アカウント名:
パスワード:
バイナリに署名しなさい
スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
今時、コードサイニング署名されたマルウェアだって山ほどあるんだけどね。マルウェア配信が合法の国の存在、署名代行業者の存在など理由は様々。
コードサイニング署名よりも、不特定多数が参加してソースコードを確認できるオープンソースの方がまだましだと思うよ。マシだというだけで、無償で他人のコードをレビューしたがる人はそんなにいないのでオープンソースだからといって絶対安全というわけではないが、おかしな挙動があったときにソースを確認できるぶんだけまし。
マルウェアを配信したからといって原則revokeされません。認証局はソフトウェアの合法性を審査する機関ではなく、発行先法人の実在性を判断する機関でしかありません。
eulaとか一切読んだことないんだろうな
実行ファイルだけを見てオープンソースかどうかどうやって判断するんだ。まさにそれを判断するためのコード署名だろう。論理的思考能力がないのか?
プラスαで配信機関なり評価機関との連携が無いと結局は証明できないと思うんだ。それだけじゃ単なる署名付きのファイルでしかない。
コード署名が保証するのは、ソフト配布元からダウンロードしたファイルが第三者によって改竄されていないかなので、
ソフト配布元がオープンソースなソースコードにマルウェアを仕込んだ上でビルドしていないかや、ソフト配布元が使用したコンパイラがバイナリにこっそりとマルウェアを仕込んでいないかを保証することはできないわけだが、
いったいどうやって、コード署名だけで、実行ファイルだけを見てオープンソースか判断するんだ?論理的思考能力がないのか?
誰がビルドして署名して出荷したか推論できるわけだから、たとえば、redhat が署名したバイナリだと言えば、何をどうやってビルドしたものかは調べて推論できるだろう。
ウイルスソフトなら当然でしょ
>スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
過去のストーリー「HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか [security.srad.jp]」のことを言ってるんだろうけど、すぐそうやってクソデカ主語で勝手なレッテル貼りするからスラド民は嫌われるんだぞ?
これじゃね。もちろん署名はされてる。
https://github.com/processhacker/processhacker/tree/master/KProcessHacker [github.com] https://www.virustotal.com/gui/file/69527aa5ad089d9731e0054a32c9626a8d... [virustotal.com] https://www.virustotal.com/gui/file/220a2dcf4d597f9208c0e7fd7057a91e88... [virustotal.com]
例えば、vncは、人によっては必須ツール。悪用されればマルウェア(判定)。それといっしょ。実際に、マルウェアに転用された
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ストアから配信しろ (スコア:1)
バイナリに署名しなさい
署名があったって安全とは限らないのだが (スコア:0)
スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
今時、コードサイニング署名されたマルウェアだって山ほどあるんだけどね。
マルウェア配信が合法の国の存在、署名代行業者の存在など理由は様々。
コードサイニング署名よりも、不特定多数が参加してソースコードを確認できるオープンソースの方がまだましだと思うよ。
マシだというだけで、無償で他人のコードをレビューしたがる人はそんなにいないのでオープンソースだからといって絶対安全というわけではないが、おかしな挙動があったときにソースを確認できるぶんだけまし。
Re: (スコア:0)
まさかまっとうな認証局がGPKIみたく放置プレイするわけないし
Re:署名があったって安全とは限らないのだが (スコア:1)
マルウェアを配信したからといって原則revokeされません。
認証局はソフトウェアの合法性を審査する機関ではなく、発行先法人の実在性を判断する機関でしかありません。
Re: (スコア:0)
Re: (スコア:0)
eulaとか一切読んだことないんだろうな
Re: (スコア:0)
実行ファイルだけを見てオープンソースかどうかどうやって判断するんだ。まさにそれを判断するためのコード署名だろう。
論理的思考能力がないのか?
Re: (スコア:0)
プラスαで配信機関なり評価機関との連携が無いと結局は証明できないと思うんだ。
それだけじゃ単なる署名付きのファイルでしかない。
Re: (スコア:0)
コード署名が保証するのは、ソフト配布元からダウンロードしたファイルが
第三者によって改竄されていないかなので、
ソフト配布元がオープンソースなソースコードにマルウェアを仕込んだ上でビルドしていないかや、
ソフト配布元が使用したコンパイラがバイナリにこっそりとマルウェアを仕込んでいないかを
保証することはできないわけだが、
いったいどうやって、コード署名だけで、
実行ファイルだけを見てオープンソースか判断するんだ?
論理的思考能力がないのか?
Re: (スコア:0)
誰がビルドして署名して出荷したか推論できるわけだから、
たとえば、redhat が署名したバイナリだと言えば、何をどうやってビルドしたものかは調べて推論できるだろう。
Re: (スコア:0)
Re:署名があったって安全とは限らないのだが (スコア:1)
ウイルスソフトなら当然でしょ
ブーメラン投擲 (スコア:0)
>スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
過去のストーリー「HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか [security.srad.jp]」のことを言ってるんだろうけど、すぐそうやってクソデカ主語で勝手なレッテル貼りするからスラド民は嫌われるんだぞ?
Re: (スコア:0)
これじゃね。もちろん署名はされてる。
https://github.com/processhacker/processhacker/tree/master/KProcessHacker [github.com]
https://www.virustotal.com/gui/file/69527aa5ad089d9731e0054a32c9626a8d... [virustotal.com]
https://www.virustotal.com/gui/file/220a2dcf4d597f9208c0e7fd7057a91e88... [virustotal.com]
例えば、vncは、人によっては必須ツール。
悪用されればマルウェア(判定)。それといっしょ。
実際に、マルウェアに転用された