アカウント名:
パスワード:
今までの話を聞いていると、問題はsystemdそのものじゃなくて、開発者の個性にあるんじゃないかと思えてくるんだけど、その理解でよろしいか。
udev まで同じソースツリーに入れてるのはこせいですませていいのか?
http://linux.srad.jp/story/14/04/04/0635221/ [srad.jp]
/proc/cmdlne に debug と書いてあると panic するのも個性と。
OSのコアなコンポーネント(kernel, init, cron, inetd...)を全部同じソースツリーに入れるのって、正に*BSDのやり方ですよ?コードやデータ構造を共有できるのは良いですよね。
同じリポジトリで管理するのは *BSD のやり方だけど、systemd みたいに密結合するのは違うよ。
init相当品にzlibリンクするとか正気の沙汰とは思えないんだけど>systemdzlibは、深刻度の高いセキュリティホールを何度も出してます:http://www.cvedetails.com/vulnerability-list/vendor_id-72/product_id-1... [cvedetails.com]
ですよね。タレこみ子さんの補足コメントの記事だと
今後はさらにシステムのモジュール化を進めて要望に応じた機能を選択しやすくすること
とありますし、タレこみも
単一で統合された設定データインターフェース(single/unified configuration data interface)の開発に注力する
だし、類似システムではなく類似の設定手法の導入って意味だろうね。ソース聞いてないけど。でもsystemdのように密結合進めるよ!なんていったら騒ぎになるよ。さすがに他のコアチームメンバーからも異論出るだろうし。
>zlibは、深刻度の高いセキュリティホールを何度も出してます:何度も、ってそこに掲げられたリストの最後は、9年前じゃないか?何言いたいの?
> 何言いたいの?
そりゃ勿論、「zlibを必要とするような機能を、init相当品に詰め込むな」です。他になにがあると思ったのでしょう?
引用した内容が意味をなしていなければそりゃ突っ込まれるわな。
> 引用した内容が意味をなしていなければそりゃ突っ込まれるわな。
9年間、CVEに登録されるレベルの問題が発生してないから安全だって考えちゃう方がお花畑だと思うけど。深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、今後も問題が出る可能性があるって考える方が普通だと思うけどなあ。
それじゃぁ、OS (Operating System) 使うなよ。
どうやらご理解いただけてないようですので説明すると、「危険性には度合いがあって、zlibをリンクすることによって、危険性がかなり上がる」って話をしているんですよ。
「OS使うなよ」っていうのは、「危険が少しでもあるものは一切使えないなら」っていう仮定の話をしているんですよね?その仮定は偽です。もしもそういう仮定の話じゃないなら、どういう意味で「OS使うなよ」と書かれたのか、ちゃんと説明された方がよろしいかと。
そうは読めなかったけど。そう考えていたなら、はじめからそのように説明すらばいいのに。
「深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、」というところ。
そう思うなら
何度も、ってそこに掲げられたリストの最後は、9年前じゃないか?何言いたいの?
と言われたところで
深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、今後も問題が出る可能性がある
って答えないとおかしいでしょ?#2720936は引用部に対して意味を問うているのに、そこをスカして「他になにがあると思ったのでしょう?」では文字通りお話にならないよ。
>> 深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、今後も問題が出る可能性がある
> って答えないとおかしいでしょ?
正直言うと、「深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、今後も問題が出る可能性がある」なんていうのは常識レベルの話であり、#2720936 にそういう認識がないとは思ってなかったんですよ。つまり、「何度も、ってそこに掲げられたリストの最後は、9年前じゃないか」っていうのが真面目な反論だとは思ってなくて、単なる読者の印象操作を狙った文章であり、「何言いたいの」というのだけが質問だと思ってたわけです。
で、「引用した内容が意味をなしていなければ」というのを読んで、ああそもそも常識と思ってた点が共有できてなかった可能性があるんだと気づいた次第。
> init相当品にzlibリンクするとか正気の沙汰とは思えないんだけどinitがshを起動して...というのもよく考えると正気の沙汰ではないな。
> initがshを起動して...というのもよく考えると正気の沙汰ではないな。
いやそれは普通でしょ。initは全てのプロセスの祖先なんだから、プロセス起動しなかったら、何するのって感じ。レスキュー操作時の処理のデフォルト動作としてシェル起動するとか、むしろ不可欠な動作。
てゆうか、あなたがinitの仕事が何だと思ってるのかが全く不明。
元がzlibの脆弱性の話をしてるんだから、initがshに依存してるからShellshock脆弱性に…とかそういう話ではなく?
