パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Mozilla/Mozilla Firefoxの脆弱性が再発」記事へのコメント

  • こういうの [srad.jp]もありました。

    Mozillaよお前もか、と少々哀しい出来事です。

    とりあえず、Konquerorとw3mを使いますが(w
    --
    /.configure;oddmake;oddmake install
    • >Mozillaよお前もか、と少々哀しい出来事です。
      だよなぁ。
      新しい穴が見つかるよりも印象悪いし。
      • そうですね。

        つい先日「セキュアプログラミング」という本を読んだところなのですが、
        その本には「コーディングよりも設計、運用の方が大事」というようなことが
        書いてあり、パッチ当ての方針も「設計」として重視すべきだとありました。

        バッファオーバーフローでも任意のコマンドが実行されないようにする方法さえ
        いろいろ出てきている今、真の意味でセキュリティを考えているならば
        コード自体よりも、こうしたプロジェクト運営などの面での工夫が重要と
        言えそうです。それを裏付ける点として、最近発見された脆弱性は(これまた
        本で警告されていたことですが)、正常に動作して
        • OpenBSDのどの部分を手本にすべきなのでしょうか?
          • by Anonymous Coward on 2005年06月07日 5時50分 (#747421)
            theo
            親コメント
            • 実際には Theo の占める部分が大きいようにも思いますが(^^;
              私の書いたコメントでは http://www.openbsd.org/security.html の
              「継続的・多面的な audit」や「proactivity」の中に含まれている
              (ただし、たぶんすべてが明文化されているわけではない)指針を
              意識していました。

              実例としては Hackathon で unionfs や telnetd が消えたことを
              挙げられると思います。コードは audit されているので問題ない
              としても、実際に使われる場面を想定したときの安全性について
              疑問が残るので消した、ということでしょうから。

              「便利だから」「みんな実装してるから」という理由を理由として
              認めない……と言えるかもしれません。mozilla のほうが明文化
              され確固としたプロジェクト運営指針を持っているように見えるの
              ですが、実際にはそうしたものを開発者個人の哲学として持っている
              OpenBSD のほうがセキュリティの向上に成功しているので、そこで
              用いられている理念をお手本にできないかな、と思ったのでした。

              でも最後のカッコで書いただけなので、あんまりつっこまないでください。
              私自身はヘボいタコですし、知ったかぶりでウソつくことがよくあります。

              親コメント
              • 実例に反論すれば、

                実際にはtelnetdを必要とする人は自分でmake install するでしょう
                そうすれば OSの責任外な所でユーザーが独自にパッチを当てないといけなくなります
                将来 telnetd にプログラム的なセキュリティホールが発見さ

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...