アカウント名:
パスワード:
いえ、MX 落としてはいけない物リスト [tripod.co.jp] を見せれば「クローズドソースは昔から遥かに危険だった」と一撃で反論できるでしょう。
まあ、 PGP も MD5 のチェックもしないでインストールすれば、本質的に改竄されていても判らないという当たり前の事の認識がまだ甘い所が
FreeBSD に関しては、 frebsd.org のサイトにはソースは置いておらず、ソースのありかと正しい md5値 が載せられているので、
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
これってオープンソースの危機じゃねぇの? (スコア:0, 余計なもの)
Re:これってオープンソースの危機じゃねぇの? (スコア:1)
以下再送。
この間のOpenSSHといい、
オープンソース陣営としてかなり冷や汗ものの事態ではなかろうか。
#オープンソースであるか否かに関わらないんだけど
#世間はそう見るよね。
#これを肴にオープンソース叩きをされたら
#かなり効くと思うんだが・・・
自サーバもってる他のオープンソースプロジェクトで
セキュリティ
Re:これってオープンソースの危機じゃねぇの? (スコア:2, すばらしい洞察)
> #かなり効くと思うんだが・・・
いえ、MX 落としてはいけない物リスト [tripod.co.jp] を見せれば「クローズドソースは昔から遥かに危険だった」と一撃で反論できるでしょう。
まあ、 PGP も MD5 のチェックもしないでインストールすれば、本質的に改竄されていても判らないという当たり前の事の認識がまだ甘い所が
MD5 でいいんなら、 (スコア:1)
# 自動で MD5 やってくれますから。
フリビユーザーはそれでも昔から、それが完全な安全を保障する方法だと考えていた訳では無いですが、少なくとも Linux でのソース DL、 展開、コンパイルという手順に安全面で違和感を覚えていて、今回のような事が起きそうな予感を持っていたのも事実です。
Linux でも
Re:MD5 でいいんなら、 (スコア:1)
FreeBSD に関しては、 frebsd.org のサイトにはソースは置いておらず、ソースのありかと正しい md5値 が載せられているので、
Re:MD5 でいいんなら、 (スコア:1)
FreeBSD ports 上での話ですね。
ports には、世界中のユーザによって mirror されている配付物の改竄を監視できるという利点もあるわけです。
Re:MD5 でいいんなら、 (スコア:0)
気付かれずにportsに突っ込んじゃったら。
多分誰も疑いもせずに入れるよね。
しかもmake実行率100%だ。
改ざんされてしまったものをマスターだと思ってみんなで囲んでいる訳だ。
滑稽だね。
# 嘘を書いています
Re:MD5 でいいんなら、 (スコア:1)
それはまさに本トピックの件そのものですね。いまさらな洞察 (-1)。
mirror される過程での改竄に ports が対抗できるという話をしているので、繋げるならそれに対する意見をお願いします。
Re:MD5 でいいんなら、 (スコア:0)
まあ、そういうトピックだからね。
でもなんか、(#180921) [srad.jp]を見ると、freebsd.org改ざんするだけで
・偽サイトに誘導
・偽サイト用のMD5を参照
させらんね?
間違って読んでるかな俺。
# 有効だったとしても気付くまでは時間の問題だがな
Re:MD5 でいいんなら、 (スコア:1)
>> ・偽サイトに誘導
>> ・偽サイト用のMD5を参照
>> させらんね?
その通りですね。freefall.FreeBSD.org に侵入するだけで充分で、「ソースが置いてあるサイト」まで同時に侵入する必要はないですね。
逆に言えば、freefall および cvs の mirror サイトさえ充分に守られていれば、ユーザはまずまず安心していられます。