アカウント名:
パスワード:
Audacityは何度か使ったことがあるし、今もHDDに入っているけどだいたい、カノニカルのサーバーからapt-getするだけだから、FossHubなんか行ったこと無いのだなぁ…
#osdn.jp/projects/audacity/にはニュース掲示されていないっぽいな
何が言いたいんだ。まさかその「カノニカルのサーバ」(笑)ならセキュリティリスクがないとか思ってる?
Canonicalのサーバに、何とかして入手したCanonicalの証明書で署名した悪意のあるバイナリをアップロードするのは本件よりは難しい。aptで公式のレポジトリだと署名なしのファイルは弾かれる。
あと、今回はWindows Installer形式のパッケージつまり、実行ファイルをそのまま配布するという間抜けな形式が攻撃をより容易にしていたんじゃないかと思います。(ZIP形式のほうは感染していなかったみたいです)
LinuxやiOSやAndorid、もちろんUWPでもインストーラーはOS側に持っていて実行ファイルでは無いパッケージを取得するようになっていますよね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
行ったこと無い (スコア:0)
Audacityは何度か使ったことがあるし、今もHDDに入っているけど
だいたい、カノニカルのサーバーから
apt-getするだけだから、FossHubなんか行ったこと無いのだなぁ…
#osdn.jp/projects/audacity/にはニュース掲示されていないっぽいな
Re:行ったこと無い (スコア:0)
何が言いたいんだ。まさかその「カノニカルのサーバ」(笑)ならセキュリティリスクがないとか思ってる?
Re: (スコア:0)
Canonicalのサーバに、何とかして入手したCanonicalの証明書で署名した悪意のあるバイナリをアップロードするのは本件よりは難しい。
aptで公式のレポジトリだと署名なしのファイルは弾かれる。
Re: (スコア:0)
あと、今回はWindows Installer形式のパッケージ
つまり、実行ファイルをそのまま配布するという間抜けな形式が
攻撃をより容易にしていたんじゃないかと思います。
(ZIP形式のほうは感染していなかったみたいです)
LinuxやiOSやAndorid、もちろんUWPでも
インストーラーはOS側に持っていて
実行ファイルでは無いパッケージを取得するようになっていますよね。