> initがshに依存してるからShellshock脆弱性に…とかそういう話ではなく?
それは全然問題ないですね。リブートせずにbashの更新するのは何の支障もなくできますから。また、initがbash呼び出すアクセス・パスに限って言うと、不正な環境変数を割り込ませる余地はない(割り込ませるためには、特権が必要)と思います。
これに対し、systemdが利用しているzlibを入れ替えるのはリブートが必要となります。問題の深刻度が全然違います。
#2721021 ですが、以前にそれやってみた結果びっくりしたので、ああ書いたっていう順番だったりします。systemdが依存してるライブラリ、多すぎですよねえ。
> init相当品にzlibリンクするとか正気の沙汰とは思えないんだけど>systemd
ってことは、libz.soは/usr/lib以下ではなく、/lib以下に置かないと起動すらしないってっことなのか。orz
開発方針、開発思想の問題だと思います。互換性、安定性、速度、UI、先進性、etc...何を重視して、だからどういうシステム構成にするか。そしてそれを決めるのは開発チーム。
systemdの場合は、それが個人のリーダーシップによるものだから、その人の個性によるというだけで。
あと、今回のはsystemdそのものの類似システムじゃなくて、設定ファイルとかの部分を見習ってI/Fを整備して行こうって話な気がするがどうだろう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike
問題の在処 (スコア:0)
今までの話を聞いていると、問題はsystemdそのものじゃなくて、開発者の個性にあるんじゃないかと思えてくるんだけど、その理解でよろしいか。
Re: (スコア:0)
udev まで同じソースツリーに入れてるのはこせいですませていいのか?
Re: (スコア:0)
http://linux.srad.jp/story/14/04/04/0635221/ [srad.jp]
/proc/cmdlne に debug と書いてあると panic するのも個性と。
Re: (スコア:0)
OSのコアなコンポーネント(kernel, init, cron, inetd...)を全部同じソースツリーに入れるのって、正に*BSDのやり方ですよ?
コードやデータ構造を共有できるのは良いですよね。
Re: (スコア:0)
同じリポジトリで管理するのは *BSD のやり方だけど、
systemd みたいに密結合するのは違うよ。
init相当品にzlibリンクするとか正気の沙汰とは思えないんだけど>systemd
zlibは、深刻度の高いセキュリティホールを何度も出してます:
http://www.cvedetails.com/vulnerability-list/vendor_id-72/product_id-1... [cvedetails.com]
Re: (スコア:0)
ですよね。
タレこみ子さんの補足コメントの記事だと
今後はさらにシステムのモジュール化を進めて要望に応じた機能を選択しやすくすること
とありますし、タレこみも
単一で統合された設定データインターフェース(single/unified configuration data interface)の開発に注力する
だし、類似システムではなく類似の設定手法の導入って意味だろうね。
ソース聞いてないけど。
でもsystemdのように密結合進めるよ!なんていったら騒ぎになるよ。さすがに他のコアチームメンバーからも異論出るだろうし。
Re: (スコア:0)
>zlibは、深刻度の高いセキュリティホールを何度も出してます:
何度も、ってそこに掲げられたリストの最後は、9年前じゃないか?何言いたいの?
Re: (スコア:0)
> 何言いたいの?
そりゃ勿論、「zlibを必要とするような機能を、init相当品に詰め込むな」です。
他になにがあると思ったのでしょう?
