アカウント名:
パスワード:
Linuxにいたってはカーネルのソースが公開されているけどミッションクリティカルな部門でも使われているし仮に明日Windowsのソースが全部公開されたとしても「Exploitし放題だぜ、ヒャハー」なんてスーパーハカーは限られているでしょう
セキュリティホールの有無以前に、自分の飯のタネ(プロプリエタリーソフトのコード)すら守れない会社が出しているセキュリティソフトって信用できる?
# まあ、リモート操作可能なパスワードマネージャーとか出していたところだし、# 何を今更と言われればそれまでだけど
ウイルスバスター使ってるような人が気にするやろか
ソースコード知らなくても、Readme見れば [trendmicro.com]脆弱性が原因のUpdateが時々出るのは既知だからねぇ。
# 特に、配信サーバーや管理プログラムに多い印象。別にトレンドマイクロに限った話ではない。
そんなもんがあると分かってるなら対処するだろ。せいぜい「あるだろうな」か「あるだろうなと外部から思われる」というレベル。ま、長い歴史のあるソフトウェアの常で古臭くてごちゃごちゃした部分はあるんだろうよ。
でまぁ「躍起になって否定してる」ってのも有名企業か聞いた事ないハッカー集団のどちらを信用するかの話だな。正直どっちも信用できん。
追記:脆弱性としてはヒューリスティック検出周りとかは知られると困るのかな。大袈裟な謳い文句の割にその実態は初歩的な挙動でのスコア付けしてるだけとかそんなのだろうし、種が知られれば対処は容易だと思う。これは対処可能な脆弱性ではないから知られると大変だね。
他には特許侵害となるようなコードだったりすると困るかね。もちろん特許は侵害しないようにしてるだろうけど、それでもうっかりしてる部分とかあるかもしれない。とは言っても流出コードを裁判で使えるわけはないが、知られるといろいろ困る。
最後にライセンス認証周りが一番困る気がする。ただこれは強く
McAfeeはIntelに買われてた時代のvPro, AMT絡みの低い層の成果物が超危険なように思う
他にもアンチセフトを応用したランサムウェアとか、ヤバイ物が出来そう。
スーパーハカーは限られているだろうし全く何の問題もないとは思うが、強いて問題点を挙げるとすれば今回ソースコードを入手したのが大手ウイルス対策ソフトベンダー3社に侵入できる能力を持つハッカー集団だということだな。まあスーパーが付かなければどうという事は無い。
ああ流出してない事になっているのか、であるならば安全極まりないと言うほかないな。
はっきり言って、恥ずかしくて見せられたもんじゃないんだよ。ソースコードが。だから顔を真っ赤にして否定している。そんなコードはでっち上げだ、俺たちが書いたものじゃないって。
でもトレンドマイクロの製品を扱ったことがある人、特にサーバ製品だったなら、その構成やログやプログラムの配置を見ただけで、なんか変なニオイがするのを感じ取ってしまうと思うんだ。これはかなりひどい処理をしてるんじゃないかって…
> Linuxにいたってはカーネルのソースが公開されているけどミッションクリティカルな部門でも使われているし> 仮に明日Windowsのソースが全部公開されたとしても「Exploitし放題だぜ、ヒャハー」なんてスーパーハカーは限られているでしょう
Linuxは最初からソースが公開されること前提なので、最初から品質の高いコードになってる。TrendMicro のはソース非公開前提なので、ソースを見ただけで脆弱性が見つかる可能性も十分ある。なお今はソースコードを静的検査して脆弱性を見つける coverity とか fortify のようなツールがあるのでスーパーハカーじゃなくて大丈夫。
不公平な決めつけが激しすぎやろ。wオプソでもセキュリティホールは見つかってるから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
あんまり意味がないというか (スコア:1)
Linuxにいたってはカーネルのソースが公開されているけどミッションクリティカルな部門でも使われているし
仮に明日Windowsのソースが全部公開されたとしても「Exploitし放題だぜ、ヒャハー」なんてスーパーハカーは限られているでしょう
Re:あんまり意味がないというか (スコア:1)
つまりウイルスバスターにはソースコードを知られると簡単に突破されるセキュリティホールがあるということ。
Re: (スコア:0)
セキュリティホールの有無以前に、自分の飯のタネ(プロプリエタリーソフトのコード)すら
守れない会社が出しているセキュリティソフトって信用できる?
