アカウント名:
パスワード:
> この脆弱性についてAyer氏は最悪のミスだと考えているようだが、OpenBSDのTheo de Raadt氏やBob Beck氏は現実のプログラムでこのような処理が行われることはないとし、問題が誇張され過ぎていると述べているとのことだ。
OpenSSLをさんざんdisっておいてこれでは説得力なさすぎだろ……。CVE-2014-0224も結局OpenSSLに修正コミットが入るまで見つけられなかったようだし。やっぱり開発リソースを無駄に分散させただけになりそうだ。
> OpenSSLをさんざんdisっておいてこれでは
disってましたっけ?猿が書いたんだろとは言ってたけど、CVEを出すとは恥ずかしいという非難はしてないと私は思ってましたが。
脆弱性のあるコードをリリースしたのは良くはないけど指摘する人がいて、それをすぐに修正する人がいて、オープンソースってこういうところがいいんだよなって感じるニュースだと感じたけど、これをもってLibreSSLは大丈夫か?という記事や論調が意外なほど多くて驚いてます。
>猿が書いたんだろとは言ってたけど、これがバカにしてないとあなたはいうのかいな?
俺たちの方が良いコードかけるぜと言って書き直したら実装忘れか消しすぎかわからないが、バグ入れたのだから何それという話になるのは仕方ない。コードは綺麗なのかもしれないが、エンジニアリングとしては下なんじゃないかとね。
「CVEを出すとは恥ずかしい」とdisってはいなくて、猿が書いたのかと言いたくなるくらい管理されていないコードベースをdisってたのですよ。
この二つはdisってる対象が全く違いますよね。
あとOpenBSDチームは、「 俺たちの方が良いコードかけるぜ」という傲慢なことは発言してないと思います。
バグも脆弱性もないコードを自分達だけで作り出せるとは言えないことを彼らはよくわかってるからです。
管理されてないコードベースとはどういう意味なんでしょう?SCS使ってないとかそんな話?大変に読みにくいとか冗長で無駄だとか、いわゆる汚いコードだとして、「猿が書いた」と言ったのではないのかい?自分ならもっと良く書けるという意識がなければ汚いとならないのだから、具体的な言葉として言ってなくても、下に見ているのは明らかと思います。OpenBSDの人たちはコード評論家であってコード書かないのなら話は違いますが。もし自分たちのコードの方が良くなると思ってないのに書き直してるのなら、その方が理解不能です。
キリスト教の文化圏で人を動物に例えるのは知性の欠如を意味し相当な侮辱ですその相手は回避して対応していた問題に自分は落ち込んだわけで相当カッコ悪いわけで、いろいろ言われるのは仕方ないでしょう
ここに Bob Beck 氏のスライドがあって、OpenSSLのソースがどんな状態だったか、どんな管理状況だったかなどがまとめられてます。http://www.openbsd.org/papers/bsdcan14-libressl/ [openbsd.org]
8ページに端的にまとめられてますが、外部の参加者がくじけるほどのソースであること、バグ管理システムに記録されたバグが修正されず放置されていること、が挙げられてます。
これを「管理されてないコードベース」と書きました。前述のリンクを読んでない方には伝わらない書き方でしたね。
ちなみにOpenSSLが最近出したロードマップでもこれらは課題として挙げられてます。https://www.openssl.org/about/roadmap.html [openssl.org]3と4がソースの汚さで、1がバグ放置ですね。
OpenBSDのチームは、OpenSSLに脆弱性のバグがあったことを非難したのでなくて、外部の参加者を挫くほどのソースコードにしてしまったこととバグ放置を非難したのです。
だからLibreSSLのソースコードがOpenSSLに比べて汚くてバグ放置したのなら、「OpenSSLに対してあんなエラそうに言ってたのに恥ずかしい」と非難すればよいと思います。
「OpenSSLが出してないバグを作りこんだからLibreSSLは恥ずかしい」というのは非難のポイントがずれている、ということを言いたかったのでした。
ところで、サルが書いたのかとか言ったのは侮蔑的で、そんなこと言わなきゃいいのにと私は思ってます。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
※ただしPHPを除く -- あるAdmin
かなり恥ずかしい (スコア:1)
> この脆弱性についてAyer氏は最悪のミスだと考えているようだが、OpenBSDのTheo de Raadt氏やBob Beck氏は現実のプログラムでこのような処理が行われることはないとし、問題が誇張され過ぎていると述べているとのことだ。
OpenSSLをさんざんdisっておいてこれでは説得力なさすぎだろ……。CVE-2014-0224も結局OpenSSLに修正コミットが入るまで見つけられなかったようだし。やっぱり開発リソースを無駄に分散させただけになりそうだ。
Re: (スコア:0)
> OpenSSLをさんざんdisっておいてこれでは
disってましたっけ?
