アカウント名:
パスワード:
この状況では改造版が出回るのも仕方ない。
Downloading software safely is nealy impossiblehttps://noncombatant.org/2014/03/03/downloading-software-safely-is-nea... [noncombatant.org]
そのとおり。正規の安全な配布ルートじゃないところから落とせば、マルウェア感染リスクがある、って当然のことでしかない。
結局、オープンソースとかそうじゃないとか関係ない事案だよね。問題にするべきは、そういう安全な配布手段がなかったことであって、「オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。」とか書いちゃうのはミスリードもいいところ。
そうですよね。オープンソースとかそうじゃないとかは関係ないですね。
プロプラなソフトでも、信用できない配布ルートで入手すれば(海賊版)、マルウェア感染リスクがありますし。
というか、本家が感染したバイナリ配ったなんて事故もあったり。
ソース公開されてて簡単に改変しマルウェア化できるオープンソースのほうが、改造に手間がかかる上にユーザーが製造元のサイトに簡単に到達できるプロプラよりマルウェア混入しやすいのは事実だろうに
オフィシャルな所から入手しようとしたら飛ばされた先で広告踏んだり違うものインストールしたり日本特有なのか知らんけど高齢者やあまり興味がないユーザーはそれでやらかす人多い分かりづらい(間違えやすい)デザインのところもあるし
真っ当な企業ならオフィシャルな場所にそんな紛らわしい広告置かないと思うぞまあプロプラでもAdobeの一部ソフトみたいにランタイムに余計なもの(マルウェアじゃないけど)をつけようとしてくるのはあるにせよ
ごめん、ちゃんとコメントの流れ読もうぜオープンソースとプロプラの比較の話をしてるのに企業は関係ないとか何を言ってるんだとしか企業以外が作ってるプロプラなんて殆どないんだしさ
オープンソースだとそういう問題もあるよね。オフィシャルサイト自体が貧相だったりいかがわしかったり。
別途ハッシュが入手出来るとかだと配布ルートはあまり重要じゃなくなる。
統一的なパッケージ管理システムが出来て、バージョンチェックとかダウンロードとかと合わせて健全性チェックとかってのが出来るとうれしいが、Windowsだと規模的にもイデオロギー的にもなかなか難しいだろうなぁ。
既にありますが...
お、マジですか。知らないので教えてください!
chocolateyは先行のapt(linux)なりと比べるとパッケージとデジタル署名をいい感じに扱う仕組みがなくて、それを開発コミュニティもMicrosoftも認識してるという認識。
配布ルートはさておき、まともな Windows のソフトウェアなら署名は付いてる。インストーラの出所をチェックしてからインストールすれば良いだけ。ソースレベルでの改ざんとか、内部の犯行だとどうしようもないけど。
その場合,安全なアルゴリズムと実装でハッシュが生成されている必要がありますねまた,EC2など短時間で調達できる安価なリソースがある昨今では,衝突ハッシュを計算するコストが十分に小さくなっています.
