パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

LibreSSL Portable 2.0.2リリース、PRNGの脆弱性を修正」記事へのコメント

  • by Anonymous Coward

    > この脆弱性についてAyer氏は最悪のミスだと考えているようだが、OpenBSDのTheo de Raadt氏やBob Beck氏は現実のプログラムでこのような処理が行われることはないとし、問題が誇張され過ぎていると述べているとのことだ。

    OpenSSLをさんざんdisっておいてこれでは説得力なさすぎだろ……。CVE-2014-0224も結局OpenSSLに修正コミットが入るまで見つけられなかったようだし。やっぱり開発リソースを無駄に分散させただけになりそうだ。

    • by Anonymous Coward

      > OpenSSLをさんざんdisっておいてこれでは

      disってましたっけ?
      猿が書いたんだろとは言ってたけど、
      CVEを出すとは恥ずかしいという非難はしてないと私は思ってましたが。

      脆弱性のあるコードをリリースしたのは良くはないけど
      指摘する人がいて、それをすぐに修正する人がいて、
      オープンソースってこういうところがいいんだよなって
      感じるニュースだと感じたけど、これをもってLibreSSLは大丈夫か?
      という記事や論調が意外なほど多くて驚いてます。

      • by Anonymous Coward

        >猿が書いたんだろとは言ってたけど、
        これがバカにしてないとあなたはいうのかいな?

        俺たちの方が良いコードかけるぜと言って書き直したら
        実装忘れか消しすぎかわからないが、バグ入れたのだから
        何それという話になるのは仕方ない。
        コードは綺麗なのかもしれないが、エンジニアリングとしては下なんじゃないかとね。

        • by Anonymous Coward

          「CVEを出すとは恥ずかしい」とdisってはいなくて、
          猿が書いたのかと言いたくなるくらい管理されていないコードベースを
          disってたのですよ。

          この二つはdisってる対象が全く違いますよね。

          あとOpenBSDチームは、「 俺たちの方が良いコードかけるぜ」
          という傲慢なことは発言してないと思います。

          バグも脆弱性もないコードを自分達だけで作り出せるとは言えないことを
          彼らはよくわかってるからです。
           

          • by Anonymous Coward

            管理されてないコードベースとはどういう意味なんでしょう?SCS使ってないとかそんな話?
            大変に読みにくいとか冗長で無駄だとか、いわゆる汚いコードだとして、「猿が書いた」と言ったのではないのかい?
            自分ならもっと良く書けるという意識がなければ汚いとならないのだから、
            具体的な言葉として言ってなくても、下に見ているのは明らかと思います。
            OpenBSDの人たちはコード評論家であってコード書かないのなら話は違いますが。
            もし自分たちのコードの方が良くなると思ってないのに書き直してるのなら、その方が理解不能です。

            キリスト教の文化圏で人を動物に例えるのは知性の欠如を意味し相当な侮辱です
            その相手は回避して対応していた問題に自分は落ち込んだわけで相当カッコ悪いわけで、いろいろ言われるのは仕方ないでしょう

            • by Anonymous Coward on 2014年07月21日 1時41分 (#2642974)

              ここに Bob Beck 氏のスライドがあって、OpenSSLのソースが
              どんな状態だったか、どんな管理状況だったかなどがまとめられてます。
              http://www.openbsd.org/papers/bsdcan14-libressl/ [openbsd.org]

              8ページに端的にまとめられてますが、
              外部の参加者がくじけるほどのソースであること、
              バグ管理システムに記録されたバグが修正されず放置されていること、
              が挙げられてます。

              これを「管理されてないコードベース」と書きました。
              前述のリンクを読んでない方には伝わらない書き方でしたね。

              ちなみにOpenSSLが最近出したロードマップでもこれらは課題として挙げられてます。
              https://www.openssl.org/about/roadmap.html [openssl.org]
              3と4がソースの汚さで、1がバグ放置ですね。

              OpenBSDのチームは、OpenSSLに脆弱性のバグがあったことを非難したのでなくて、
              外部の参加者を挫くほどのソースコードにしてしまったこととバグ放置を非難したのです。

              だからLibreSSLのソースコードがOpenSSLに比べて汚くてバグ放置したのなら、
              「OpenSSLに対してあんなエラそうに言ってたのに恥ずかしい」
              と非難すればよいと思います。

              「OpenSSLが出してないバグを作りこんだからLibreSSLは恥ずかしい」
              というのは非難のポイントがずれている、ということを言いたかったのでした。

              ところで、サルが書いたのかとか言ったのは侮蔑的で、そんなこと言わなきゃいいのに
              と私は思ってます。

              親コメント

※ただしPHPを除く -- あるAdmin

処理中...