アカウント名:
パスワード:
WindowsはMacOSより脆弱という訳では無いですが、Linuxよりは脆弱ですよ。Googleでは最終的にはLinuxに一本化したいとのことなので、第一歩としてのWindows廃止は合理性があります。
Windowsでは基本的にサードパーティ製ツールの自動更新が無いですし、libpngやlibtiffなどに脆弱性が見つかったときに対処するのは面倒です。セキュリティ意識の低いベンダーのソースコード非公開なプロプライエタリソフトウェアでは対処が不可能です。後方互換性を維持したまま権限管理を後付けしたおかげでLinuxにおけるPolicyKitのようなものが無いなど歪な状態です。更にWindows XPではASLRもSEHOPも無い訳で。IEやIISなどでの脆弱性の多さと修正の遅さも忘れることはできないです。個人的な経験からいっても、以前XP SP2上のIE6でセキュリティの穴を探してたときに、今まで言われてた方法でwebからhtcを自動的に起動することができたので、他のOSより脆弱じゃないとはとてもとても言い難いです。
とは言え、近年ではマルチプラットフォームなAdobe Flash/ReaderやらJavaやらの脆弱性の方が致命的ですが、Javaはオープンソース化されましたし、FlashはAndroidの関係でGoogleが手を加えています。Adobe ReaderはGoogleにとっては自社製webリーダがあるのである程度は不要でしょう。
Linuxはサーバーとして実績がありますし、デスクトップとしてもそれなりに使われています。Google Security Teamや米国政府、NASAを含めた多くの企業がセキュリティ問題の発見と解決に協力しています。Googleの従業員の約半数が使っていると言われているGoobuntuはUbuntuのカスタマイズ版でありパッケージ数が多いため、目が行き届いてない部分も多いと推測しますが、それでもWindowsよりは安全かと。
Linuxはリポジトリに含まれるソフトウェアのソースコードが基本的に公開されています。スタティックリンクの場合は、依存しているパッケージ(例えばlibpng)が更新された時に、それに依存したパッケージもサーバー側で再ビルドされます。なので、Linuxではスタティックリンクの場合でもダイナミックリンクの場合でも更新は簡単です。Windowsとは異なります。
>元のコメントが何を言ってるのか、分かってませんよ。?
>LinuxとWindowsの違いではなく、アプリケーションの管理の問題パッケージ管理の問題といえばその通りです。一応Goobuntuを前提として言っていますが、パッケージ管理システムを持っているLinuxならだいたい同じです。20%ルールのことも考え、従業員が管理者権限を持っている状態を考えています。
>WindowsでもLinuxと同じようにやればcygwinでは可能ですが、大部分のサードパーティ製ソフトウェアでは不可能です。オープンソースのWindows版も同じ管理方法は不可能です。
>Linuxだからアプリはオープンソースで、Windowsだからアプリはプロプラでソース入手できない、なんてのは間違いWindowsでプロプラが多いのは事実ですし、Linuxでプロプラが少ないのもまた事実です。また、プロプラでもLinuxではリポジトリを提供している場合が多いです。
>OSの心臓部であるカーネル部分に関しての脆弱性の多さでいえば、LinuxはWindowsより多いざっと調べても分からなかった。2010年における、権限昇格の脆弱性については、Linuxは数や危険度でWindowsと大差ないが、内容はRHの独自パッチやKVMのx86エミュレーターの部分など特殊なものが殆どだった。
>Windowsの脆弱性と言われているものの大部分は、実はOSではなく、OSに搭載、あるいはインストールされているソフトウェアの脆弱性であることが多いそもそもWindowsはハイブリッドカーネルだから(ry
>完全解消された上でWindows廃止というのが正しいいや、だからWindowsが必要な人は偉い人の許可取れば良いって話であって。クラッカーがウィークポイントから狙らうってのは当然の話で、ウィークポイントをなるべく少なくすべきって話で。行間書くの面倒くせ。
>http://www.securityfocus.com/archive/1/archive/1/510846/100/0/threadedカーネル部分と言いながらsudoの脆弱性を持ってくる君がかわいい。Linuxカーネルで問題が少ないのはSparseやCoverityやCoccinelleでチェックされているお陰とするとそれらが使われていないLinuxのユーザーランドアプリに不安が残るのは確かだけども、Windowsカーネルに一般的な部分の権限昇格の脆弱性が多いことの反論にはならないですよ。
