MSが「Linux は Windows より脆弱」キャンペーン準備中 215
ストーリー by Oliver
恐怖、不安、疑念 部門より
恐怖、不安、疑念 部門より
yosshy 曰く、 "ZDNN の記事によると、マイクロソフトが「LinuxのバグフィックスはWindowsよりも遅い」というキャンペーンを準備しているとの事。同日発表された最大深刻度「緊急」の Windows と Office のセキュリティアップデートが関連記事に挙げられているのも皮肉だが、それにしても一大企業の戦略としてはあまりにもセコい気がするのは私だけ?"
どの口がこんなこと言うかなあ。 (スコア:5, おもしろおかしい)
「枯らす」ことをしないで新機能をどんどん追加する一方だから、
結局ユーザーの前には同じ数の脆弱性が積み上げられてくだけなんじゃ
ないのかと思いますが。
奥天氏はこんなことも言っています。
>しかし、パッチ管理機能やWindowsUpdateなどの機能は、
>ほかのOSでは実装されていないはずだ
Linuxにも自動アップデート機能ってありませんでしたっけ?
…ああ、たしかにWindowsUpdateはほかのOSには実装されてる筈がないですね。
Re:どの口がこんなこと言うかなあ。 (スコア:3, 参考になる)
Turbolinuxには、少なくとも最新版の10 Desktopにおいて、Windows Updateそっくりの「Turboアップデート」とゆー機能があります。 どんな感じかは、このページ [turbolinux.co.jp]のスクリーンショットなんかをご覧ください。
Red Hat Linux には Red Hat Network を利用してアップデートする機能があったよーな。
Re:どの口がこんなこと言うかなあ。 (スコア:1, おもしろおかしい)
RedHatにはup2date、TurboにはTurboアップデート、SuSEにはYaST online update、Debian系にはapt-get、そしてFreeBSDにはmake world。。。
Re:どの口がこんなこと言うかなあ。 (スコア:1, すばらしい洞察)
#FreeBSDに限ったものでもないけどね.
それよりはちょっと前に話題 [srad.jp]にあがった FreeBSD Update [daemonology.net]のほうがこの場合は例としてよくないかい?
Re:どの口がこんなこと言うかなあ。 (スコア:1, おもしろおかしい)
Re:どの口がこんなこと言うかなあ。 (スコア:3, 参考になる)
MS03-32 [ryukoku.ac.jp]では、脆弱性を発見したけど直ってませんでしたよね。
Re:どの口がこんなこと言うかなあ。 (スコア:2, 参考になる)
Re:どの口がこんなこと言うかなあ。 (スコア:2, おもしろおかしい)
#本当は…どっちもふさがらないのか?(笑)
Re:どの口がこんなこと言うかなあ。 (スコア:1, すばらしい洞察)
>>ほかのOSでは実装されていないはずだ
>
>Linuxにも自動アップデート機能ってありませんでしたっけ?
MacOS(9.0以降およびX)にもありますね。
各界の反応 (スコア:5, おもしろおかしい)
DIO「お前は今まで適用したWindows Updateの数を覚えているか」
--
ジョジョ2
ユーザーA「テメーは俺を怒らせた」
--
ドラゴンボール
神龍「願いをいえ」
ユーザーB「Windowsのバグをなくしてくれ」
神龍「無理だ。わたしの力を越えている」
--
ハムレット
ハムレット「バグなのか、仕様なのか、それが問題だ」
--
吾輩は猫である
バグ「吾輩はバグである。名前はまだない。どこで生れたかとんと見当がつかぬ。何でも薄暗いじめじめした所でピーピー泣いていた事だけは記憶している。吾輩はここで始めて仕様というものを見た。」
--
雪国
「ソースコードの長いレビューを済ませると、それは仕様であった」
無理難題を言う悪魔 (スコア:2, おもしろおかしい)
その悪魔から「Linux ディストリビューションや *BSD配布物に含まれるソフトウェアのバグをゼロにしろ」と言われたならば、世界中のエンジニアにいま取り組んでいる仕事を止めさせて全員でバグ修正に取り組ませることだ。
もしもその悪魔から「Windows を始めとするマイクロソフト製品のバグをゼロにしろ」と言われたならば、世界中のエンジニアにいま取り組んでいる仕事を止めさせて、みんなで悪魔に飛び掛るんだ。
やっつける以外に方法はないからな。
バグは、ばけもの (スコア:5, おもしろおかしい)
対するは、パッチ。上位のものはさらなり。下位もなほ、仕様の多く変えちがひたる。また、ただ一つ二つなど、ほのかに挙動変わるもをかし。エンバグするもをかし。
飽きは、気紛れ。嫌気のさしてdiscontinuedいと近こうなりたるに、ソースの墓場へ行くとて、三つ四つ、二つ三つなど直し急ぐさへあはれなり。まいて、癌などの連ねたるが、いと小さく見ゆるは、いとをかし。力尽き果てて、穴の音、虫の音など、また言ふべきにあらず。
