アカウント名:
パスワード:
> この脆弱性についてAyer氏は最悪のミスだと考えているようだが、OpenBSDのTheo de Raadt氏やBob Beck氏は現実のプログラムでこのような処理が行われることはないとし、問題が誇張され過ぎていると述べているとのことだ。
OpenSSLをさんざんdisっておいてこれでは説得力なさすぎだろ……。CVE-2014-0224も結局OpenSSLに修正コミットが入るまで見つけられなかったようだし。やっぱり開発リソースを無駄に分散させただけになりそうだ。
OpenBSDの連中を擁護するわけじゃないけど「まず掃除しないとどうにもならん」ってのが彼らの主張で、その途上だと理解しています。彼らを持ってしても、多少はあるでしょう。ましてやportable版ですからね。カッコ悪いのは確かだと思うけどさ。
ていうかOpenBSDの旧来の主張ではLinuxでセキュアなRNGは無理っていう話なんだからportableを出したり非現実的なケースまで修正したりするのはすごい譲歩だよな
最初の発表だとOpenBSD5.6と一緒にリリースとだけ書かれてたので、前倒しでportable版リリースしつつLinux用のcompatのソースまで出してきたのは嬉しい誤算。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
かなり恥ずかしい (スコア:1)
> この脆弱性についてAyer氏は最悪のミスだと考えているようだが、OpenBSDのTheo de Raadt氏やBob Beck氏は現実のプログラムでこのような処理が行われることはないとし、問題が誇張され過ぎていると述べているとのことだ。
OpenSSLをさんざんdisっておいてこれでは説得力なさすぎだろ……。CVE-2014-0224も結局OpenSSLに修正コミットが入るまで見つけられなかったようだし。やっぱり開発リソースを無駄に分散させただけになりそうだ。
Re: (スコア:2)
OpenBSDの連中を擁護するわけじゃないけど「まず掃除しないとどうにもならん」ってのが彼らの主張で、その途上だと理解しています。彼らを持ってしても、多少はあるでしょう。ましてやportable版ですからね。
カッコ悪いのは確かだと思うけどさ。
Re: (スコア:0)
ていうかOpenBSDの旧来の主張ではLinuxでセキュアなRNGは無理っていう話なんだから
portableを出したり非現実的なケースまで修正したりするのはすごい譲歩だよな
Re:かなり恥ずかしい (スコア:0)
最初の発表だとOpenBSD5.6と一緒にリリースとだけ
書かれてたので、前倒しでportable版リリースしつつ
Linux用のcompatのソースまで出してきたのは嬉しい誤算。