アカウント名:
パスワード:
多様性がないより多様性がある方が全体で見た場合は強くなるのは、今まではあまり指摘されてこなかった。というのもAndroidの場合、既知のセキュリティ上の問題が未修正のケースが多いので、多様性を生かし切れていない。
多様性あり、脆弱性FIX なし多様性なし、脆弱性FIX Windows 10~Vista、最新のiOS/MacOS X多様性あり、脆弱性放置 Android多様性なし、脆弱性放置 古いiOS/古いMacOS X/Windows XP
※上なほど、望ましい
いまのところ、多様性と脆弱性FIXを同時に満たしたOSはない。しいて言えば、Linuxの各ディストリビューションか。ただし、たいていはWindowsよりセキュリティパッチの提供期間は短いので、バージョンアップが前提となるけど。
> というのもAndroidの場合、既知のセキュリティ上の問題が未修正のケースが多いので、多様性を生かし切れていない。
いいえ。
セキュリティホールを一つくぐればすべての端末で即攻撃成立なんて穴はほとんどありません。多くのセキュリティホールは、複数のセキュリティホールやくぐった後の特定の端末機能を経由することで最終的に攻撃が成立します。なので多様性がある場合の効果は線形ではなく指数関数的なものになり大きな効果になります
そう考えると、Cyanogen OS等の独自AOSPスマホが普及すれば、より強固なセキュリティが期待できますね。現状では、いいアプリストアがないとアプリ経由のトロイ型マルウェアの的になってしまいますが、逆に言うとアプリストアさえ何とかなれば割とうまく行きそうな気も…。
# ついでにUbuntu Phoneも対応・普及すれば、より多様性があがってイイかも…。
これって攻撃側のモチベーションの大小に関わる話だろ?
Windowsが多様性なし??
メーカーは多いけどOS自体にはほとんど手を加えられてないからだろうと。OSアップデートもMSから直に問題なくいけてるしね。
Androidの場合、各メーカーのAndroidOSはLinuxのディストリビューションみたいなもんで、素のAndroidではなくフォークしたようなもの。元コメにあるように、Linux方面だとコアのLinuxへの修正は割と早めに各ディストリビューションに行き渡るけど、Androidにはそれがない。
Linuxって実際には企業内で古いバージョンのまま放置して使われ続けていないか?理由はアプリケーションとかJavaのバージョン依存、カーネルのバージョン固定でないと動作しないアプリケーションのせいで。オフラインだからセキュリティ無視でいい、っていうOSでしょ?www
UNIXベースっていう古いOSの最大の欠点は、カーネル変更によってアプリケーションの互換性が大きく阻害されるって所でしょ?比較してもしょうがないし、ベストなものでは決してない。
常に最新にしてますが?yum update をcronに入れてる冗長の待機系で。
問題なければ翌週には本番にも適用する。すべてこの構成で問題はCent4のころから1回発生したのみ1か月たたないとパッチも提供されないOSよりは早く対応できているよ
> UNIXベースっていう古いOSの最大の欠点は、カーネル変更によってアプリケーションの互換性が大きく阻害されるって所でしょ?
具体的には?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家
一番弱いところが狙われる (スコア:3, すばらしい洞察)
多様性がないより多様性がある方が全体で見た場合は強くなるのは、今まではあまり指摘されてこなかった。
というのもAndroidの場合、既知のセキュリティ上の問題が未修正のケースが多いので、多様性を生かし切れていない。
多様性あり、脆弱性FIX なし
多様性なし、脆弱性FIX Windows 10~Vista、最新のiOS/MacOS X
多様性あり、脆弱性放置 Android
多様性なし、脆弱性放置 古いiOS/古いMacOS X/Windows XP
※上なほど、望ましい
いまのところ、多様性と脆弱性FIXを同時に満たしたOSはない。
しいて言えば、Linuxの各ディストリビューションか。
ただし、たいていはWindowsよりセキュリティパッチの提供期間は短いので、バージョンアップが前提となるけど。
Re:一番弱いところが狙われる (スコア:2, 参考になる)
> というのもAndroidの場合、既知のセキュリティ上の問題が未修正のケースが多いので、多様性を生かし切れていない。
いいえ。
セキュリティホールを一つくぐればすべての端末で即攻撃成立なんて穴はほとんどありません。
多くのセキュリティホールは、
複数のセキュリティホールやくぐった後の特定の端末機能を経由することで最終的に攻撃が成立します。
なので多様性がある場合の効果は線形ではなく指数関数的なものになり大きな効果になります
Re: (スコア:0)
そう考えると、Cyanogen OS等の独自AOSPスマホが普及すれば、より強固なセキュリティが期待できますね。
現状では、いいアプリストアがないとアプリ経由のトロイ型マルウェアの的になってしまいますが、逆に言うとアプリストアさえ何とかなれば割とうまく行きそうな気も…。
# ついでにUbuntu Phoneも対応・普及すれば、より多様性があがってイイかも…。
Re:一番弱いところが狙われる (スコア:1)
これって攻撃側のモチベーションの大小に関わる話だろ?
Re: (スコア:0)
Windowsが多様性なし??
Re: (スコア:0)
メーカーは多いけどOS自体にはほとんど手を加えられてないからだろうと。
OSアップデートもMSから直に問題なくいけてるしね。
Androidの場合、各メーカーのAndroidOSはLinuxのディストリビューションみたいなもんで、素のAndroidではなくフォークしたようなもの。
元コメにあるように、Linux方面だとコアのLinuxへの修正は割と早めに各ディストリビューションに行き渡るけど、Androidにはそれがない。
Re: (スコア:0)
Linuxって実際には企業内で古いバージョンのまま放置して使われ続けていないか?
理由はアプリケーションとかJavaのバージョン依存、カーネルのバージョン固定でないと動作しないアプリケーションのせいで。
オフラインだからセキュリティ無視でいい、っていうOSでしょ?www
UNIXベースっていう古いOSの最大の欠点は、カーネル変更によってアプリケーションの互換性が大きく阻害されるって所でしょ?
比較してもしょうがないし、ベストなものでは決してない。
Re: (スコア:0)
常に最新にしてますが?
yum update をcronに入れてる
冗長の待機系で。
問題なければ翌週には本番にも適用する。
すべてこの構成で問題はCent4のころから1回発生したのみ
1か月たたないとパッチも提供されないOSよりは早く対応できているよ
Re: (スコア:0)
> UNIXベースっていう古いOSの最大の欠点は、カーネル変更によってアプリケーションの互換性が大きく阻害されるって所でしょ?
具体的には?