アカウント名:
パスワード:
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それよりも、一次配布元のファイルに混入していた事実が問題ですよ。ハッシュ値の情報ファイル自体が信用できないので。# tar.gz ファイルにデジタル署名する技術ってあるのかしらん。
えー、こんなコメントがすば洞モデになるの?
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?はっきりいって、混入しやすくなる。バイナリで配布されているソフトウェアにバックドアを仕込むよりも技術的には容易になる。
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?
はっきりいって、混入しやすくなる。バイナリで配布されているソフトウェアにバックドアを仕込むよりも技術的には容易になる。
配布しているファイル自体を改竄されない、あるいは改竄されたとしても安全に検知できるようにしていない時点で、ソース配布だろうがバイナリ配布だろうが一緒ですよ。
ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。それは後の問題。たいていは、make してインストールして起動し、Firewallなどで
ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それは後の問題。
たいていは、make してインストールして起動し、Firewallなどで
あー、文章を読めないダメ人がいるなぁ。少し落ち着こうよ。
何と言おうとも、オプソの方が混入しやすいし、事実としてクローズドなソフトより混入事件が多い。
「混入しやすい」ってのはソースコードがあるから改竄したソースコードを配布しやすい、という意味?それともコミッターとしてパッチを取り込ませやすい、という意味?
前者だとしたら、バイナリ配布だって改竄済みバイナリを配布すれば同じことになるから、ソース配布とバイナリ配布の違いはないです。後者だとしたら、コードレビューの不足が問題なだけですね。そもそもダメなプロジェクトなんでしょう。
オープンな開発体制だと無数のレビューアが存在する可能性が
オープンソースでもプロプラでも一緒だ、と言ってるのに、「オプソが安全」としか読み取れていない時点で致命的。
> オープンソースでも、配布はバイナリで用意し、アプリケーション証明書を> 付けておけば安全性は上がる。
あれ? 「オプソの方が混入しやすい」っていうのは,「ソースコードが公開されていると本来のソフトウェアとほとんど同じで,わずかな悪意のあるコードを混入させたものを作成することが容易」という意味だと思っていたのだけど,違うみたいね。ソースコードが公開されていること自体によるものだから,バイナリでも配布したところで安全性は上がらないものね。
アプリケーション証明書も結局は電子署名なのだから,ソースコードでもバイナリでも付けることはできる。他のコメントに
相関があること(オープンソースの方が混入事件が多い)と、因果関係があるかどうか(オープンソースだから混入されやすい)は別でしょう。悪意を持った開発者のいるオープンソースプロジェクトのソースをクローズドにしたって、信頼性は上がらないと思う。
むしろ、金をかけられるなら信頼性があがるってことじゃ?
オープンソースの良いところは、需要が少ないものであっても成立しうる部分だと思うのだが。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
ソースコード (スコア:0)
Re: (スコア:0)
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?
ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それよりも、一次配布元のファイルに混入していた事実が問題ですよ。
ハッシュ値の情報ファイル自体が信用できないので。
# tar.gz ファイルにデジタル署名する技術ってあるのかしらん。
Re: (スコア:3, すばらしい洞察)
はっきりいって、混入しやすくなる。
バイナリで配布されているソフトウェアにバックドアを仕込むよりも
技術的には容易になる。
> ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それは後の問題。
たいていは、make してインストールして起動し、Firewallなどで引っかかって
初めて気づく。
そしてソースから調べることができるというのだけが利点。
安全になると言うことは全くない。
バックドア混入を防ぐことに関してはオープンソースは強くない。
後で調
Re: (スコア:0)
えー、こんなコメントがすば洞モデになるの?
配布しているファイル自体を改竄されない、あるいは改竄されたとしても安全に検知できるように
していない時点で、ソース配布だろうがバイナリ配布だろうが一緒ですよ。
Re:ソースコード (スコア:-1, フレームのもと)
何と言おうとも、オプソの方が混入しやすいし、
事実としてクローズドなソフトより混入事件が多い。
改変されたソースが設置された時点で、署名なんかも
怪しいもんだし、makeしてインストールする前に
ハッキリとソースをチェックできる人が世界で何人
いると思ってんの?
君だって絶対にチェックしてないだろ?
ちゃんとチェックしてるって嘘つくかもしれないが。
Re: (スコア:0)
あー、文章を読めないダメ人がいるなぁ。少し落ち着こうよ。
「混入しやすい」ってのはソースコードがあるから改竄したソースコードを配布しやすい、という意味?
それともコミッターとしてパッチを取り込ませやすい、という意味?
前者だとしたら、バイナリ配布だって改竄済みバイナリを配布すれば同じことになるから、
ソース配布とバイナリ配布の違いはないです。
後者だとしたら、コードレビューの不足が問題なだけですね。そもそもダメなプロジェクトなんでしょう。
オープンな開発体制だと無数のレビューアが存在する可能性が
Re: (スコア:0)
自分に言い聞かせてるのですね。よい傾向です。
バイナリで配布しているソフトの場合、アプリケーション証明書を
デジタル署名でつければOK。
誰でも生成できるfingerprintを改変が可能なところに貼ったり
するよりも信頼性は高い。
RSAがキーを盗まれるというケースも考えられはするが、
オープンソースに悪意の第三者がバックドアを仕込む確率よりは
極めて低いしな。
そんなにオプソがあらゆる点で優位だと無理矢理ひねり出さなくても、
オプソにはオプソなりに利点欠点があるんだよ。
利点、欠点はちゃんと理解して、弱いところ、強いとこ
Re: (スコア:0)
オープンソースでもプロプラでも一緒だ、と言ってるのに、「オプソが安全」としか読み取れていない時点で致命的。
Re: (スコア:0)
> オープンソースでも、配布はバイナリで用意し、アプリケーション証明書を
> 付けておけば安全性は上がる。
あれ? 「オプソの方が混入しやすい」っていうのは,「ソースコードが公開されて
いると本来のソフトウェアとほとんど同じで,わずかな悪意のあるコードを混入
させたものを作成することが容易」という意味だと思っていたのだけど,違うみた
いね。
ソースコードが公開されていること自体によるものだから,バイナリでも配布した
ところで安全性は上がらないものね。
アプリケーション証明書も結局は電子署名なのだから,ソースコードでもバイナリ
でも付けることはできる。他のコメントに
Re: (スコア:0)
相関があること(オープンソースの方が混入事件が多い)と、因果関係があるかどうか(オープンソースだから混入されやすい)
は別でしょう。
悪意を持った開発者のいるオープンソースプロジェクトのソースをクローズドにしたって、信頼性は上がらないと思う。
むしろ、金をかけられるなら信頼性があがるってことじゃ?
オープンソースの良いところは、需要が少ないものであっても成立しうる部分だと思うのだが。