Re: (スコア:0)
引用した内容が意味をなしていなければそりゃ突っ込まれるわな。
Re: (スコア:0)
> 引用した内容が意味をなしていなければそりゃ突っ込まれるわな。
9年間、CVEに登録されるレベルの問題が発生してないから安全だって考えちゃう方が
お花畑だと思うけど。
深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、今後も問題が
出る可能性があるって考える方が普通だと思うけどなあ。
Re: (スコア:0)
それじゃぁ、OS (Operating System) 使うなよ。
Re: (スコア:0)
どうやらご理解いただけてないようですので説明すると、
「危険性には度合いがあって、zlibをリンクすることによって、危険性がかなり上がる」
って話をしているんですよ。
「OS使うなよ」っていうのは、「危険が少しでもあるものは一切使えないなら」っていう仮定の話を
しているんですよね?その仮定は偽です。
もしもそういう仮定の話じゃないなら、どういう意味で「OS使うなよ」と書かれたのか、
ちゃんと説明された方がよろしいかと。
Re: (スコア:0)
そうは読めなかったけど。
そう考えていたなら、はじめからそのように説明すらばいいのに。
Re: (スコア:0)
「深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、」というところ。
Re: (スコア:0)
そう思うなら
何度も、ってそこに掲げられたリストの最後は、9年前じゃないか?何言いたいの?
と言われたところで
深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、今後も問題が出る可能性がある
って答えないとおかしいでしょ?
#2720936は引用部に対して意味を問うているのに、そこをスカして「他になにがあると思ったのでしょう?」では文字通りお話にならないよ。
Re: (スコア:0)
>> 深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、今後も問題が出る可能性がある
> って答えないとおかしいでしょ?
正直言うと、「深刻な脆弱性を何度も出してしまうほど複雑な処理を含んでいるので、
今後も問題が出る可能性がある」なんていうのは常識レベルの話であり、#2720936 に
そういう認識がないとは思ってなかったんですよ。
つまり、「何度も、ってそこに掲げられたリストの最後は、9年前じゃないか」っていうのが
真面目な反論だとは思ってなくて、単なる読者の印象操作を狙った文章であり、
「何言いたいの」というのだけが質問だと思ってたわけです。
で、「引用した内容が意味をなしていなければ」というのを読んで、ああそもそも常識と
思ってた点が共有できてなかった可能性があるんだと気づいた次第。
Re: (スコア:0)
> init相当品にzlibリンクするとか正気の沙汰とは思えないんだけど
initがshを起動して...というのもよく考えると正気の沙汰ではないな。
Re:問題の在処 (スコア:1)
> initがshを起動して...というのもよく考えると正気の沙汰ではないな。
いやそれは普通でしょ。
initは全てのプロセスの祖先なんだから、プロセス起動しなかったら、何するのって感じ。
レスキュー操作時の処理のデフォルト動作としてシェル起動するとか、むしろ不可欠な動作。
てゆうか、あなたがinitの仕事が何だと思ってるのかが全く不明。
Re: (スコア:0)
元がzlibの脆弱性の話をしてるんだから、initがshに依存してるからShellshock脆弱性に…とかそういう話ではなく?
Re: (スコア:0)
> initがshに依存してるからShellshock脆弱性に…とかそういう話ではなく?
それは全然問題ないですね。
リブートせずにbashの更新するのは何の支障もなくできますから。
また、initがbash呼び出すアクセス・パスに限って言うと、不正な環境変数を割り込ませる余地は
ない(割り込ませるためには、特権が必要)と思います。
これに対し、systemdが利用しているzlibを入れ替えるのはリブートが必要となります。
問題の深刻度が全然違います。
Re:問題の在処 (スコア:2, 興味深い)
なんてしたら卒倒したりするかしら?
Re: (スコア:0)
#2721021 ですが、以前にそれやってみた結果びっくりしたので、
ああ書いたっていう順番だったりします。
systemdが依存してるライブラリ、多すぎですよねえ。
Re: (スコア:0)
> init相当品にzlibリンクするとか正気の沙汰とは思えないんだけど>systemd
ってことは、libz.soは/usr/lib以下ではなく、/lib以下に置かないと
起動すらしないってっことなのか。orz
Re: (スコア:0)
開発方針、開発思想の問題だと思います。
互換性、安定性、速度、UI、先進性、etc...
何を重視して、だからどういうシステム構成にするか。
そしてそれを決めるのは開発チーム。
systemdの場合は、それが個人のリーダーシップによるものだから、その人の個性によるというだけで。
あと、今回のはsystemdそのものの類似システムじゃなくて、設定ファイルとかの部分を見習ってI/Fを整備して行こうって話な気がするがどうだろう。