パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OpenOffice.orgのセキュリティリスクは高い」記事へのコメント

  • 便利なものほど多くのセキュリティリスクを抱える、というのがある程度仕方のないことだとすると、問題は「不要なリスク」をいかに抱えないかということと、「便利で危険な状態」と「不便で安全な状態」の切り替えが「ユーザーの意思で」「できるだけ確実に」できるということだと思う。

    # そういった観点でMSOfficeやOpenOfficeを評価した
    # 記事ってどこかにないですかね?
    • by Anonymous Coward
      その他にもっと重要な話として、「脆弱性を隠さない」が挙げられるだろう。
      MS製品は、アンチ君が頑張ってキャンペーンはってくれるから、比較的耳に入りやすいが、オープンソースは、そんなキャンペーンしてくれる暇人もいないしユーザーグループは隠蔽体質を持ってるからな。
      • by Anonymous Coward on 2006年08月15日 16時19分 (#996948)
        本気で全力でMSのあら捜しをしてくれるボランティアが世界中に何百万人もいる。
        これがMSの競争力の源泉。
        「たくさんの人がソースを読んでるから大丈夫」なんてデマゴギーよりずっと信用できる。
        親コメント
        • by Cappuccino (20281) on 2006年08月15日 18時49分 (#997068)
          ソースを引っ張れなくて申し訳ないのだが、確かBSDで、オープンソースなのにもかかわらず、意図的に仕組まれた悪意あるコードが含まれていることを長い間気づけなかったという話があります。
          なので、オープンソースだから誰かがバグや悪意あるコードを見つけられると盲信している人を見ると、無知って幸せだなと思ってしまいます。
          ユーザが増えてくればそれなりに検証もされるようになるのでしょうが、MS製品の圧倒的シェアを考えれば、検証する側の数だって少なくなるし、当然見つかりにくくなるでしょう。
          Firefoxなんていい例で、ユーザが増えてきたらどんどん脆弱性が見つかるようになってきてますよね。
          それまではほとんど見つからなかったわけですが。

          なので、バグが見つかるソフトがイコールそのまま危険というわけではないと思います。
          むしろ、既知でない脆弱性が密かに裏で突かれることの方が遙かに危険だと思う。

          別にOOoが嫌いなわけでも何でもないんだが、やっぱりMS Officeとの互換性も中途半端だし、リスクが特別減るわけでもないし、無料であること以外にはLinuxで動くくらいしか自分には利点がないですね。
          親コメント
          • by Anonymous Coward
            loginとccに仕込まれてたバックドアのこと?
            • by Anonymous Coward

              Reflections on Trusting Trust
              http://www.acm.org/classics/sep95/ [acm.org]

              • 解説すると、

                ・login そのものはソースコードレベルではバックドアは入っていませんが、
                 細工されたCコンパイラでコンパイルすると、バックドア入りのオブジェクトが出力されるようになっています。

                ・Cコンパイラの方も、ソースコードレベルでは上記のような細工は入っていませんが、自身をコンパイルすると
                   ・login にバックドアを仕込む
                   ・cc に、バックドアを仕込む機能を付加する
                 ような動作をするコンパイラができあがるようになっています。

                そのため、ソースコードレベルでは cc にも login にもバックドアは入っていませんが、
                ソースコードから再構築しなおしたとしても、あいかわらずlogin はバックドア入りになります。

                でも、これは当時の「自身がCコンパイラの制作者」であり、「CコンパイラはK&Rただ一つしか存在しない」という状況から生まれた特殊な例だと思うので、
                今となってはこういった細工はもう成立しないと思います。

                #だからといって「ソースを見るだけで問題ない」と安心してけないと思いますが、
                #「こういう例もあるからソースがあっても安心できない」という論調になってはだめでしょう。
                #ソースがあるほうがより安全よりなのは確かなわけで。
                親コメント
              • by Anonymous Coward
                >ソースがあるほうがより安全よりなのは確かなわけで。

                これがまさに幻想なわけでは?
                 「ソース公開あり+みんなのチェック体制」が
                 「ソース公開無し+その会社のチェック体制」以上である
                根拠が無いわけですから。
              • by Anonymous Coward
                >#ソースがあるほうがより安全よりなのは確かなわけで。

                そういうのは、リリースされる都度ソースレベルで検証して問題の有無を公表してくれる第三者が常時活動する環境を整えてから言いなさいな。

                見られないソースはただのテキストファイル。
              • by Anonymous Coward
                確かにその通りですね。
                ソースコードが公開されても一般ユーザにとってはただのわけのわからない羅列でしかない。
                むしろ何か悪意あるコードを埋め込んでやろうという側にとっては好都合で簡単に忍ばせることができる。
                OSS=安全というのは性善説の元にしか成り立たない理論です。
              • by Anonymous Coward
                まあオープンソースはもともと安全性というよりは利便性重視の発想ですから。
                安全性というのは後付けでしかないので、その効果は限定的と見るのが適切でしょう。
                ただし万能と思わなければ、安全性に寄与するという考えは悪くありません。
          • ユーザが増えてくればそれなりに検証もされるようになるのでしょうが、MS製品の圧倒的シェアを考えれば、検証する側の数だって少なくなるし、当然見つかりにくくなるでしょう。
            Firefoxなんていい例で、ユーザが増えてきたらどんどん脆弱性が見つかるようになってきてますよね。 それまではほとんど見つからなかったわけですが。

            ユーザが増えてきて主流、あるいは主流に対する対抗馬として有力視されてくるとセキュリティとかその方面の専門家がチェックしはじめますからね。

            「それなりに検証もされ」と書かれているからそういう

            • ソースコードを見る人が少ない
              というのは大前提の一つ
              誰がもみとめる自明の事柄の一つです。

              無論、脆弱性の発見という意味では、ソースコードを読むことは絶対ではありません。
              むしろ少数派ともえいます。

              常識的に、ユーザー人口数の絶対的増加は、それにかかわる専門家の絶対的増加をさします。良くも悪くも商売になるからです。無論、専門家の増加率に対して、使う人の増加率のほうが激しいのは正しいですが。一般的な市場ではそれは実に正しいモデルです。作り手のほうが人口が多かったら破綻します。

              そして、ユーザーの絶対数増加はコミュニティとして単純に歓迎す
          • by Anonymous Coward
            http://srad.jp/comments.pl?sid=288344&cid=838426

            ケン・トンプソン氏がCコンパイラに仕込んだことだと思います。
          • by Anonymous Coward
            ソースも無く思い込みで批判する事ほど情けないものはない。
        • by Anonymous Coward on 2006年08月15日 19時33分 (#997109)
          GNOME がやってた賞金 [srad.jp]みたいに、あら捜しに賞金をかければいいんだよ。
          Google さん、スポンサーになって(はぁと)
          親コメント

Stableって古いって意味だっけ? -- Debian初級

処理中...