アカウント名:
パスワード:
そんな神話は最初からなかった
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
> 安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
いや、オプソ教信者は、皆が監視してすぐに直されるから安全と主張していた。
ところがだ、memcopyの境界チェックすっ飛ばしなんか、調べようと思えばソースを簡単にチェックできるものなのに、長期に渡って、そして広範囲で使われるようになっても、誰も気づかなかった。
いや、気付かなかったわけではなかった…。
> プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、> その実態をどのように公開するか?の道筋がわからん。
オープンソースなので、OpenSSLで混入した脆弱性は容易に知ることはできたし、実際にすぐに発見されていた。ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた。具体的な一例をあげると、NSAはこの脆弱性を利用していたと関係者からの証言があると報じられている。
まさに、君がプロプラの問題点と言っている点が、OpenSSLの脆弱性で発生していたわけ。この攻撃がNSA以外でも、どの範囲でどれくらい行われていたか見当もつかないくらい検知不能なものだった。しかも過去のデータにさかのぼってクラックできるという致命傷すぎる大きな怪我だ。
この件で、プロプラと比較してオープンソースは脆弱性が発見されやすいが、公表されるとは限らず、悪用されやすいという事実を証明してしまった。
>ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた
この悪用していたのは”オープンコミュニティに参加していた本人なの?”
違うでしょ。「発見者(悪意あるハッカー)が通報せずに悪用する」リスクそのものはプロプラでも、オープンソースでも同じ。
どちらが安全か?という議論は「善意の発見者が通報した後、どういうシナリオになる(なりうるか)」で議論すべき事では?
ただ、それ以外に「ソースが公開されているからパッチが誰でも作れる=(安全係数)」だけでオープンソース優位と見るのは間違いだと私も思います。それ以外に
「今回のように”ソースが公開されているからこそ悪用可能な不具合をみつけ悪用する人”」もいるわけで。
ところがだ、OpenSSLはオープンソースであり、修正したらすぐ公開された。悪意の攻撃を計画する奴は、修正個所のコードを見てすぐに攻撃コードを開発して使い始めた。ほとんど修正版への対応が進まないうちから攻撃が大量に発生してしまった。
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 [atmarkit.co.jp]より,
>ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。>「この脆弱性は、さかのぼると2年前から存在していたことが確認さ
> >ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。> >「この脆弱性は、さかのぼると2年前から存在していたことが確認されている。
> あなたの描くシナリオとはだいぶ違っているようですね.
???あなた、大丈夫?
2年前にはこの脆弱性が混入していて、誰でもソースコードを見て発見することができたわけ。そして米NSAのように、いち早く発見して悪用していた勢力もあるわけ。
やっと最近になってコミュニティが問題に気付いて修正し、公開したが、その公開情報から実証コードを作った人が居ると
おっしゃることの意味は分かっているつもりなんですが、1点だけ……。
よって、オプソでセキュリティアップデート版がリリースされたら、クローズドよりも大急ぎでアップデートしないといけないわけ。
オープンソースの場合には攻撃方法が公開されているも同然なので急がなければいけないのはその通りなのですが、クローズドソースの場合、脆弱性が発見の経緯とかアップデートされるまでに放置された期間とかが示されないことも多いので(外部の専門家から多数の報告がされた後とか、攻撃があった後とかってこともあります)、やっぱり急がなければいけないのは同じですよね。# オプソっていうとモルヒネにしか聞こえないので、この略はやめてほしい
信者はそうかもしれませんが、それにオプソ・プロプラは関係ないです。
あと、オプソの方が脆弱性が発見されやすいという根拠がない。オプソもプロプラも長期にわたり発見されてない脆弱性もあればリリース直後に発見される脆弱性もあり、定性的には違わない。発見のされやすさと、悪用のされやすさの相関も示されてない。オプソもプロプラも沢山の脆弱性が悪用しない人により発見されていて、悪用しない人に発見されやすいとかされにくいとか、明らかな違いがあるわけでもない。致命的かどうかも様々だ。プロプラの問題がオプソでも発生するからオプソも変わらない、ではなくダメとする理由がない。そんなではプロプラ信者といわれますよ?
> あと、オプソの方が脆弱性が発見されやすいという根拠がない。
えっと、ちょっとかわいそうな感じですね。
オープンソースのほうがクローズドソースよりオープンであるという根拠がないと言ってるようなもんですよ、あなたのそれは。
以前はオープンであれば脆弱性は発見されやすく安全であるといわれていた。しかし、それは幻想であり、現在はオープンであることが発見されやすいこととイコールではないとされている。「オープン=発見しやすい」という図式を持ち出すとオプソ厨って言われますよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
オープンソースの方が安全 (スコア:5, すばらしい洞察)
そんな神話は最初からなかった
Re: (スコア:0)
安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。
Re:オープンソースの方が安全 (スコア:2, 参考になる)
> 安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?