現場は、たすけて。残業徹夜は言ふべきにもあらず。髪のいと白きも、また禿でも、いと眠きに、珈琲など飲み干して、気合いで挑むも、いとばかばかし。昼になりて、ぬるく力尽きていけば、火の車も白き灰がちになりてわろし。
# ACなのでAC
誰のせいなの? (スコア:4, おもしろおかしい)
「ぼうや、そりゃあ Apacheプロジェクトさ」
「そっか。じゃ、OpenSSHに脆弱性があったら?」
「ぼうや、そりゃあ OpenSSHプロジェクトさ」
「ふーん。じゃあ、IEだったら?」
「それは Microsoftだね」
「じゃあ OutlookExpressは?」
「それも Microsoftだ」
「IISは?」
「ぼうや。みんな Microsoftだよ。IISも MSNも .NETパスポートも WindowsUpdateも WindowsMessengerも Wordも Excelも ActiveXも・・・」
Re:誰のせいなの? (スコア:1, 興味深い)
確かに.
MSもソフトウェア毎に会社分割してしまえば,
どこが問題なのかの鉾先が明確になっていいかもな.
Re:誰のせいなの? (スコア:1, 参考になる)
というのは,ユーザが脆弱性を発見した際に,
IEに脆弱性→マイクロソフト社窓口へ報告→?→IE開発部門
?の部分がいろいろあるから,明確ではないと思う.
完全に分けられるのら,IEに脆弱性→IE開発窓口→IE開発部門
逆であれば,つまり,開発で脆弱性が見付かったのであれば,
開発→?→マイクロソフト社窓口→ユーザ
開発→窓口→ユーザ
図式は省略しまくってるけど...
例えば,SSHに脆弱性があっても,
一般にはLINUXディトリビューターが悪いとはならないじゃん?
会社分割ではなくて,鉾先が明確になるってことをいいたいのです.
Re:誰のせいなの? (スコア:1, すばらしい洞察)
Apache(httpd)やOpenSSH(ssh)なんかは、もしものときに備えてもう一つぐらいずつ普及した実装があってもいいんじゃないかと思うのですが、そうではないものですかね。
最近のMicrosoftは研究熱心ですなぁ。セキュリティホールを作らずに実装することはうまくないのでしょうが、作ったセキュリティホールに対策するのは、まずまずのところです。
あとは、被害にあう前に修正するか、後に修正するかですね。
ソフトウェアを終了させずに更新する、なんていうこともそのうちできるようになりそうな気がします。
# spamメールが多いのはSMTPの仕様です。
Re:誰のせいなの? (スコア:1, おもしろおかしい)
双方とも代替プロジェクトだった筈なんだが。
本家はどこへ行っちゃたんだろうか。
なんとなく・・・ (スコア:3, 興味深い)
--青い空を駆け抜けよう協会 会長 Yosshi
Re:なんとなく・・・ (スコア:1, すばらしい洞察)
あるいはGatesとLinusのどちらがテスラ(あるいはエジソン)に相当するか。
# 思い出しただけのことを問題にするのもどうかと自分で思うのでAC
Re:なんとなく・・・ (スコア:3, 参考になる)
一般には電球はエジソンが発明したと思われていますが、
実はエジソン以前から電球は存在していました。
エジソンが行ったのは電球の「発明」ではなく「改良」であったという事実は、
あまり知られていません。
もちろん、既存の技術を改良し、製品化するという行為も重要だと思います。
しかし、この改良自体も「世界中に人を派遣し、フィラメントの代用品を探す」という大金を投入した人海戦術で実現したものです。
まあ、これはこれで解決策としてはありだとは思うのですが、無駄が多い方法で、
優秀な解決策とはいえなかったでしょう。
(事実、すぐに他社が開発したタングステン・フィラメントに追い抜かれています。)
一方、エジソンが素晴らしいのは、「電球の普及には、電球そのものよりも送配電システムのほうが重要だ」と見抜いていたところでしょう。
そして、発電所をつくり、電力会社をはじめたわけです。
(これもテスラの交流システムの登場で、技術的にはすぐに時代遅れになってしまいましたが・・・)
そのほかの発明でも、技術的にはどうかと思う点も多いのですが、
技術を普及させるという面では、素晴らしい洞察力を持っていた人だと思います。
実際のところどうなんよ (スコア:3, すばらしい洞察)
実際にいつバグが発覚して、
いつ報告がいって、
それからどれくらいでパッチが出ているんでしょう。
BTSを公開しているプロジェクトとかでどれくらいの間隔で
これが行われているのか追跡した資料とかあるんでしょうか。
それとも、クリティカルな問題はBTSなんて乗らないで直接
セキュリティ研究者?から、ベンダーにいってしまったりして、
BTSすら残らないから追跡不可能だったらいやだな。。。
by rti.
