アカウント名:
パスワード:
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それよりも、一次配布元のファイルに混入していた事実が問題ですよ。ハッシュ値の情報ファイル自体が信用できないので。# tar.gz ファイルにデジタル署名する技術ってあるのかしらん。
ただ、ソース非公開で攻撃者がプログラムをコミットできるなんて状況があるわけもなく。公式リリースの場合、ソースの公開非公開を問わず、公式サイドが信用可能かどうかだけに掛かってくる。今回の場合vsftpdの管理者がザルだったという話で、プロプラでも人事採用がザルなら同じ事になる。# クソ上司にキレて置き土産のバックドアってネタ話とか、クソ社員が自分用バックドア(エレコムとか)を仕込んだ例はあるでしょ?そういった状況下では、検証可能性から言ってオープンソースの方が圧倒的に安全になる。プロジェクト参加者や趣味人が差分追いかけるからね。オー
その点についてはプロプラの方が不利ですからね。参加者が見落とすケースは両者共に同程度のリスクだけど、趣味人が担保可能な分は違う。オプソのバージョンアップでソース差分追いかける馬鹿はチラホラ居るけど、プロプラのバージョンアップで逆アセしてまで差分追いかける馬鹿は滅多に居ない。って言うか、居たらキモイ。
んで、そういう馬鹿で熱心な趣味人が憑いてないソフトは同じ土俵になる。
プロジェクト参加者の質や信頼性がオプソとプロプラで違うのは、単純に淘汰圧の掛かり方の問題であって、ソース公開の有無に依存するものではないからなぁ・・・# 無料配布ソフトをプロプラ扱いした場合(淘汰圧を同程度にする為)、完全に五十歩百歩。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
ソースコード (スコア:0)
Re: (スコア:0)
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?
ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それよりも、一次配布元のファイルに混入していた事実が問題ですよ。
ハッシュ値の情報ファイル自体が信用できないので。
# tar.gz ファイルにデジタル署名する技術ってあるのかしらん。
Re: (スコア:3, すばらしい洞察)
はっきりいって、混入しやすくなる。
バイナリで配布されているソフトウェアにバックドアを仕込むよりも
技術的には容易になる。
> ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それは後の問題。
たいていは、make してインストールして起動し、Firewallなどで引っかかって
初めて気づく。
そしてソースから調べることができるというのだけが利点。
安全になると言うことは全くない。
バックドア混入を防ぐことに関してはオープンソースは強くない。
後で調
Re: (スコア:0)
ただ、ソース非公開で攻撃者がプログラムをコミットできるなんて状況があるわけもなく。
公式リリースの場合、ソースの公開非公開を問わず、公式サイドが信用可能かどうかだけに掛かってくる。
今回の場合vsftpdの管理者がザルだったという話で、プロプラでも人事採用がザルなら同じ事になる。
# クソ上司にキレて置き土産のバックドアってネタ話とか、クソ社員が自分用バックドア(エレコムとか)を仕込んだ例はあるでしょ?
そういった状況下では、検証可能性から言ってオープンソースの方が圧倒的に安全になる。プロジェクト参加者や趣味人が差分追いかけるからね。
オー
Re:ソースコード (スコア:0)
あれだけ人数がいれば誰かが気がつくと思っていたら、誰も気がつかなかった。
なんてことは良くあると思うんですけどね。
なにしろバグ、それもセキュリティホールになるようなバグが発見に何年もかかったりするのですから。
Re: (スコア:0)
その点についてはプロプラの方が不利ですからね。
参加者が見落とすケースは両者共に同程度のリスクだけど、趣味人が担保可能な分は違う。
オプソのバージョンアップでソース差分追いかける馬鹿はチラホラ居るけど、プロプラのバージョンアップで逆アセしてまで差分追いかける馬鹿は滅多に居ない。って言うか、居たらキモイ。
んで、そういう馬鹿で熱心な趣味人が憑いてないソフトは同じ土俵になる。
プロジェクト参加者の質や信頼性がオプソとプロプラで違うのは、単純に淘汰圧の掛かり方の問題であって、ソース公開の有無に依存するものではないからなぁ・・・
# 無料配布ソフトをプロプラ扱いした場合(淘汰圧を同程度にする為)、完全に五十歩百歩。
Re: (スコア:0)
本当に困難なバグは、ソースを見ても気がつかないんですよ。