いや、オプソ教信者は、皆が監視してすぐに直されるから安全と主張していた。
ところがだ、memcopyの境界チェックすっ飛ばしなんか、調べようと思えばソースを簡単にチェックできるものなのに、長期に渡って、そして広範囲で使われるようになっても、誰も気づかなかった。
いや、気付かなかったわけではなかった…。
> プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、
> その実態をどのように公開するか?の道筋がわからん。
オープンソースなので、OpenSSLで混入した脆弱性は容易に知ることはできたし、実際にすぐに発見されていた。
ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた。
具体的な一例をあげると、NSAはこの脆弱性を利用していたと関係者からの証言があると報じられている。
まさに、君がプロプラの問題点と言っている点が、OpenSSLの脆弱性で発生していたわけ。
この攻撃がNSA以外でも、どの範囲でどれくらい行われていたか見当もつかないくらい検知不能なものだった。
しかも過去のデータにさかのぼってクラックできるという致命傷すぎる大きな怪我だ。
この件で、プロプラと比較してオープンソースは脆弱性が発見されやすいが、公表されるとは限らず、悪用されやすいという事実を証明してしまった。
Re:オープンソースの方が安全 (スコア:3, 興味深い)
>ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた
この悪用していたのは”オープンコミュニティに参加していた本人なの?”
違うでしょ。
「発見者(悪意あるハッカー)が通報せずに悪用する」リスクそのものはプロプラでも、オープンソースでも同じ。
どちらが安全か?という議論は「善意の発見者が通報した後、どういうシナリオになる(なりうるか)」で議論すべき事では?
ただ、それ以外に「ソースが公開されているからパッチが誰でも作れる=(安全係数)」だけでオープンソース優位と見るのは間違いだと私も
思います。それ以外に
「今回のように”ソースが公開されているからこそ悪用可能な不具合をみつけ悪用する人”」もいるわけで。
Re: (スコア:0)
ところがだ、OpenSSLはオープンソースであり、修正したらすぐ公開された。
悪意の攻撃を計画する奴は、修正個所のコードを見てすぐに攻撃コードを開発して使い始めた。
ほとんど修正版への対応が進まないうちから攻撃が大量に発生してしまった。
チェック方法まとめ:OpenSSLの「Heartbleed」脆弱性は2年前から存在、「最悪のケースを想定して対処を」と専門家 [atmarkit.co.jp]より,
>ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。
>「この脆弱性は、さかのぼると2年前から存在していたことが確認さ
Re: (スコア:0)
> >ソフトバンク・テクノロジーの辻伸弘氏によると、「既に実証コードがリリースされているため攻撃を行うハードルはとても低い」。
> >「この脆弱性は、さかのぼると2年前から存在していたことが確認されている。
> あなたの描くシナリオとはだいぶ違っているようですね.
???
あなた、大丈夫?
2年前にはこの脆弱性が混入していて、誰でもソースコードを見て発見することができたわけ。
そして米NSAのように、いち早く発見して悪用していた勢力もあるわけ。
やっと最近になってコミュニティが問題に気付いて修正し、公開したが、その公開情報から実証コードを作った人が居ると
Re: (スコア:0)
おっしゃることの意味は分かっているつもりなんですが、1点だけ……。
よって、オプソでセキュリティアップデート版がリリースされたら、クローズドよりも大急ぎでアップデートしないといけないわけ。
オープンソースの場合には攻撃方法が公開されているも同然なので急がなければいけないのはその通りなのですが、クローズドソースの場合、脆弱性が発見の経緯とかアップデートされるまでに放置された期間とかが示されないことも多いので(外部の専門家から多数の報告がされた後とか、攻撃があった後とかってこともあります)、やっぱり急がなければいけないのは同じですよね。
# オプソっていうとモルヒネにしか聞こえないので、この略はやめてほしい
Re: (スコア:0)
信者はそうかもしれませんが、それにオプソ・プロプラは関係ないです。
あと、オプソの方が脆弱性が発見されやすいという根拠がない。
オプソもプロプラも長期にわたり発見されてない脆弱性もあればリリース直後に発見される脆弱性もあり、定性的には違わない。
発見のされやすさと、悪用のされやすさの相関も示されてない。
オプソもプロプラも沢山の脆弱性が悪用しない人により発見されていて、悪用しない人に発見されやすいとかされにくいとか、明らかな違いがあるわけでもない。
致命的かどうかも様々だ。
プロプラの問題がオプソでも発生するからオプソも変わらない、ではなくダメとする理由がない。
そんなではプロプラ信者といわれますよ?
Re: (スコア:0)
> あと、オプソの方が脆弱性が発見されやすいという根拠がない。
えっと、ちょっとかわいそうな感じですね。
オープンソースのほうがクローズドソースよりオープンであるという根拠がない
と言ってるようなもんですよ、あなたのそれは。
Re: (スコア:0)
以前はオープンであれば脆弱性は発見されやすく安全であるといわれていた。
しかし、それは幻想であり、現在はオープンであることが発見されやすいこととイコールではないとされている。
「オープン=発見しやすい」という図式を持ち出すとオプソ厨って言われますよ。