パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される」記事へのコメント

  • by Anonymous Coward

    今はまだいいけど、将来、たとえばGPLを遵守して特定のソフトにマルウェア的な機能を付与する改造を行い、ライセンスその他にはその旨も端っこに書いてGPLとして(ソースコードつきで)再配布する事案、とか出てきそうだな。

    それを気がつかずに導入した人が踏み台にされる等で第三者への攻撃に荷担してしまった時、責任を追及されるような事案も出てくるかもしれない。
    (ライセンスとか説明とかにその旨がきちんと書かれていたら踏み台にした側だけに責任を負わせることは困難だと思う)

    • by Anonymous Coward on 2015年05月30日 16時29分 (#2822594)

      オープンソースの欠陥でGPLの欠陥ではないな。
      改変元のソースコードをしっかり読まないからそうなる。

      親コメント
      • by Anonymous Coward on 2015年05月30日 17時04分 (#2822604)

        ユーザ側のコンピュータリテラシの問題じゃないかな。
         1) 公式サイト以外からは入手しない。
         2) (入手経路に関係なく)コード署名などを確認する。

        オープンソースだから云々という話でいうと、(非オプソと比べて)改変や見た目の模倣の難易度が低いので、
        似て非なるもの(俺カスタム版やマルウェア同梱版など)を再配布しやすい、ということはあるでしょう。
        でも、それは「○○の欠陥」というほどのことではありませんね。
        # 公式がコード署名などの検証方法を提示していない場合は...どうしよう。

        親コメント
        • by Anonymous Coward
          puttyに関しては、公式が更新しなくなってから脆弱性とか出てて有志が直してた気もしますがね。
          • by doda (31157) on 2015年05月31日 22時33分 (#2823093) 日記

            気のせいでしょう。そのような事実はありません。

            0.60~0.61の間は4年くらいリリースが無かったですが、リポジトリを見れば開発が続いていたのは判りましたし、
            その間もセキュリティ的な問題は特に見つかっていなかったはずです。

            また、セキュリティ的な問題が見つかった時は迅速に修正版が出ています。(0.62, 0.63, 0.64)

            親コメント
      • by Anonymous Coward on 2015年05月30日 17時45分 (#2822618)

        > オープンソースの欠陥

        その論法でいくと、嘘の情報や悪意の情報が書いてあることもあるのは、インターネットの欠陥だ、ということになってしまいますよ。
        インターネットから入手した情報を鵜呑みにすると間違うこともあるのはみんな知ってるとおり。

        親コメント
        • by Anonymous Coward on 2015年05月30日 17時50分 (#2822620)

          そのつもりで書きました。正確にはインターネットを含む現実社会の欠陥。
          そもそもソースコードと公式が配布するバイナリの同一性が保証されているわけではないし(もちろん配布者はそう主張するだろうが)公式サイトが改変される可能性もある。そもそも公式が悪さをする可能性もあるし第一ソースコードやバイナリを書き換えなくてもインストーラに細工をすれば良いわけで。
          //もーめんどーくさーいどーでもいー

          親コメント
      • by Anonymous Coward

        元コメはどっかの信徒によってマイナスモデレートされてるけれど、
        元コメが言ってるのはGPL感染を利用して、悪意のコードを広める
        手口の話なので、GPLに対する問題提起だよね。

        ソースをしっかり読まないのが悪いと言ってしまえば簡単だけど、
        ソースをしっかり読んで、悪意のコードではないクリーンであると
        理解できるくらいならば、GPLなコードなんか使わないでしょう。
        GPLは悪意のコードが埋め込まれることを前提に考えられておらず、
        誰かが作ったコードを皆で共有する、バグがあったら誰かが直す、
        そういうものなので、コードを検査して安全性をチェックする
        なんてことはほとんどないでしょう。

        みつかったとしても、ソースコードをチェックしてて、ではなく
        挙動から発見されてるだろうし。

吾輩はリファレンスである。名前はまだ無い -- perlの中の人

処理中...