Recently, I have seen a large-ish uptick in customers reverse engineering our code to attempt to find security vulnerabilities in it. This is why I’ve been writing a lot of letters to customers that start with “hi, howzit, aloha” but end with “please comply with your license agreement and stop reverse engineering our code, already.”
there are a lot of things a customer can do like, gosh, actually talking to suppliers about their assurance programs or checking certifications for products for which there are Good Housekeeping seals for (or “good code” seals) like Common Criteria certifications or FIPS-140 certifications.
Q. Surely the bad guys and some nations do reverse engineer Oracle’s code and don’t care about your licensing agreement, so why would you try to restrict the behavior of customers with good motives?
A. Oracle’s license agreement exists to protect our intellectual property. “Good motives” – and given the errata of third party attempts to scan code the quotation marks are quite apropos – are not an acceptable excuse for violating an agreement willingly entered into. Any more than “but everybody else is cheating on his or her spouse” is an acceptable excuse for violating “forsaking all others” if you said it in front of witnesses.
その通りだよ思うけど (スコア:-1)
GIGAZINと@ITを読んだけど、
脆弱性を見つけてくれるのはありがたいし、そこは感謝してる。
ただし、リバースエンジニアリングはライセンス違反だから訴える。
何もおかしな点はないと思うけどなぁ。
Re:その通りだよ思うけど (スコア:3, 参考になる)
> 脆弱性を見つけてくれるのはありがたいし、そこは感謝してる。
違う。「脆弱性報告はほとんどゴミだし、うちはちゃんと賞をもらってるから安全だし、解析はライセンス違反だからやめろ」って書いてる。1980年代並みのことが本当に書いてある。
https://web.archive.org/web/20150811052336/https://blogs.oracle.com/ma... [archive.org]
Recently, I have seen a large-ish uptick in customers reverse engineering our code to attempt to find security vulnerabilities in it. This is why I’ve been writing a lot of letters to customers that start with “hi, howzit, aloha” but end with “please comply with your license agreement and stop reverse engineering our code, already.”
there are a lot of things a customer can do like, gosh, actually talking to suppliers about their assurance programs or checking certifications for products for which there are Good Housekeeping seals for (or “good code” seals) like Common Criteria certifications or FIPS-140 certifications.
Q. Surely the bad guys and some nations do reverse engineer Oracle’s code and don’t care about your licensing agreement, so why would you try to restrict the behavior of customers with good motives?
A. Oracle’s license agreement exists to protect our intellectual property. “Good motives” – and given the errata of third party attempts to scan code the quotation marks are quite apropos – are not an acceptable excuse for violating an agreement willingly entered into. Any more than “but everybody else is cheating on his or her spouse” is an acceptable excuse for violating “forsaking all others” if you said it in front of witnesses.
Re: (スコア:0)
寄せられた脆弱性に関する情報の中には、明らかにそういった行為(ツール解析とか)でなければ見つけ出すことができないものがあるので、それは節度がどのへんにあるのか、使用に関する契約内容、ならびに、権利に関する契約内容を書面の記載で再度、確認してくださいませよって言いたかったんだろうけども、もう、おばちゃん長いことこの仕事してて、こういう通報なんて枚挙にいとまないし、おかげでくっそ忙しいし、もうひとりいるデビッドソン@男は社内でツクツク、チクチクしやがってうっせーし、あたしなんか、最初はプロダクトマネージャーだったし、セキュリティに関するカンファレンスでたくさん講演やって指導もして意見も言ってきたけど、プログラミングなんてわかんないし、やったことないし、あんたたちが騒ぐからあたしの立場が危なくなるのがわっかんないの? いー加減にしてくんなーーーーーい? って読めた(笑 おばちゃんになったから周囲から引退しろって言われてるから騒ぐのやめて!って読めた(笑
Re:その通りだよ思うけど (スコア:2, 参考になる)
原文読みましょうよ
リバースエンジニアリングとかうざいから,やめて
品質管理はオラクルに全部任せて,と言う主張です
協力者&利用者は怒って当然の内容です
Re:その通りだよ思うけど (スコア:2, すばらしい洞察)
JAVAであれだけ脆弱性を出してるのに、品質管理してたの?
Re: (スコア:0)
協力者なんていらないって話でしょ。
それはそれで一つの見解だと思う。
Re:その通りだよ思うけど (スコア:1)
ソース見た?
その「一つの見解」とやらをオラクル社のブログで書いちゃって
会社側が「ウチの理念とは異なる」って尻拭い。
思慮の浅いザルCSOなんていらないって話でしょ。
Re: (スコア:0)
ドゲザー鳩山に対する民主党みたい
Re: (スコア:0)
品質管理をOracleがやって、それであの体たらくだと他の製品もザルであるという評価が付くし、CSOは仕事してなーいってことになると思うんだけど、本気で言ってたの?>メアリー
バウンティハンティングコンテストを開いて、懸賞金はCSOの報酬を原資にするってすれば、社内のバグ取りに血道を上げてくれると思うなww
Re: (スコア:0)
8i辺りから報告への対応が悪くなったんですよね。
報告してた人は、WindowsはMSだからミドルは他でと考えてた人たち。
そんな人たちが9iでぶち切れて、他に移って行きましたが、公言した感じですかね?
Re: (スコア:0)
実行形式ファイルから得られる情報だけだと脆弱性見つけるのに多大な時間を要するでしょ
Re: (スコア:0)
実行形式ファイルから情報を得るのがリバースエンジニアリングじゃないの?
Re:その通りだよ思うけど (スコア:1)
まわりから突いて挙動を確かめるのもリバースエンジニアリングです。
Re: (スコア:0)
え?そうなの?
それってどこがリバースなの?
Re:その通りだよ思うけど (スコア:1)
リバースエンジニアリングは、
実行形式ファイルの disassemble する事だけを指しません。
実行形式ファイルの挙動を解析する事も含まれます。
要は、公開されていない仕様を明らかにするエンジニアリング行為すべてが、
リバースエンジニアリングにあたる行為になるかと思います。
Re: (スコア:0)
分かりやすい所だと、パケットキャプチャでプロトコル解析するのも
リバースエンジニアリングですね。
Re:その通りだよ思うけど (スコア:1)
Reverse "Code" Engineeringなら逆アセンブルとか逆コンパイルしてソースの復元・分析がメインになるかもしれないけど、単にリバースエンジニアリングって言うならハードウェアや暗号プロトコルに対するサイドチャンネル攻撃とか、ブラックボックステストみたいに周りから間接的に仕組みを把握しようとする手法は一般的だと思う。
え?そうなの?
それってどこがリバースなの?
ビルド(製造)過程で「失われた情報の取得」がリバースなんだから問題ないでしょう。
Re: (スコア:0)
脆弱性の発見とかは失われた情報の取得には含まんでしょう。
仕様や資材から製品を作る作業に対して、
製品から何かを見出すからリバース、ってだけの話なので。
Re: (スコア:0)
つつく元は実行形式なんで。
#実行形式→仕様(挙動)なのが通常と逆
Re: (スコア:0)
夏休みなの?
Re: (スコア:0)
仕様から製品を作るのが普通のエンジニアリング。
製品から仕様(バグ含む)を見つけるのがリバースエンジニアリング。