無駄な金つかうなよー (スコア:2)
>公開されるまでの日数を計測するというもの。
そんなことしているヒマがあるなら、
"0-Day of Risk" と呼んで、リリースから隠れた脆弱性が公表されるまでの
日数を計測してもらいたいんだが....
みんつ
もーなんでもありなんですよ (スコア:1, おもしろおかしい)
割り箸さえも武器にするくらいの勢いですよ。
バグがあるのが当り前 (スコア:1)
Re:バグがあるのが当り前 (スコア:1, すばらしい洞察)
そういうのは (スコア:1)
Re:そういうのは (スコア:1, すばらしい洞察)
向こうじゃこの程度の話なんて日常茶飯事だよ。
日本人は保守的で和を重んじる(平たく言えば日和見主義)だから、
こういうタイプの宣伝には敏感に反応するんだろうね。
宣伝だと思えばたいした話には見えないぞ。
(つか、宣伝とはそういうものだし)
#Linuxだって「Linuxの方が安全」とかやってるじゃん。
#それと何も変わらないよ。
#カーネル単体なら安全?そんなの無意味すぎ。
そういえば (スコア:1, 興味深い)
とはいっても,アップデートしましょうじゃなくて新たな脆弱性が見つかったっていう内容での放送だったけどね.
Re:そういえば (スコア:2, 興味深い)
これをニュースとして取り上げていたらキリが無いですよね。
Blaster騒ぎの教訓から、深刻なセキュリティホールの場合はニュースとして流し、
少しでも多くの人にパッチを当てて貰おうと思っているのかもしれませんが、
毎月同じようなニュースが流れて、慣れてしまっては逆効果かと。
# それだけ毎回深刻なセキュリティホールが見つかる事に問題があるのかもしれませんが。
Re:そういえば (スコア:1, すばらしい洞察)
Re:そういえば (スコア:1)
日本でも選挙があったんおで思い出したのですが、アメリカの 選挙演説では、対抗馬のスキャンダルについてバッシングしたり もするようです。
焦点はそこではなくて、MicroSoftが自分の欠点を隠すわけでは なく、補うように広告されていることだと思います。目新しい新機能 だけを宣伝するよりも質は上がった宣伝であると思います。
とりあえずMicrosoftさんは (スコア:1, 興味深い)
パッチ適用のたび毎度毎度OSごと再起動させなきゃならない間抜けな仕組みをさっさと解決してもらいたいもんです。
パッチ(アップデート)の公開数が多いかどうかなんてたいした問題ではありません。Windows Server 2003になってもなお頻繁に更新を押しつけ再起動を強要し続けていることに対して、Microsoftは何も思っていないのでしょうか?
