パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される」記事へのコメント

  • この状況では改造版が出回るのも仕方ない。

    Downloading software safely is nealy impossible
    https://noncombatant.org/2014/03/03/downloading-software-safely-is-nea... [noncombatant.org]

    • by Anonymous Coward

      そのとおり。
      正規の安全な配布ルートじゃないところから落とせば、マルウェア感染リスクがある、って当然のことでしかない。

      結局、オープンソースとかそうじゃないとか関係ない事案だよね。
      問題にするべきは、そういう安全な配布手段がなかったことであって、「オープンソースソフトウェア自体へのマルウェア混入も増加するかもしれない。」とか書いちゃうのはミスリードもいいところ。

      • by Anonymous Coward

        別途ハッシュが入手出来るとかだと配布ルートはあまり重要じゃなくなる。

        統一的なパッケージ管理システムが出来て、バージョンチェックとかダウンロードとかと合わせて健全性チェックとかってのが出来るとうれしいが、Windowsだと規模的にもイデオロギー的にもなかなか難しいだろうなぁ。

        • by Anonymous Coward

          既にありますが...

          • お、マジですか。
            知らないので教えてください!

            親コメント
            • by Anonymous Coward
              元ACじゃないけど、Chocolateyとかか?
              https://chocolatey.org/ [chocolatey.org]
              PUTTYもあるね。
              • by Anonymous Coward
                Chocolateyにせよbowerとかにせよ誰が挙げてるかわかんないけどね。
                OracleClientも最初は非公式版だった(いや、善意で上げてくれてたやつだと思うので非難するつもりはないけど)
                bowerはangular2をインストールすると、よくわからない人のangular1.3がインストールされた。

                どっから取得してるか見ないと結構危険だとは思う。
                (つーかそのputtyはだれが登録したやつよ)
              • by Anonymous Coward

                chocolateyは先行のapt(linux)なりと比べるとパッケージとデジタル署名をいい感じに扱う仕組みがなくて、それを開発コミュニティもMicrosoftも認識してるという認識。

犯人はmoriwaka -- Anonymous Coward

処理中...