アカウント名:
パスワード:
脆弱性はOSSであるかどうかによって存在するのではなく、脆弱性が存在しないことが証明されない限り必ず存在するものである。脆弱性が存在しないことを証明するのは、悪魔の証明である。自己満足の世界でしかない。
どんなソフトウェアにも脆弱性はある、という前提で。攻撃側からしたら、「脆弱性を探すコスト」をできるだけ下げつつ、「攻撃できるターゲットが多い」方が効果が望めるので。
つまりオープンソースかどうかではなく、単に「普及すればするほど狙われる」以上の話ではないし、だから「普及率が低い新製品」は、そういう意味では確かに有利ではある。
オープンソースのほうが脆弱性を探すコストが下がる可能性もあるが、同時に脆弱性が発見されて対策される可能性も上がるのでどっこいどっこい。
OSSは最低限のレビューが保証されるが、プロプラでその保証がないから品質は完全にピンきり。ただまぁこんなこと自称しちゃう時点でなんとも怪しくはある。普及するまでもなくごく一部のユーザによる検証で破綻してもおかしくはないが、普及して攻撃にさらされるようになった時にどうなるか見ものだな。
プロプラつってもさー。最低単位がハードこみ約100万円(保守3年つき)とかいうアプライアンスなわけですよ、これ。
Windows(やIE)、Adobe製品等、量販店いけば誰でも買えるって代物なら兎も角、こんなもんを「検証して破綻させる一部のユーザー」って何者よ?企業ユーザーとかで「購入して試験したら穴を見つけた」みたいなことは起き得るけど、それは普通にメーカーに保守として修正させるよね。かといって一般人やらクラッカーグループがこんなもんわざわざ買って検証するとは思えない、個人が道楽で買う金額じゃないし、販売方式的に足がつく可能性も高いのに。
あと、DNSってプロトコルの仕様として、サーバー側のソフトウェア名称を取得するようなコマンドはなかった筈なので。アプライアンスがよほどタコい設定をしてない限り、「そもそもそのDNSアプライアンスを使ってる」ことを外部が知れるかどうかが困難だし。まあうん、たとえば「Bindでゼロデイ攻撃が多発」みたいな状況で、クラッカーグループが「こいつ攻撃してみたけどBindの脆弱性が通らない、何か別の使ってるな」ぐらいに観測される程度が関の山じゃないかなぁ。
# あまりに普及したらブラックボックス攻撃に晒されて穴が見つかることもあるかもしれないけど# それは1年や2年で起きるようなことじゃないから、心配しなくていいと思うよ
DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。
日本語読めないの?それともバカなの?
「大金をとってるから価値が高い」ではなく、「どれだけユーザーが増えるかもわからないようなアプライアンスで、保守契約こみで契約するような代物を、クラッキングのために買うヤツはそうそう居ない」ってだけの話じゃん。
> OSSは最低限のレビューが保証される
マジで!? じゃあ俺もOSSやる!
「修正されていないぞおおおお」「誰か!バグを修正してええええ!」「おかしい、オープンソースは多くの人間がレビューしている」こう言っているOSS推進派も、コードの修正はしていないのである。「えっ」「それなのに修正されない・・・何か政治的な圧力があったに違いない」「はやく、バグをなおして、でないと攻撃されちゃって……!」泣き叫んでいるOSS利用のSIerですらも、メンテに人員を割いてはいないのである。
嫌われ者がやると、フルボッコにされますが。ACでは出せませんし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
計算機科学者とは、壊れていないものを修理する人々のことである
自己満足の極み (スコア:0)
脆弱性はOSSであるかどうかによって存在するのではなく、脆弱性が存在しないことが証明されない限り必ず存在するものである。脆弱性が存在しないことを証明するのは、悪魔の証明である。自己満足の世界でしかない。
Re: (スコア:3, 興味深い)
どんなソフトウェアにも脆弱性はある、という前提で。
攻撃側からしたら、「脆弱性を探すコスト」をできるだけ下げつつ、「攻撃できるターゲットが多い」方が効果が望めるので。
つまりオープンソースかどうかではなく、単に「普及すればするほど狙われる」以上の話ではないし、だから「普及率が低い新製品」は、そういう意味では確かに有利ではある。
Re:自己満足の極み (スコア:0, 興味深い)
オープンソースのほうが脆弱性を探すコストが下がる可能性もあるが、
同時に脆弱性が発見されて対策される可能性も上がるのでどっこいどっこい。
OSSは最低限のレビューが保証されるが、プロプラでその保証がないから品質は完全にピンきり。
ただまぁこんなこと自称しちゃう時点でなんとも怪しくはある。
普及するまでもなくごく一部のユーザによる検証で破綻してもおかしくはないが、
普及して攻撃にさらされるようになった時にどうなるか見ものだな。
Re:自己満足の極み (スコア:1)
プロプラつってもさー。最低単位がハードこみ約100万円(保守3年つき)とかいうアプライアンスなわけですよ、これ。
Windows(やIE)、Adobe製品等、量販店いけば誰でも買えるって代物なら兎も角、こんなもんを「検証して破綻させる一部のユーザー」って何者よ?
企業ユーザーとかで「購入して試験したら穴を見つけた」みたいなことは起き得るけど、それは普通にメーカーに保守として修正させるよね。
かといって一般人やらクラッカーグループがこんなもんわざわざ買って検証するとは思えない、個人が道楽で買う金額じゃないし、販売方式的に足がつく可能性も高いのに。
あと、DNSってプロトコルの仕様として、サーバー側のソフトウェア名称を取得するようなコマンドはなかった筈なので。
アプライアンスがよほどタコい設定をしてない限り、「そもそもそのDNSアプライアンスを使ってる」ことを外部が知れるかどうかが困難だし。
まあうん、たとえば「Bindでゼロデイ攻撃が多発」みたいな状況で、クラッカーグループが「こいつ攻撃してみたけどBindの脆弱性が通らない、何か別の使ってるな」ぐらいに観測される程度が関の山じゃないかなぁ。
# あまりに普及したらブラックボックス攻撃に晒されて穴が見つかることもあるかもしれないけど
# それは1年や2年で起きるようなことじゃないから、心配しなくていいと思うよ
Re: (スコア:0)
DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、
「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。
Re: (スコア:0)
DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、
「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。
日本語読めないの?それともバカなの?
「大金をとってるから価値が高い」ではなく、「どれだけユーザーが増えるかもわからないようなアプライアンスで、保守契約こみで契約するような代物を、クラッキングのために買うヤツはそうそう居ない」ってだけの話じゃん。
Re: (スコア:0)
> OSSは最低限のレビューが保証される
マジで!? じゃあ俺もOSSやる!
Re:自己満足の極み (スコア:1)
> OSSは最低限のレビューが保証される
「修正されていないぞおおおお」
「誰か!バグを修正してええええ!」
「おかしい、オープンソースは多くの人間がレビューしている」
こう言っているOSS推進派も、コードの修正はしていないのである。
「えっ」
「それなのに修正されない・・・何か政治的な圧力があったに違いない」
「はやく、バグをなおして、でないと攻撃されちゃって……!」
泣き叫んでいるOSS利用のSIerですらも、メンテに人員を割いてはいないのである。
Re: (スコア:0)
嫌われ者がやると、フルボッコにされますが。ACでは出せませんし。