>AdobeのFlashメンテナンス優先順位はWindowsの方が高いWindowsでFlashの自動更新が無かった時代に、Linuxで自動更新が行われていたこと
カーネル云々言われたので、Linuxはモノリシックなのでカーネルモジュール含めて、WindowsはMicrosoftがカーネルと言っている範囲(サブシステムがどこまで含まれるかは未確認ですが、Windowsの方が甘めかと)で比較しました。残りLinux側で特に危険なものと言ったらsudoを含めた特権を要求する少量のソフトウェア群ですね。Windows側だと特に危険なものと言ったら色々ありますが、特に証明書の無いexe形式やmsi形式のインストーラとかですかね。インストーラに感染して権限昇格で偽の証明書をインストールさせてカーネルモードのルートキットに感染→証拠隠滅ってのが可能性として普通にありえます。ルートキットの大部分はアン
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
アンチMSによる捏造? (スコア:2, すばらしい洞察)
有識者たちの共通の意見だし、私もそう思う。
Windowsのリスクが高いとされるのは、その高いシェアが原因で、不特定多数を
狙った攻撃の対象になりやすいからであって、LinuxやMacOSより脆弱なわけじゃない。
むしろ、そういう攻撃に多くさらされていないLinux, MacOSのほうが、狙われた時に
容易に攻略されてしまう面もある。
それを、Googleほど大きく、世界有数の技術者数を抱える会社が理解していない
わけが無いと思う。
情報源が「自称匿名のGoogle社員」らしいので、全くの捏造の可能性が高い。
Re:アンチMSによる捏造? (スコア:1, 参考になる)
WindowsはMacOSより脆弱という訳では無いですが、Linuxよりは脆弱ですよ。
Googleでは最終的にはLinuxに一本化したいとのことなので、第一歩としてのWindows廃止は合理性があります。
Windowsでは基本的にサードパーティ製ツールの自動更新が無いですし、libpngやlibtiffなどに脆弱性が見つかったときに対処するのは面倒です。セキュリティ意識の低いベンダーのソースコード非公開なプロプライエタリソフトウェアでは対処が不可能です。
後方互換性を維持したまま権限管理を後付けしたおかげでLinuxにおけるPolicyKitのようなものが無いなど歪な状態です。更にWindows XPではASLRもSEHOPも無い訳で。
IEやIISなどでの脆弱性の多さと修正の遅さも忘れることはできないです。
個人的な経験からいっても、以前XP SP2上のIE6でセキュリティの穴を探してたときに、今まで言われてた方法でwebからhtcを自動的に起動することができたので、他のOSより脆弱じゃないとはとてもとても言い難いです。
とは言え、近年ではマルチプラットフォームなAdobe Flash/ReaderやらJavaやらの脆弱性の方が致命的ですが、Javaはオープンソース化されましたし、FlashはAndroidの関係でGoogleが手を加えています。Adobe ReaderはGoogleにとっては自社製webリーダがあるのである程度は不要でしょう。
Linuxはサーバーとして実績がありますし、デスクトップとしてもそれなりに使われています。Google Security Teamや米国政府、NASAを含めた多くの企業がセキュリティ問題の発見と解決に協力しています。Googleの従業員の約半数が使っていると言われているGoobuntuはUbuntuのカスタマイズ版でありパッケージ数が多いため、目が行き届いてない部分も多いと推測しますが、それでもWindowsよりは安全かと。
Re: (スコア:0)
Linuxでもスタティックリンクしたバイナリしかない場合はWindowsと同じだし、
Windowsでもダイナミックリンクのライブラリをシステムで1つ持つ使い方ならLinuxと同じです。
Re: (スコア:0)
Linuxはリポジトリに含まれるソフトウェアのソースコードが基本的に公開されています。
スタティックリンクの場合は、依存しているパッケージ(例えばlibpng)が更新された時に、それに依存したパッケージもサーバー側で再ビルドされます。
なので、Linuxではスタティックリンクの場合でもダイナミックリンクの場合でも更新は簡単です。Windowsとは異なります。
Re: (スコア:0)
で、その話ですが、LinuxとWindowsの違いではなく、アプリケーションの管理の問題ですよ。
WindowsでもLinuxと同じようにやれば同じことができるでしょ。
Linuxだからアプリはオープンソースで、Windowsだからアプリはプロプラでソース入手できない、なんてのは間違い。
Re: (スコア:0)
>元のコメントが何を言ってるのか、分かってませんよ。
?
