パスワードを忘れた? アカウント作成
11662219 story
オープンソース

揺るがされるオープンソースセキュリティーの理想 119

ストーリー by headless
理想 部門より
本家/.「Confidence Shaken In Open Source Security Idealism」より

いくつかのニュース記事によると、最近オープンソースソフトウェアで発生したセキュリティー問題は、すべて一般大衆に認知されているという。Bloombergの記事では「一時はWebの理想を象徴するものとされたフリーソフトウェア運動をハッカーが揺るがした。ここ数か月の間に大きく報じられたサイバー攻撃では、有志がオンラインで共同作業を行って作り上げる『オープンソース』ソフトウェアの脆弱性が悪用されている。」としている。

オープンソースなら実際のコードを見ることで、悪意を持った機能や明白なセキュリティーホールがないことを確認できるというのは事実だ。しかし、このような理想主義では、コードを確認する時間や知識のない多くの人々の助けにはならない。人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by kemeco (41597) on 2014年10月19日 14時30分 (#2696120)

    最初から完全無欠でどこにもセキュリティー的な隙が無いような系統の安全さってのは、たぶんオープンソースでもプロプラでも実現は難しいことだし、普通は対処療法的な修正の積み重ねになるものでしょ。

    そうじゃなくて、もっとあからさまに、たとえば変なURLへ勝手に情報送信するようなコードを作者が含めたような場合に、オープンソースならコードに明らかに変なURLが含まれてるのがバレバレだから、そういう悪意コードを仕込まれたバイナリーをそのまま知らずに使い続けてしまう危険に関しては幾分安全だということでしょ。
    でも、一見、正当な機能なのだけど使い方によっては実は・・・的な巧妙な悪意コードなんかの場合だと、専門家でもなければコードの不自然さに気づけないだろうから、ソース丸見え=絶対安全というわけでは無いけどな。

  • > 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。

    「オープンソースコミュニティーを信頼するしかない」のは「その製品について勉強しないこと」が大前提の場合。

    仮に 1000人に一人が「勉強する」事を決めたとしよう。
    この場合、勉強することを決めた人は、コミュニティーを信頼する「必要はない」わけだ。

    これは別の見方をすると、この1000人は「1/1000 の確率でコミュニティを信頼する必要はない」ということになったといえる。

    しかしクローズドソースの場合、10人に一人が「勉強する」事を決めたとしても、結局クローズドソースソフトを創った人たちを信頼するしか無い。つまり「0の確率でソフトを創った人たちを信頼する必要はない」と表現出来る。

    完璧なる0と、「ほんの少しでも0.0よりは大きい」のとを同じ扱いにするのは如何なものか、と思う。

    --
    fjの教祖様
    • by Anonymous Coward on 2014年10月19日 15時10分 (#2696139)

      「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なんだから、そんなこと言ってもしょうがないよ。

      「人々がオープンソースコミュニティーを信頼するしかないとしても、クローズドソフトとはここが違う」と言わないと

      親コメント
      • by Anonymous Coward

        すべての「人々がオープンソースコミュニティーを信頼するしかないとしたら」が前提なら、そうですよね。

        ただ、現実は信用できないと思ったソフトウェアの改変が全くできないクローズドソースのソフトウェアとは違い、オープンソースのソフトウェアは改変できる可能性があり、少ない割合ではあるにせよそういう改変を行う人たちもいるわけです。

        #「すべての都民が電車しか使わないなら、車は不要なのではないだろうか」とかと同じ、結論ありきの言い回しですよね、コレ

        • by Anonymous Coward

          で、その理屈がOpenSSLの脆弱性をどうフォローできるのさ
          理想と現実の話なのに、理想論だけ語られても「で?」にしかならんでしょって事なんだけど

    • by Anonymous Coward

      コミュニティという集合知に頼らず、独力でセキュリティ上の問題を論じれる程全貌を把握するなんてまず不可能
      仮にそれができるというなら、クローズドソースでも頑張ればバイナリから挙動を把握することはできる

