パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「ソースコードを自社開発することでOSS由来の脆弱性を排除した」というDNSサーバー」記事へのコメント

  • by Anonymous Coward on 2017年10月06日 18時18分 (#3291913)

    脆弱性はOSSであるかどうかによって存在するのではなく、脆弱性が存在しないことが証明されない限り必ず存在するものである。脆弱性が存在しないことを証明するのは、悪魔の証明である。自己満足の世界でしかない。

    • by Anonymous Coward on 2017年10月06日 18時35分 (#3291922)

      どんなソフトウェアにも脆弱性はある、という前提で。
      攻撃側からしたら、「脆弱性を探すコスト」をできるだけ下げつつ、「攻撃できるターゲットが多い」方が効果が望めるので。

      つまりオープンソースかどうかではなく、単に「普及すればするほど狙われる」以上の話ではないし、だから「普及率が低い新製品」は、そういう意味では確かに有利ではある。

      親コメント
      • by Anonymous Coward

        近頃は標的型攻撃というのがありまして

        • by Anonymous Coward on 2017年10月06日 22時09分 (#3292031)

          近頃は標的型攻撃というのがありまして

          で?

          標的型であれば、使用しているソフトがプロプラだろうがオープンソースだろうが、普及率が高かろうが低かろうが、狙われる確率は大差ないし、この話題には関係ないと思うんだが。

          親コメント
          • by Anonymous Coward

            狙われる確率は大差ないかもしれないが、普及率が高いほうが脆弱性の情報は上がってきやすかろうよ

            • by Anonymous Coward

              上がる先がどちらになるかは不明ですけどね

              # 普及している分高く売れそうだし、
              # 重大な障害が見つかり修正版が公開されてもそれが適用されるのに何ヶ月かかることやら

            • by Anonymous Coward

              脆弱性の情報は、どこに上がるんだろうか、普及率が高いほうが闇で高値で売れそう

      • Re: (スコア:0, 興味深い)

        by Anonymous Coward

        オープンソースのほうが脆弱性を探すコストが下がる可能性もあるが、
        同時に脆弱性が発見されて対策される可能性も上がるのでどっこいどっこい。

        OSSは最低限のレビューが保証されるが、プロプラでその保証がないから品質は完全にピンきり。
        ただまぁこんなこと自称しちゃう時点でなんとも怪しくはある。
        普及するまでもなくごく一部のユーザによる検証で破綻してもおかしくはないが、
        普及して攻撃にさらされるようになった時にどうなるか見ものだな。

        • by Anonymous Coward on 2017年10月07日 13時52分 (#3292214)

          プロプラつってもさー。最低単位がハードこみ約100万円(保守3年つき)とかいうアプライアンスなわけですよ、これ。

          Windows(やIE)、Adobe製品等、量販店いけば誰でも買えるって代物なら兎も角、こんなもんを「検証して破綻させる一部のユーザー」って何者よ?
          企業ユーザーとかで「購入して試験したら穴を見つけた」みたいなことは起き得るけど、それは普通にメーカーに保守として修正させるよね。
          かといって一般人やらクラッカーグループがこんなもんわざわざ買って検証するとは思えない、個人が道楽で買う金額じゃないし、販売方式的に足がつく可能性も高いのに。

          あと、DNSってプロトコルの仕様として、サーバー側のソフトウェア名称を取得するようなコマンドはなかった筈なので。
          アプライアンスがよほどタコい設定をしてない限り、「そもそもそのDNSアプライアンスを使ってる」ことを外部が知れるかどうかが困難だし。
          まあうん、たとえば「Bindでゼロデイ攻撃が多発」みたいな状況で、クラッカーグループが「こいつ攻撃してみたけどBindの脆弱性が通らない、何か別の使ってるな」ぐらいに観測される程度が関の山じゃないかなぁ。

          # あまりに普及したらブラックボックス攻撃に晒されて穴が見つかることもあるかもしれないけど
          # それは1年や2年で起きるようなことじゃないから、心配しなくていいと思うよ

          親コメント
          • by Anonymous Coward

            DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、
            「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。

            • by Anonymous Coward

              DNSって仕様それ自体にどれほどの運用ミスが山積しているか知ってたら、
              「大金を取るシステムなら大丈夫だろう」なんて言えんと思うけどね。

              日本語読めないの?それともバカなの?