猿が書いたんだろとは言ってたけど、
CVEを出すとは恥ずかしいという非難はしてないと私は思ってましたが。
脆弱性のあるコードをリリースしたのは良くはないけど
指摘する人がいて、それをすぐに修正する人がいて、
オープンソースってこういうところがいいんだよなって
感じるニュースだと感じたけど、これをもってLibreSSLは大丈夫か?
という記事や論調が意外なほど多くて驚いてます。
Re: (スコア:0)
>猿が書いたんだろとは言ってたけど、
これがバカにしてないとあなたはいうのかいな?
俺たちの方が良いコードかけるぜと言って書き直したら
実装忘れか消しすぎかわからないが、バグ入れたのだから
何それという話になるのは仕方ない。
コードは綺麗なのかもしれないが、エンジニアリングとしては下なんじゃないかとね。
Re: (スコア:0)
「CVEを出すとは恥ずかしい」とdisってはいなくて、
猿が書いたのかと言いたくなるくらい管理されていないコードベースを
disってたのですよ。
この二つはdisってる対象が全く違いますよね。
あとOpenBSDチームは、「 俺たちの方が良いコードかけるぜ」
という傲慢なことは発言してないと思います。
バグも脆弱性もないコードを自分達だけで作り出せるとは言えないことを
彼らはよくわかってるからです。
Re: (スコア:0)
管理されてないコードベースとはどういう意味なんでしょう?SCS使ってないとかそんな話?
大変に読みにくいとか冗長で無駄だとか、いわゆる汚いコードだとして、「猿が書いた」と言ったのではないのかい?
自分ならもっと良く書けるという意識がなければ汚いとならないのだから、
具体的な言葉として言ってなくても、下に見ているのは明らかと思います。
OpenBSDの人たちはコード評論家であってコード書かないのなら話は違いますが。
もし自分たちのコードの方が良くなると思ってないのに書き直してるのなら、その方が理解不能です。
キリスト教の文化圏で人を動物に例えるのは知性の欠如を意味し相当な侮辱です
その相手は回避して対応していた問題に自分は落ち込んだわけで相当カッコ悪いわけで、いろいろ言われるのは仕方ないでしょう
Re:かなり恥ずかしい (スコア:1)
ここに Bob Beck 氏のスライドがあって、OpenSSLのソースが
どんな状態だったか、どんな管理状況だったかなどがまとめられてます。
http://www.openbsd.org/papers/bsdcan14-libressl/ [openbsd.org]
8ページに端的にまとめられてますが、
外部の参加者がくじけるほどのソースであること、
バグ管理システムに記録されたバグが修正されず放置されていること、
が挙げられてます。
これを「管理されてないコードベース」と書きました。
前述のリンクを読んでない方には伝わらない書き方でしたね。
ちなみにOpenSSLが最近出したロードマップでもこれらは課題として挙げられてます。
https://www.openssl.org/about/roadmap.html [openssl.org]
3と4がソースの汚さで、1がバグ放置ですね。
OpenBSDのチームは、OpenSSLに脆弱性のバグがあったことを非難したのでなくて、
外部の参加者を挫くほどのソースコードにしてしまったこととバグ放置を非難したのです。
だからLibreSSLのソースコードがOpenSSLに比べて汚くてバグ放置したのなら、
「OpenSSLに対してあんなエラそうに言ってたのに恥ずかしい」
と非難すればよいと思います。
「OpenSSLが出してないバグを作りこんだからLibreSSLは恥ずかしい」
というのは非難のポイントがずれている、ということを言いたかったのでした。
ところで、サルが書いたのかとか言ったのは侮蔑的で、そんなこと言わなきゃいいのに
と私は思ってます。