アカウント名:
パスワード:
オープンにするのは充分な監査の目を入れるためだろう。だが一つの標準に多数のベンダーが群がるのもまた不健全だ。攻撃者は一つの標準を狙えば良くて攻撃コストが下がるし、何かあったときの影響範囲が大きすぎる。ベンダーがそれぞれ実装し公開するのがベター。
その理屈はおかしいと思う。
セキュリティは複雑さによって守られてるわけじゃなくて、単純さと堅牢さは両立する。バグがあれば何もかも台無しになるわけだから。イタチごっこにしたらどこかの局面でメーカーは絶対に負けるからそれは避けないといけない。
一つのソフトウェアに依存すると、一網打尽でやられるって話だよ。heartbleed, shellshock, 最近だと log4shell。もう忘れたかね。
破られること自体は避けられない。そのほうが結果的にに傷が浅いってことだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
一方で多様性もないといけない (スコア:0)
オープンにするのは充分な監査の目を入れるためだろう。
だが一つの標準に多数のベンダーが群がるのもまた不健全だ。
攻撃者は一つの標準を狙えば良くて攻撃コストが下がるし、何かあったときの影響範囲が大きすぎる。
ベンダーがそれぞれ実装し公開するのがベター。
Re: (スコア:1, すばらしい洞察)
その理屈はおかしいと思う。
セキュリティは複雑さによって守られてるわけじゃなくて、単純さと堅牢さは両立する。バグがあれば何もかも台無しになるわけだから。イタチごっこにしたらどこかの局面でメーカーは絶対に負けるからそれは避けないといけない。
Re:一方で多様性もないといけない (スコア:1)
一つのソフトウェアに依存すると、一網打尽でやられるって話だよ。
heartbleed, shellshock, 最近だと log4shell。もう忘れたかね。
Re: (スコア:0)
破られること自体は避けられない。そのほうが結果的にに傷が浅いってことだよ。