アカウント名:
パスワード:
バイナリに署名しなさい
スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
今時、コードサイニング署名されたマルウェアだって山ほどあるんだけどね。マルウェア配信が合法の国の存在、署名代行業者の存在など理由は様々。
コードサイニング署名よりも、不特定多数が参加してソースコードを確認できるオープンソースの方がまだましだと思うよ。マシだというだけで、無償で他人のコードをレビューしたがる人はそんなにいないのでオープンソースだからといって絶対安全というわけではないが、おかしな挙動があったときにソースを確認できるぶんだけまし。
実行ファイルだけを見てオープンソースかどうかどうやって判断するんだ。まさにそれを判断するためのコード署名だろう。論理的思考能力がないのか?
プラスαで配信機関なり評価機関との連携が無いと結局は証明できないと思うんだ。それだけじゃ単なる署名付きのファイルでしかない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
ストアから配信しろ (スコア:1)
バイナリに署名しなさい
署名があったって安全とは限らないのだが (スコア:0)
スラド民って、「EV TLS証明書は無意味」「Let's Encrypt (DV) で十分」「EVステータスを表示しなくしたChromeやFirefoxの方針転換は正解」と言っておきながら、コードサイニング署名されたバイナリは安全だと考えるのだろうか。
今時、コードサイニング署名されたマルウェアだって山ほどあるんだけどね。
マルウェア配信が合法の国の存在、署名代行業者の存在など理由は様々。
コードサイニング署名よりも、不特定多数が参加してソースコードを確認できるオープンソースの方がまだましだと思うよ。
マシだというだけで、無償で他人のコードをレビューしたがる人はそんなにいないのでオープンソースだからといって絶対安全というわけではないが、おかしな挙動があったときにソースを確認できるぶんだけまし。
Re: (スコア:0)
実行ファイルだけを見てオープンソースかどうかどうやって判断するんだ。まさにそれを判断するためのコード署名だろう。
論理的思考能力がないのか?
Re:署名があったって安全とは限らないのだが (スコア:0)
プラスαで配信機関なり評価機関との連携が無いと結局は証明できないと思うんだ。
それだけじゃ単なる署名付きのファイルでしかない。