アカウント名:
パスワード:
いえ、MX 落としてはいけない物リスト [tripod.co.jp] を見せれば「クローズドソースは昔から遥かに危険だった」と一撃で反論できるでしょう。
まあ、 PGP も MD5 のチェックもしないでインストールすれば、本質的に改竄されていても判らないという当たり前の事の認識がまだ甘い所が
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
これってオープンソースの危機じゃねぇの? (スコア:0, 余計なもの)
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
以下再送。
この間のOpenSSHといい、
オープンソース陣営としてかなり冷や汗ものの事態ではなかろうか。
#オープンソースであるか否かに関わらないんだけど
#世間はそう見るよね。
#これを肴にオープンソース叩きをされたら
#かなり効くと思うんだが・・・
自サーバもってる他のオープンソースプロジェクトで
セキュリティ
Re:これってオープンソースの危機じゃねぇの? (スコア:2, すばらしい洞察)
> #かなり効くと思うんだが・・・
いえ、MX 落としてはいけない物リスト [tripod.co.jp] を見せれば「クローズドソースは昔から遥かに危険だった」と一撃で反論できるでしょう。
まあ、 PGP も MD5 のチェックもしないでインストールすれば、本質的に改竄されていても判らないという当たり前の事の認識がまだ甘い所が
MD5 でいいんなら、 (スコア:1)
# 自動で MD5 やってくれますから。
フリビユーザーはそれでも昔から、それが完全な安全を保障する方法だと考えていた訳では無いですが、少なくとも Linux でのソース DL、 展開、コンパイルという手順に安全面で違和感を覚えていて、今回のような事が起きそうな予感を持っていたのも事実です。
Linux でも
Re:MD5 でいいんなら、 (スコア:2, 参考になる)
>> 言うか、安全性が高いと見て良いのでしょうか?
ports の MD5 は、ports 作成者が、自分が作業するときに取得した配付物を元にして作ります。よって、保証されるのは、配付物が ports 作成時のものと同じであるということです。
# ports 自体がいじられていない前提で
よって、ports 作成時点ですでに木馬入りだったら、検出は不可能です。作成後に配付ファイルが置き換えられたのであれば、それが公式サイトであろうが検出できます。