』
                なんてのは利便側に倒れている例だと思うのですが、
                できなくするとクレームがきそうで恐いのですが(^^;
              • >「なぜ俺を真摯に説得してくれなかったんだ」

                つい…
                「だから、あれほど言ったじゃないですか。」
                って言いそうになってしまう(T-T
        • > 利便性の為に

          メールの添付を片っ端から実行してくれなくても、別に不便じゃないけどなぁ。

          > Linuxだってこんな感じに口を用意すれば、
          > 状況は大して変わらないんじゃないの?

          うん。でも、危ないから口は用意されない。

          親コメント
          • >でも、危ないから口は用意されない。

            Linuxを使ってるユーザー層を考えると、そうだろうね~。
            使ってる人は、コマンド打ってコンパイルして
            インストールする事ぐらいは最低でもできるだろうし。

            ActiveXみたいな実装を作るのは、そんなに難しくないだろけど。
            でも、どこかが認証局になる必要があるか。
      • U*IXがウイルスに強いのは、特定のユーザ権限での被害はそのユーザにしか及ぶだけで終わることがほとんどで、感染してもそのユーザが泣き寝入りするくらいで済む。メールをばらまく程度ならできるけど、結局クラッカーの狙いはマシンをのっとることなので、ウイルスなんて撒いたってクラッカーにとてはあんまりメリットが無い。ターゲットがU*IXならroot権限
        • でも、LIONには痛い目にあったよ。慢心は禁物ってことを教えられた。LIONはLinuxのバイナリ依存だったから、BSDなどでは感染はしなかったけど、しっかりBINDを落とされたところも少なくなかった。なのでかなり影響があったと思います。

          作成者の思うツボだったかもしれない。

          親コメント
        • >結局クラッカーの狙いはマシンをのっとることなので、
          >ウイルスなんて撒いたってクラッカーにとてはあんまりメリットが無い。

          その意見には同意いたしかねます。
          確かにそのような目的のクラッカーも居るでしょうが、
          その泣き寝入りや拡散する様子を楽しむ人もいるわけで・・・

          >特定のユーザ権限での被害はそのユーザにしか及ぶだけで終わることがほとんどで、
          >感染してもそのユーザが泣き寝入りするくらいで済む。

          何千人と同じものにやられた場合、同じことを言えるでしょうか?
          それに、一部の人はroot権限で動かしているかもしれませんよ。

          >メールをばらまく程度ならできるけど、

          その、拡散自体が問題になることもあるわけで・・・
          今のところ、アンチウィルスが必要でないor必要とされにくいのは、

          ・そもそも、クライアント環境としてWindows以外を使ってる人が少ない。
          ・環境が多種多様で、似た環境は相対的に少なくなる。

          であって、そのうち

          ・みんながXXXというUnix系OSを使っている
          ・ほとんどの人が同じ環境で使っていて、同じバイナリが動く。

          なんてことになったとして、

          もし、爆発的に普及しているソフトにあるセキュリティホールが見つかった
          しかもまだパッチが完成していない、なんてことになった場合、
          そのときはもはや、関係ないとは言ってられないでしょう。
          もし、完成していても、エンドユーザーがパッチを当てる方法がわからなかったら
          結局そのままです。

          そんなことは机上の空論だ、と言われても可能性として否定は出来ないと思う。
          結局OSが~だから安全というのは幻想に過ぎないと思います。

          確かに、セキュリティ的にはWindows系よりだいぶ良いのかもしれません。
          しかし、それは作者にとって障害の一部にしか過ぎないと思うのです。

          ましてや、セキュリティ・ホールが「絶対無い」という状態には、
          人間が作る以上、ありえないと思います。
          # 以前もどこかで書きましたが、私は「絶対なんて、絶対存在しない」
          # という考えをする人間です・・・
          ## 自己矛盾しているのを承知の上でこう考えているので
          ## 突っ込みは不要でございます。

          では。
          --
          誰も信じちゃいけない、裏切られるから。
          私を信じないで、貴方を裏切ってしまうから。
          親コメント

※ただしPHPを除く -- あるAdmin

処理中...