たとえばLinuxではカーネル自身とglibcの更新のタイミングでしかシステムの再起動は必要なく、それ以外のすべての更新ではそれぞれの依存関係に応じてプロセス(サービス)だけを再起動すれば全く問題は発生しません。
そのため、複数のサービスが相乗りしているようなサーバでは依存関係にだけきちんと注意しておけば、一つのサービスを更新するのにシステム全体を停止する必要なんて発生しないのです。
そういうことがLinuxでは実現できているのに、Windowsではそれができない(実際に再起動を無視すると穴が塞がらない)わけがないと思うのですが。。曲がりなりにもServerと称して高可用性をうたうサーバを販売してるんですから。。
Linuxでシステムの再起動 (スコア:3, 参考になる)
よって、その上でサーバデーモン走らせておけば、
システム全体の再起動を0に近づける事も可能です。
User Mode Linuxも有効な方法です。
ほか、新しいglibcを上書きインストールした後、
ldconfigコマンドを実行し、その後に動かした
プログラムは新しいglibcを使いはじめます。
PCにECC Registeredメモリの利用を推奨します。
Re:とりあえずMicrosoftさんは (スコア:1, 興味深い)
>依存関係にだけきちんと注意しておけば
それをさせるのがUNIX文化で、お気楽に全て再起動にて しまったのがWindowsだろうというのに1票。
現状どっちもどっち。
Re:とりあえずMicrosoftさんは (スコア:1, 興味深い)
手の出せないファイルが多く、ファイルロックから逃れるために
再起動させているということ。
Windows は「ユーザはすべからく OS の前にひれ伏すべき」的な
モデルのため、 root が kernel とほぼ同じ強権を持つ UNIX とは
同一に考えるものではないよ。
Re:とりあえずMicrosoftさんは (スコア:1, おもしろおかしい)
「おまえはそっち側だろ!近づくんじゃねぇっ!」ってWinにドツかれるようになりましたね。
#それでもMacはMacでこれが一番ですよ?いやホント。
Re:とりあえずMicrosoftさんは (スコア:1, すばらしい洞察)
>更新のタイミングでしかシステムの再起動は必要なく
windows updateで再起動が必要な修正って、一見ただのアプリケーションをアップデートしてるように見えても、ちょびっとカーネルにも修正加えてるんじゃないの? 俺はそう思ってた。
Re:とりあえずMicrosoftさんは (スコア:1, 参考になる)
Windowsの再起動が必要ないUpdateもあるよ。
#個人的にはクリティカルなPCほど試しにリブートするけどね。
Re:とりあえずMicrosoftさんは (スコア:1)
n 数の問題。 (スコア:1)
今 Windows に向かってる攻撃(ウィルスとか)が全て Linux に向かってきたらどうなるか分からないですし。
ただ、攻撃されてもその改善のプロセスが誰でも見ることができるって所にオープンソースの良さってあるんでしょうね。
すなわちこういう事ですな (スコア:1, おもしろおかしい)
--MS曰く--
我々マイクロソフトは製品のバグフィックが速い
今月、我社の製品では150個のバグを発見したが
そのほとんどは今月のうちに直っており、残りは時間の問題である。
我々は、一日5つの修正を目標にし日々働いてる。
Linuxはというと、今月見つかったバグは12個だが
それを直すのに一ヶ月かかっている。
これは明かに技術的に劣っている事を示している。
----------
問題点
・150個もある事がまず問題である
・バグの発見(または報告)のペースが考慮されていない
#上記の主張を正当な物にするには、月の始めに同じ数のバグを課題として与えfixさせるしかない
以上全て例え話で御送りしました。
前向きに (スコア:1, 興味深い)
ひとつも出てこなかったのが興味深い。
#そりゃはやけりゃいいってもんじゃないけどさ
マーケティング的に効果ありだけど (スコア:1)
「へぇ」っておもって終わり
LinuxPCが一般家電店で買えれば少しは意味あるだろう
現実的には同じ土壌で販売されるMacOSを相手にやるならわかる
#あ、勝てないの分かっているからか:p
有無自在
Re:セキュリティ抜きにして (スコア:1)
まぁ閉じるを押した事にされるよりはマシですね。
Re:セキュリティ抜きにして (スコア:1)
急ぎの奴への対応が遅いと問題だけど。
セキュリティ抜きじゃないよ (スコア:1)
そんなのはどうでもいいから、はやいとここいつ [srad.jp]をどうにかしちゃってくださいっ>M$
# 超個人的には MediaPlayer 9 を入れると WinDVR で録ったビデオを再生時にクラッシュするのをどうにかして欲しかったりするので ID (当方切実 ;_;/)。
むらちより/あい/をこめて。
Re:いや、それよりも、 (スコア:1, すばらしい洞察)
汎用のブラウザにセキュリティを任せるのが間違ってる。
# XPのアップデートの際にIE6がコケて鬱なAC
Re:アラサガシではないのでは? (スコア:1)
>どんなに小さくてもバクはバクでしょう。
小さいバク [tsuyama-kahaku.jp]をアザラシと言い張る人と、
それを否定する人との言い争いに見えてしまった…。
#バグ(bug/虫)
業績に影響したから? (スコア:2, 参考になる)
Re:MSも必死ですね;-) (スコア:1, すばらしい洞察)
モデにもM$の魔の手が・・・(w