アカウント名:
パスワード:
一番信頼性が重視させるOpenSSLの実装がこれじゃあね。
みんなが自由にソースを見ているから信頼性が高くなるなんていうことが幻想に過ぎなかったってことを実証しちゃったって感じだなあ。
安心しろ、クローズドソースのRSA社から買える実装のソースも絶望的に汚い。
やっぱり二度づけ禁止は徹底しないと…
「汚いのも味や」と言われればそれまで
ヤンヤンつけボーの二度漬けはかなりのカルチャーショックでした
ソースが汚いと解読されないから安心だというコボル世代の人もいるから
煽りなのかも知れないけど、その通りだよ。テストやコードのチェックもせずに「~だから信用できる/できない」ってのは全て誤り。「わからない」が唯一絶対の正解。
「~だから信用できる/できない」と仮定することで得られるものもあるので、機会費用として適当に見積もっておいしいところを得るのが本来ですかね。
その観点だとクローズドの方がより怖いと思うけど。
>> みんなが自由にソースを見ているから信頼性が高くなるなんていうことが>> 幻想に過ぎなかったってことを実証しちゃったって感じだなあ。
> その観点だとクローズドの方がより怖いと思うけど。
もはや、オプソ信望者たちのプロプラ(クローズド)ディス理論も力なしか。まともに反論もできなくなってしまった。
「その観点」で「クローズドの方が~」って全然繋がってないが。
オプソの利点は、何か自社ソフトウェアを開発する際に流用できるという程度じゃないだろうか。
クローズドで全く同じものが提供されてたら、まだ(公開する意思のある人は)誰も気づかないままだったって可能性の方が高いと思うけどこの発見>改良こそが「みんなが自由にソースを見ているから信頼性が高くなる」ってプロセスなわけでしょ?
今回はその発見に数年かかったというだけで。「みんなが自由にソースを見ているから最初から脆弱性は入り込まない」なんてことはあり得ないんだし。
こうやって晒されて、これから鍛えられて、信頼性が上がっていくんだから合ってるんじゃね。どうでもいいけど。
まあテキトーな根拠で安全安全しつこい奴が鬱陶しいのはわかる。
OpenSSL のソースを見てみろとは言いません。一度Configureファイルの中身だけでも見てみてください。これができるのもオープンソースですから。
一見configure を使っているようでも、普通に見られるシェルスクリプトとは全く違い、Makeファイルの作成法が独自の方法だったり、OSやアーキテクチャーは自分で選択するようになっていたり、コンパイルオプションもアセンブラの指定があったりと、相当きわどいことをしているなとわかります。オープンソース界でもちょっと特殊なのです。OpenSSLは。
しかもこれが前世紀から延々と受け継がれているのです。1.0.0リリースの時だったか、最高品質だから安心して乗り換えてくれ的なコメントが出されていましたが、とても信じられません。古いのです。何もかもが。ぼろぼろのものをつぎはぎして使っているのです。他に適当なものがないから。
いずれまた同じような事件が起きます。OpenOpenSSLが一から叩き直してくれるなら、そっちに期待したいです。
なんでそういう結論になるの?オープンソースだから、今回、たまたまコードを読んでた人が見つけたんでしょ?コードが公開されてなかったら、読む人もいないので見つけられなかったでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
やっぱりオープンソースは信用できない (スコア:1, すばらしい洞察)
一番信頼性が重視させるOpenSSLの実装がこれじゃあね。
みんなが自由にソースを見ているから信頼性が高くなるなんていうことが
幻想に過ぎなかったってことを実証しちゃったって感じだなあ。
Re:やっぱりオープンソースは信用できない (スコア:5, 興味深い)
安心しろ、クローズドソースのRSA社から買える実装のソースも絶望的に汚い。
Re: (スコア:0)
やっぱり二度づけ禁止は徹底しないと…
「汚いのも味や」と言われればそれまで
Re: (スコア:0)
ヤンヤンつけボーの二度漬けはかなりのカルチャーショックでした
Re: (スコア:0)
ソースが汚いと解読されないから安心だというコボル世代の人もいるから
Re:やっぱりオープンソースは信用できない (スコア:2)
煽りなのかも知れないけど、その通りだよ。
テストやコードのチェックもせずに「~だから信用できる/できない」ってのは全て誤り。「わからない」が唯一絶対の正解。
「~だから信用できる/できない」と仮定することで得られるものもあるので、機会費用として適当に見積もっておいしいところを得るのが本来ですかね。
Re:やっぱりオープンソースは信用できない (スコア:1)
その観点だとクローズドの方がより怖いと思うけど。
Re:やっぱりオープンソースは信用できない (スコア:1)
>> みんなが自由にソースを見ているから信頼性が高くなるなんていうことが
>> 幻想に過ぎなかったってことを実証しちゃったって感じだなあ。
> その観点だとクローズドの方がより怖いと思うけど。
もはや、オプソ信望者たちのプロプラ(クローズド)ディス理論も力なしか。
まともに反論もできなくなってしまった。
「その観点」で「クローズドの方が~」って全然繋がってないが。
オプソの利点は、何か自社ソフトウェアを開発する際に流用できるという程度じゃないだろうか。
Re: (スコア:0)
クローズドで全く同じものが提供されてたら、まだ(公開する意思のある人は)誰も気づかないままだったって可能性の方が高いと思うけど
この発見>改良こそが「みんなが自由にソースを見ているから信頼性が高くなる」ってプロセスなわけでしょ?
今回はその発見に数年かかったというだけで。
「みんなが自由にソースを見ているから最初から脆弱性は入り込まない」なんてことはあり得ないんだし。
Re:やっぱりオープンソースは信用できない (スコア:1)
こうやって晒されて、これから鍛えられて、信頼性が上がっていくんだから合ってるんじゃね。どうでもいいけど。
まあテキトーな根拠で安全安全しつこい奴が鬱陶しいのはわかる。
Re: (スコア:0)
OpenSSL のソースを見てみろとは言いません。一度Configureファイルの中身だけでも見てみてください。これができるのもオープンソースですから。
一見configure を使っているようでも、普通に見られるシェルスクリプトとは全く違い、Makeファイルの作成法が独自の方法だったり、OSやアーキテクチャーは自分で選択するようになっていたり、コンパイルオプションもアセンブラの指定があったりと、相当きわどいことをしているなとわかります。オープンソース界でもちょっと特殊なのです。OpenSSLは。
しかもこれが前世紀から延々と受け継がれているのです。1.0.0リリースの時だったか、最高品質だから安心して乗り換えてくれ的なコメントが出されていましたが、とても信じられません。古いのです。何もかもが。ぼろぼろのものをつぎはぎして使っているのです。他に適当なものがないから。
いずれまた同じような事件が起きます。OpenOpenSSLが一から叩き直してくれるなら、そっちに期待したいです。
Re: (スコア:0)
なんでそういう結論になるの?
オープンソースだから、今回、たまたまコードを読んでた人が見つけたんでしょ?
コードが公開されてなかったら、読む人もいないので見つけられなかったでしょう。