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ
PuTTYは安全にダウンロードする方法がなかったらしい (スコア:1)
この状況では改造版が出回るのも仕方ない。
Downloading software safely is nealy impossible
https://noncombatant.org/2014/03/03/downloading-software-safely-is-nea... [noncombatant.org]
Re:PuTTYは安全にダウンロードする方法がなかったらしい (スコア:0)
そのとおり。
正規の安全な配布ルートじゃないところから落とせば、マルウェア感染リスクがある、って当然のことでしかない。
結局、オープンソースとかそうじゃないとか関係ない事案だよね。
問題にするべきは、そういう安全な配布手段がなかったことであって、「オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。」とか書いちゃうのはミスリードもいいところ。
Re:PuTTYは安全にダウンロードする方法がなかったらしい (スコア:3, 興味深い)
そうですよね。
オープンソースとかそうじゃないとかは関係ないですね。
プロプラなソフトでも、信用できない配布ルートで入手すれば(海賊版)、マルウェア感染リスクがありますし。
Re: (スコア:0)
というか、本家が感染したバイナリ配ったなんて事故もあったり。
Re: (スコア:0)
ソース公開されてて簡単に改変しマルウェア化できるオープンソースのほうが、改造に手間がかかる上にユーザーが製造元のサイトに簡単に到達できるプロプラよりマルウェア混入しやすいのは事実だろうに
Re: (スコア:0)
オフィシャルな所から入手しようとしたら飛ばされた先で広告踏んだり違うものインストールしたり
日本特有なのか知らんけど高齢者やあまり興味がないユーザーはそれでやらかす人多い
分かりづらい(間違えやすい)デザインのところもあるし
Re: (スコア:0)
真っ当な企業ならオフィシャルな場所にそんな紛らわしい広告置かないと思うぞ
まあプロプラでもAdobeの一部ソフトみたいにランタイムに余計なもの(マルウェアじゃないけど)をつけようとしてくるのはあるにせよ
Re: (スコア:0)
オフィシャルなサイトだけど、広告のダウンロードボタンの方が目立つなんてのはいくらでもありますね。
SRware Ironとか。
他の人の環境だと何が広告にでるかわかりませんが、
私の環境だと「ダウンロードを開始」という広告が紛らわしい位置に表示されます。
『> Download < (Installer for XP,Vista,7)』 というのが通常のダウンロードです。
http://www.srware.net/en/software_srware_iron_download.php
昔は広告のダウンロードボタンが緑のボタンだったんでわかりやすかったですが、
最近はページの色に似せて来たりするのでたちが悪い。
Re: (スコア:0)
ごめん、ちゃんとコメントの流れ読もうぜ
オープンソースとプロプラの比較の話をしてるのに企業は関係ないとか何を言ってるんだとしか
企業以外が作ってるプロプラなんて殆どないんだしさ
Re: (スコア:0)
プロプラだと挙げているインストーラに別の物インストールする(YahooバーとかMcAfeeのなにかが最近多い気がする)というのもあるけど、
無料版にたどり着くのが難しい(わかりにくい)とかはあるかもね。
Re: (スコア:0)
オープンソースだとそういう問題もあるよね。オフィシャルサイト自体が貧相だったりいかがわしかったり。
Re: (スコア:0)
しかもその手間をかけるのは一度でいい。
両者に越えられない壁と呼べるほどの差があるなともかく、こんなんでプロプライエタリのほうが安全なんて言ってたらマルウェア仕掛ける奴らを喜ばせるだけ。
Re: (スコア:0)
別途ハッシュが入手出来るとかだと配布ルートはあまり重要じゃなくなる。
統一的なパッケージ管理システムが出来て、バージョンチェックとかダウンロードとかと合わせて健全性チェックとかってのが出来るとうれしいが、Windowsだと規模的にもイデオロギー的にもなかなか難しいだろうなぁ。
Re: (スコア:0)
既にありますが...
Re: (スコア:0)
お、マジですか。
知らないので教えてください!
Re: (スコア:0)
https://chocolatey.org/ [chocolatey.org]
PUTTYもあるね。
Re: (スコア:0)
OracleClientも最初は非公式版だった(いや、善意で上げてくれてたやつだと思うので非難するつもりはないけど)
bowerはangular2をインストールすると、よくわからない人のangular1.3がインストールされた。
どっから取得してるか見ないと結構危険だとは思う。
(つーかそのputtyはだれが登録したやつよ)
Re: (スコア:0)
chocolateyは先行のapt(linux)なりと比べるとパッケージとデジタル署名をいい感じに扱う仕組みがなくて、それを開発コミュニティもMicrosoftも認識してるという認識。
Re: (スコア:0)
配布ルートはさておき、まともな Windows のソフトウェアなら署名は付いてる。
インストーラの出所をチェックしてからインストールすれば良いだけ。
ソースレベルでの改ざんとか、内部の犯行だとどうしようもないけど。
Re: (スコア:0)
その場合,安全なアルゴリズムと実装でハッシュが生成されている必要がありますね
また,EC2など短時間で調達できる安価なリソースがある昨今では,
衝突ハッシュを計算するコストが十分に小さくなっています.