              「大金をとってるから価値が高い」ではなく、「どれだけユーザーが増えるかもわからないようなアプライアンスで、保守契約こみで契約するような代物を、クラッキングのために買うヤツはそうそう居ない」ってだけの話じゃん。

        • by Anonymous Coward

          > OSSは最低限のレビューが保証される

          マジで!? じゃあ俺もOSSやる!

          • by Anonymous Coward on 2017年10月07日 18時40分 (#3292304)

            > OSSは最低限のレビューが保証される

            「修正されていないぞおおおお」
            「誰か!バグを修正してええええ!」
            「おかしい、オープンソースは多くの人間がレビューしている」
            こう言っているOSS推進派も、コードの修正はしていないのである。
            「えっ」
            「それなのに修正されない・・・何か政治的な圧力があったに違いない」
            「はやく、バグをなおして、でないと攻撃されちゃって……!」
            泣き叫んでいるOSS利用のSIerですらも、メンテに人員を割いてはいないのである。

            親コメント
          • by Anonymous Coward

            嫌われ者がやると、フルボッコにされますが。ACでは出せませんし。

    • MTAであるQMail [wikipedia.org]の作者が開発した、djbdns [cr.yp.to]を思い出しましたよ。
      まぁ、がんばってね…(´・ω・`) としかいえないですが。

      親コメント
      • by fukapon (4131) on 2017年10月07日 16時51分 (#3292271)

        qmailですな。
        qmailもdjbdnsも、今そのものを見ると「あんなキワモノ」という評価かも知れませんが、いずれも競合ソフトにセキュアであることの大切さを気付かせたものだったように思います。がんばったというより、結果を出したソフトたちですね。

        親コメント
        • by Anonymous Coward

          どんなに堅牢な設計でもメンテを放棄されたソフトはセキュアでないと気付かされました。

      • by Anonymous Coward on 2017年10月07日 22時08分 (#3292384)

        qmailやdjbdnsも「柔軟性?協調性?なにそれおいしいの」というdjb氏の性格を体現したような偏屈なソフトではあったが、
        脆弱性の低さという点ではみごと公約通りの実績を叩き出してくれたじゃないか。

        親コメント
    • by Anonymous Coward

      悪魔の証明かどうかはともかく、証明しようと思ったら脆弱性を数学的に定義しないといけないな。

      • by Anonymous Coward

        ハードウェアに起因する脆弱性は含めるか。
        リンクしている標準ライブラリ等の脆弱性は含めるか。
        DDoSアタック耐性が弱いのは脆弱性に含めるか。(リソースを占有しすぎて他のプロセスの穴を突かれるとか)
        まあ色々ありそうですな。

      • by Anonymous Coward

        結局、モデルとはプログラムで、仕様はモデルを作るための曖昧模糊とした何かなんですよね。
        仕様をモデルと同じ精細度で書いても意味ないので、曖昧模糊とは、それで良いそれ以外に有り得ない
        精細度では有るのですが、
        問題は、それを合意の正文書としてしまっていることで、
        いくらでも、仕様バグの湧き出す策源地と化している以上、証明は原理的に無理。

        何をやっても、虎を屏風から出すのは誰だの話しでおわってしまう!

    • by Anonymous Coward

      やはりここは「脆弱性ゼロ」を公約に新党をですね…

      • by Anonymous Coward

        どうせ「私はAIです」とかいいながら反故にするんでしょ

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

処理中...