>LinuxとWindowsの違いではなく、アプリケーションの管理の問題
パッケージ管理の問題といえばその通りです。一応Goobuntuを前提として言っていますが、パッケージ管理システムを持っているLinuxならだいたい同じです。
20%ルールのことも考え、従業員が管理者権限を持っている状態を考えています。
>WindowsでもLinuxと同じようにやれば
cygwinでは可能ですが、大部分のサードパーティ製ソフトウェアでは不可能です。
オープンソースのWindows版も同じ管理方法は不可能です。
>Linuxだからアプリはオープンソースで、Windowsだからアプリはプロプラでソース入手できない、なんてのは間違い
Windowsでプロプラが多いのは事実ですし、Linuxでプロプラが少ないのもまた事実です。
また、プロプラでもLinuxではリポジトリを提供している場合が多いです。
Re: (スコア:0)
その認識は誤りです。
LinuxはWindowsより脆弱とまでは敢えて言わないですが、
LinuxはWindowsより堅牢であるとは言えないです。
ディストリにもよりますが。
それに、OSの心臓部であるカーネル部分に関しての脆弱性の多さでいえば、
LinuxはWindowsより多いです。
Windowsの脆弱性と言われているものの大部分は、実はOSではなく、OSに
搭載、あるいはインストールされているソフトウェアの脆弱性であることが
多いです。
> Googleでは最終的にはLinuxに一本化したいとのことなので、第一歩としての
> Windows廃止
Re: (スコア:0)
>OSの心臓部であるカーネル部分に関しての脆弱性の多さでいえば、LinuxはWindowsより多い
ざっと調べても分からなかった。2010年における、権限昇格の脆弱性については、Linuxは数や危険度でWindowsと大差ないが、内容はRHの独自パッチやKVMのx86エミュレーターの部分など特殊なものが殆どだった。
>Windowsの脆弱性と言われているものの大部分は、実はOSではなく、OSに搭載、あるいはインストールされているソフトウェアの脆弱性であることが多い
そもそもWindowsはハイブリッドカーネルだから(ry
>完全解消された上でWindows廃止というのが正しい
いや、だからWindowsが必要な人は偉い人の許可取れば良いって話であって。
クラッカーがウィークポイントから狙らうってのは当然の話で、ウィークポイントをなるべく少なくすべきって話で。
行間書くの面倒くせ。
Re: (スコア:0)
http://www.securityfocus.com/archive/1/archive/1/510846/100/0/threaded
その暫く前にも初歩的なミスが見逃されてたことが原因の昇格問題も有ったはずだけど…
オーバフローなどの脆弱性を突くこと無く昇格出来る穴が、探されてないだけでゴロゴロしてても全く不思議じゃないな、この様子だと。
>そもそもWindowsはハイブリッドカーネルだから(ry
Linuxは基本ディストリで供給されるOSだから(ry
>ウィークポイントから狙らうってのは当然
うん。だからOS狙わずにFlash狙って、権限昇格とかしないままユーザレベルで好き勝手やるだろうね。
で、Ado
Re: (スコア:0)
>http://www.securityfocus.com/archive/1/archive/1/510846/100/0/threaded
カーネル部分と言いながらsudoの脆弱性を持ってくる君がかわいい。
Linuxカーネルで問題が少ないのはSparseやCoverityやCoccinelleでチェックされているお陰とするとそれらが使われていないLinuxのユーザーランドアプリに不安が残るのは確かだけども、Windowsカーネルに一般的な部分の権限昇格の脆弱性が多いことの反論にはならないですよ。
>AdobeのFlashメンテナンス優先順位はWindowsの方が高い
WindowsでFlashの自動更新が無かった時代に、Linuxで自動更新が行われていたこと
Re: (スコア:0)
Linuxカーネルの場合中が見えるからこそ、セキュリティホールがカーネル起因かどうか見えるかもしれないが、通常必須なモジュールが駄目だったらそんなの何の意味もない。
「不安定なカーネル」より、「不安定なソフトウェア」の方が危険だし、「安全性を見誤るユーザ」のほうがもっと危険。
なのにLinuxカーネルの方が安全だから~なんて物の考え方してるようじゃ、「そんな低いレベルの話」そのものじゃないか。
Windowsは危険に決まってるけど、Linuxも危険なのにそれを無視するのが一番危ないし、得てしてそういう奴が「設定をミスれば踏み台にされる」を実演するんだよ。
Re: (スコア:0)
カーネル云々言われたので、Linuxはモノリシックなのでカーネルモジュール含めて、WindowsはMicrosoftがカーネルと言っている範囲(サブシステムがどこまで含まれるかは未確認ですが、Windowsの方が甘めかと)で比較しました。
残りLinux側で特に危険なものと言ったらsudoを含めた特権を要求する少量のソフトウェア群ですね。Windows側だと特に危険なものと言ったら色々ありますが、特に証明書の無いexe形式やmsi形式のインストーラとかですかね。インストーラに感染して権限昇格で偽の証明書をインストールさせてカーネルモードのルートキットに感染→証拠隠滅ってのが可能性として普通にありえます。ルートキットの大部分はアン