パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「オープンソースの方が安全」という神話はOpenSSLの致命的な脆弱性問題で変わるのか」記事へのコメント

  • by Anonymous Coward on 2014年04月17日 7時05分 (#2583669)

    そんな神話は最初からなかった

    • というか、神話は最初から神話でしかなかった、というか。

      親コメント
    • クラッカーの大半は営利目的だから、攻撃が成功した場合のリターンが大きければ、OSSだろうとクローズドだろうと安全じゃない。
      脆弱性市場というものが既にある。 http://cpplover.blogspot.jp/2012/06/blog-post.html [blogspot.jp]
      なのでクローズドが安全というのも同じくナンセンス、
      攻撃しても大したリターンがないようなマイナーなソフトでないかぎり、脆弱性情報の取引価格の上昇要因にしかならない。

      親コメント
      • by Anonymous Coward

        例えば、Googleの社員が空港の非公開部分の見取り図をパブリックに公開しちゃって問題になっていたよね。
        これは警備上の問題で、オープンではないものが公開されたからだ。

        ソースコードでも同じだ。
        とことん調べれば空港もプログラムも非公開の部分を見ることはできるが、簡単ではない分、クローズドな情報は、オープンな情報よりも安全なんだ。

        誰でも入れる公衆便所と、客しか入れないレストランのトイレでは、レストランのトイレのほうが安全だろう。

        同じ品質のコードならば、クローズドのほうが安全なのは間違いない。

    • by Anonymous Coward

      OSSの方が見つけやすく直しやすいというだけで、網羅的に安全を保障しているわけではない。

      • by Anonymous Coward

        プロプラの方が安全という嘘を誰も信じなくなっただけだし。

    • by Anonymous Coward

      安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?

      プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、その実態をどのように公開するか?の道筋がわからん。

      • by Anonymous Coward on 2014年04月17日 9時17分 (#2583730)

        どこにレスつけようかと思ったけど、ここに。
        >安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?

        ですね。
        そもそも「オープンソースに危険性がない、ぜい弱性がない」っていう話ではない。

        プロプラに脆弱性があった場合 
        「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、
        そもそも会社がなくなってればどうしようもない。」

        オープンソース
        「基本的に公開される。パッチは基本すぐに作られる(テスト不足であっても。)。 誰も作る人がいなければ最悪自分で(何処かに頼んでも)つくればいい・ソースはあるのだから。」よってパッチの公開速度が速いし、対策できない事は理論上あり得ないので、(プロプラよりは)総合的に安全度を高くすることが可能。

        これは、=危険性のある時間が短いという意味で、時間で鳴らした場合の危険度の問題だと思ってます。

        この辺の”時間”とか”総合”とかの前提を全く考えず、”主文”のみ取り出す人が最近多い気がしますね。
        (この件に限らず、日常でも)

        親コメント
        • by Anonymous Coward on 2014年04月17日 11時33分 (#2583850)

          オープンソースだとソースから脆弱性を発見されるってリスクもあります。

          クローズソースならトライアンドエラーで穴探しするしかないわけで。
          (バイナリから探すってレベルだとどっちも同じなので除くとして)

          問題が既知になってから修正されない危険度合いはオープンソースのが確実に低いですけども
          時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。

          親コメント
          • by Anonymous Coward on 2014年04月17日 13時08分 (#2583916)

            >時間に関してはどっちに限らず開発のアクティブさによるとしか言えない気がします。
            この認識自体が間違い。

            「その既知のぜい弱性に対する開発の時間が遅い(アクティブさがたりない、動かない)と思えば、
            自分でそこの部分は自分の気に入る速度で修正しろ。
            そうすれば自分のとこは自分の気に入るように常に安全だ。
            (いつでも塞げるから安全性は高い)」

            それがオープンソースでしょ。 その前提を無視して「パッケージングされたディストリ」
            そのもので比べるからおかしい。

            パッケージングされたディストリのみで比べるならプロプラもオープンソースも対して変わらん。

            親コメント
            • by Anonymous Coward

              と言う事で、結局は元レスの様に開発のアクティブさ次第(自分も含む。自分がメンテする気が無い?それは知らん)って話だったりする訳でして・・・

        • by Anonymous Coward

          プロプラに脆弱性があった場合「ぜい弱性の公開がされるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社がなくなってればどうしようもない。」

          プロプラに脆弱性があった場合「脆弱性のメーカー以外からの公開が許可されるかわからない。対策、パッチがいつ出るか、提供されるかはメーカーの胸先3寸、そもそも会社が脆弱性情報を公開した者を非難起訴する様ではどうしようもない。」

      • by Anonymous Coward on 2014年04月17日 9時20分 (#2583731)

        > 安全、という話じゃなくて、脆弱性が発見されたら公開される、って方じゃないっけ?