# まあ、リモート操作可能なパスワードマネージャーとか出していたところだし、
# 何を今更と言われればそれまでだけど
Re:あんまり意味がないというか (スコア:1)
ウイルスバスター使ってるような人が気にするやろか
Re: (スコア:0)
ソースコード知らなくても、Readme見れば [trendmicro.com]脆弱性が原因のUpdateが時々出るのは既知だからねぇ。
# 特に、配信サーバーや管理プログラムに多い印象。別にトレンドマイクロに限った話ではない。
Re: (スコア:0)
そんなもんがあると分かってるなら対処するだろ。
せいぜい「あるだろうな」か「あるだろうなと外部から思われる」というレベル。
ま、長い歴史のあるソフトウェアの常で古臭くてごちゃごちゃした部分はあるんだろうよ。
でまぁ「躍起になって否定してる」ってのも有名企業か聞いた事ないハッカー集団のどちらを信用するかの話だな。
正直どっちも信用できん。
Re: (スコア:0)
追記:
脆弱性としてはヒューリスティック検出周りとかは知られると困るのかな。
大袈裟な謳い文句の割にその実態は初歩的な挙動でのスコア付けしてるだけとかそんなのだろうし、種が知られれば対処は容易だと思う。
これは対処可能な脆弱性ではないから知られると大変だね。
他には特許侵害となるようなコードだったりすると困るかね。
もちろん特許は侵害しないようにしてるだろうけど、それでもうっかりしてる部分とかあるかもしれない。
とは言っても流出コードを裁判で使えるわけはないが、知られるといろいろ困る。
最後にライセンス認証周りが一番困る気がする。
ただこれは強く
Re: (スコア:0)
McAfeeはIntelに買われてた時代のvPro, AMT絡みの低い層の成果物が超危険なように思う
Re: (スコア:0)
他にもアンチセフトを応用したランサムウェアとか、ヤバイ物が出来そう。
Re: (スコア:0)
スーパーハカーは限られているだろうし全く何の問題もないとは思うが、強いて問題点を挙げるとすれば
今回ソースコードを入手したのが大手ウイルス対策ソフトベンダー3社に侵入できる能力を持つハッカー集団だということだな。
まあスーパーが付かなければどうという事は無い。
ああ流出してない事になっているのか、であるならば安全極まりないと言うほかないな。
Re: (スコア:0)
はっきり言って、恥ずかしくて見せられたもんじゃないんだよ。ソースコードが。だから顔を真っ赤にして否定している。そんなコードはでっち上げだ、俺たちが書いたものじゃないって。
でもトレンドマイクロの製品を扱ったことがある人、特にサーバ製品だったなら、その構成やログやプログラムの配置を見ただけで、なんか変なニオイがするのを感じ取ってしまうと思うんだ。これはかなりひどい処理をしてるんじゃないかって…
Re: (スコア:0)
> Linuxにいたってはカーネルのソースが公開されているけどミッションクリティカルな部門でも使われているし
> 仮に明日Windowsのソースが全部公開されたとしても「Exploitし放題だぜ、ヒャハー」なんてスーパーハカーは限られているでしょう
Linuxは最初からソースが公開されること前提なので、最初から品質の高いコードになってる。
TrendMicro のはソース非公開前提なので、ソースを見ただけで脆弱性が見つかる可能性も十分ある。
なお今はソースコードを静的検査して脆弱性を見つける coverity とか fortify のようなツールがあるので
スーパーハカーじゃなくて大丈夫。
Re:あんまり意味がないというか (スコア:2)
不公平な決めつけが激しすぎやろ。w
オプソでもセキュリティホールは見つかってるから。