アカウント名:
パスワード:
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それよりも、一次配布元のファイルに混入していた事実が問題ですよ。ハッシュ値の情報ファイル自体が信用できないので。# tar.gz ファイルにデジタル署名する技術ってあるのかしらん。
えー、こんなコメントがすば洞モデになるの?
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?はっきりいって、混入しやすくなる。バイナリで配布されているソフトウェアにバックドアを仕込むよりも技術的には容易になる。
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?
はっきりいって、混入しやすくなる。バイナリで配布されているソフトウェアにバックドアを仕込むよりも技術的には容易になる。
配布しているファイル自体を改竄されない、あるいは改竄されたとしても安全に検知できるようにしていない時点で、ソース配布だろうがバイナリ配布だろうが一緒ですよ。
ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。それは後の問題。たいていは、make してインストールして起動し、Firewallなどで
ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それは後の問題。
たいていは、make してインストールして起動し、Firewallなどで
あー、文章を読めないダメ人がいるなぁ。少し落ち着こうよ。
何と言おうとも、オプソの方が混入しやすいし、事実としてクローズドなソフトより混入事件が多い。
「混入しやすい」ってのはソースコードがあるから改竄したソースコードを配布しやすい、という意味?それともコミッターとしてパッチを取り込ませやすい、という意味?
前者だとしたら、バイナリ配布だって改竄済みバイナリを配布すれば同じことになるから、ソース配布とバイナリ配布の違いはないです。後者だとしたら、コードレビューの不足が問題なだけですね。そもそもダメなプロジェクトなんでしょう。
オープンな開発体制だと無数のレビューアが存在する可能性が
オープンソースでもプロプラでも一緒だ、と言ってるのに、「オプソが安全」としか読み取れていない時点で致命的。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
ソースコード (スコア:0)
Re: (スコア:0)
何を言っているのかよくわかりません。ソース配布すると、バックドアが混入しやすくなるのですか?
ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それよりも、一次配布元のファイルに混入していた事実が問題ですよ。
ハッシュ値の情報ファイル自体が信用できないので。
# tar.gz ファイルにデジタル署名する技術ってあるのかしらん。
Re: (スコア:3, すばらしい洞察)
はっきりいって、混入しやすくなる。
バイナリで配布されているソフトウェアにバックドアを仕込むよりも
技術的には容易になる。
> ソースの比較ができるからこそ(チェックする人が存在すれば)より安全にはなりえますが。
それは後の問題。
たいていは、make してインストールして起動し、Firewallなどで引っかかって
初めて気づく。
そしてソースから調べることができるというのだけが利点。
安全になると言うことは全くない。
バックドア混入を防ぐことに関してはオープンソースは強くない。
後で調
Re: (スコア:0)
えー、こんなコメントがすば洞モデになるの?
配布しているファイル自体を改竄されない、あるいは改竄されたとしても安全に検知できるように
していない時点で、ソース配布だろうがバイナリ配布だろうが一緒ですよ。
Re: (スコア:-1, フレームのもと)
何と言おうとも、オプソの方が混入しやすいし、
事実としてクローズドなソフトより混入事件が多い。
改変されたソースが設置された時点で、署名なんかも
怪しいもんだし、makeしてインストールする前に
ハッキリとソースをチェックできる人が世界で何人
いると思ってんの?
君だって絶対にチェックしてないだろ?
ちゃんとチェックしてるって嘘つくかもしれないが。
Re: (スコア:0)
あー、文章を読めないダメ人がいるなぁ。少し落ち着こうよ。
「混入しやすい」ってのはソースコードがあるから改竄したソースコードを配布しやすい、という意味?
それともコミッターとしてパッチを取り込ませやすい、という意味?
前者だとしたら、バイナリ配布だって改竄済みバイナリを配布すれば同じことになるから、
ソース配布とバイナリ配布の違いはないです。
後者だとしたら、コードレビューの不足が問題なだけですね。そもそもダメなプロジェクトなんでしょう。
オープンな開発体制だと無数のレビューアが存在する可能性が
Re: (スコア:0)
自分に言い聞かせてるのですね。よい傾向です。
バイナリで配布しているソフトの場合、アプリケーション証明書を
デジタル署名でつければOK。
誰でも生成できるfingerprintを改変が可能なところに貼ったり
するよりも信頼性は高い。
RSAがキーを盗まれるというケースも考えられはするが、
オープンソースに悪意の第三者がバックドアを仕込む確率よりは
極めて低いしな。
そんなにオプソがあらゆる点で優位だと無理矢理ひねり出さなくても、
オプソにはオプソなりに利点欠点があるんだよ。
利点、欠点はちゃんと理解して、弱いところ、強いとこ
Re:ソースコード (スコア:0)
オープンソースでもプロプラでも一緒だ、と言ってるのに、「オプソが安全」としか読み取れていない時点で致命的。