        いや、オプソ教信者は、皆が監視してすぐに直されるから安全と主張していた。

        ところがだ、memcopyの境界チェックすっ飛ばしなんか、調べようと思えばソースを簡単にチェックできるものなのに、長期に渡って、そして広範囲で使われるようになっても、誰も気づかなかった。

        いや、気付かなかったわけではなかった…。

        > プロプラだと脆弱性を某ハッカーが見つけた場合、繰り返し悪用されるだけで、
        > その実態をどのように公開するか?の道筋がわからん。

        オープンソースなので、OpenSSLで混入した脆弱性は容易に知ることはできたし、実際にすぐに発見されていた。
        ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた。
        具体的な一例をあげると、NSAはこの脆弱性を利用していたと関係者からの証言があると報じられている。

        まさに、君がプロプラの問題点と言っている点が、OpenSSLの脆弱性で発生していたわけ。
        この攻撃がNSA以外でも、どの範囲でどれくらい行われていたか見当もつかないくらい検知不能なものだった。
        しかも過去のデータにさかのぼってクラックできるという致命傷すぎる大きな怪我だ。

        この件で、プロプラと比較してオープンソースは脆弱性が発見されやすいが、公表されるとは限らず、悪用されやすいという事実を証明してしまった。

        親コメント
        • by Anonymous Coward on 2014年04月17日 11時06分 (#2583829)

          >ところがだ、発見者は脆弱性を公開・指摘することをせずに悪用していた

          この悪用していたのは”オープンコミュニティに参加していた本人なの?”

          違うでしょ。
          「発見者(悪意あるハッカー)が通報せずに悪用する」リスクそのものはプロプラでも、オープンソースでも同じ。

          どちらが安全か?という議論は「善意の発見者が通報した後、どういうシナリオになる(なりうるか)」で議論すべき事では?

          ただ、それ以外に「ソースが公開されているからパッチが誰でも作れる=(安全係数)」だけでオープンソース優位と見るのは間違いだと私も
          思います。それ以外に

          「今回のように”ソースが公開されているからこそ悪用可能な不具合をみつけ悪用する人”」もいるわけで。

          親コメント
        • by Anonymous Coward

          信者はそうかもしれませんが、それにオプソ・プロプラは関係ないです。

          あと、オプソの方が脆弱性が発見されやすいという根拠がない。
          オプソもプロプラも長期にわたり発見されてない脆弱性もあればリリース直後に発見される脆弱性もあり、定性的には違わない。
          発見のされやすさと、悪用のされやすさの相関も示されてない。
          オプソもプロプラも沢山の脆弱性が悪用しない人により発見されていて、悪用しない人に発見されやすいとかされにくいとか、明らかな違いがあるわけでもない。
          致命的かどうかも様々だ。
          プロプラの問題がオプソでも発生するからオプソも変わらない、ではなくダメとする理由がない。
          そんなではプロプラ信者といわれますよ?

          • by Anonymous Coward

            > あと、オプソの方が脆弱性が発見されやすいという根拠がない。

            えっと、ちょっとかわいそうな感じですね。

            オープンソースのほうがクローズドソースよりオープンであるという根拠がない
            と言ってるようなもんですよ、あなたのそれは。

            • by Anonymous Coward

              以前はオープンであれば脆弱性は発見されやすく安全であるといわれていた。
              しかし、それは幻想であり、現在はオープンであることが発見されやすいこととイコールではないとされている。
              「オープン=発見しやすい」という図式を持ち出すとオプソ厨って言われますよ。

    • by Anonymous Coward

      この話に限らず、神話という言葉はネガティブな目的で使われることが多いですね。

      • by Anonymous Coward

        信じる信じないで判断する人はけっきょく救われない

    • by Anonymous Coward

      そういう神話が広く信じられてきた、ということにしておいて、それを切って捨てる、という、
      相手を攻撃するためによく使われる手法だと思います。

      ちょっと考えてみれば、そんな神話がそもそも成立するはずがないことが、すぐに分かるはず。
      いままでオープンソースにはセキュリティ上のバグがひとつもなかった、というのならともかく。

      どんな世界にもバカはいるので、オープンソースにはセキュリティ上のバグがひとつもなかったと
      信じているバカなオープンソース信者も中にはいるかもしれないですが。

    • by Anonymous Coward

      「神話」って言葉がおかしい。
      原発が安全とかの話で馬鹿なマスコミが使い始めた用法でしょ。
      まねすべきじゃないよ。

      オープンソースの方が安全だという主張があった。それは多分誤解。

      それだけのことでしょ。

アレゲは一日にしてならず -- アレゲ見習い

処理中...