      結局、脆弱性がわかりやすいか、わかりにくいかしか違いはない

      --
      クローズドソースじゃ会社が個人がやる気なければ直らないが、オープンソースでもコミュニティが不活性なら直ることはない
      どちらにしても、どこかの誰かが作った野良パッチを自己責任で当てるしかない

  • by Anonymous Coward on 2014年10月19日 20時35分 (#2696340)

    このタレコミは「理想が揺るがされた」ってことを言っているようである。オープンソースが劣ってるとかいう話ではないようだ。
    で、理想とは何のこと言ってるのかと読むと、「コードが公開されているからレビューによりクローズドよりより安全であろう」
    ということだと思われる。

    それで、もしそうだとすると、その「理想」ってどれだけの人が同意していたのということになるのだが、
    タレコミの趣旨からすると、世間の人々もそう思ってるってことのようである。

    それ、ホントですかね? 逆の話(例:趣味で作ってるもの大丈夫なの?)は聞くことはあるけど。

    何が言いたいかというと、タレコミの前提からそもそも勘違いじゃないの?

    • いえてるなー

      --
      the.ACount
      親コメント
    • by Anonymous Coward on 2014年10月20日 23時53分 (#2697069)

      そう思う。
      さすがに今時オープン≒安全なんてのは無しで願いたい。

      くわえて。
      オープンソースってのはソースが公開されていて自由に利用できるってのが元々なんだが、それが発展してる理由は、単に自由って事だけじゃなく、開発過程の透明性ってにもあると、常々思ってる。
      これはソースの公開に付随して、多くはリポジトリを公開してるという点で変更履歴がみれるという事になるが、
      ソースが公開されてることに加えて、場合によってはメーリングリストだったりバグトラックだったりっていうのを通じて、意図もある程度公開され過程を追う事が可能になってる。
      つまり透明性が高い。
      #「オープンソース」の定義上では必ずしも透明性が高いって事にはならないが、文化としては高いことが多い

      組織の信頼性の話で透明性ってのはなにかと話題になる重要な要素であると思う。
      オープンソースはその透明性が比較的高いってのが優位な点と考える。

      脆弱性の場合は全てが公開されるわけではないが、代わりに第三者によって手法が議論されたり検証されたりする。
      他に比べて大きく取り上げられるのも、そういった透明性やそれを支える文化により情報が多いからではないだろうか。
      だとしたら、それはむしろ良いことである。

      親コメント
  • by Anonymous Coward on 2014年10月19日 13時28分 (#2696098)

    > このような理想主義では、コードを確認する時間や知識のない多くの人々の助けにはならない。
    > 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソース
    > ソフトウェアと大して違わないのではないだろうか。

    時間や知識のない多くの人々は金を出せばいいのです。
    企業のクローズソフトウェアはその企業しかサポートできませんが、
    オープンソース製品であれば、自由にそのビジネスに参入することが可能である点で全く違います。

    「知識も時間も金も出さない、だが問題は起こすな」というのは理想主義じゃなくて単なるわがままなので、
    あたかもそれが当然の権利であり理想の世界のように吹聴するのは止めてください。
    それはオープンソースコミュニティを破壊する害悪以外の何者でもありません。

    • by Anonymous Coward on 2014年10月19日 13時38分 (#2696101)

      > オープンソース製品であれば、自由にそのビジネスに参入することが可能である点で全く違います。

      その自由に参入したビジネスパートナーが本当に信頼出来るのか?
      という事で結局大して違わないのでは、と言ってるんじゃないかな。

      金を出すなら、プロプラもオープンも同じ。
      信用についても同じ。
      そして、自由に参入出来るという事が信用の担保とはイコールではない、というのが本トピックの趣旨では?

      親コメント
      • by Anonymous Coward on 2014年10月19日 14時42分 (#2696125)

        オープンソースってのは、車輪を再発明を巧妙に回避する仕組みなので、その分だけ社会全体のコストが下がっていると思いますけどね。サポート費用とかはどっち道発生する料金ですから、変な部分での競争の不均衡がないわけで。

        親コメント
      • by Anonymous Coward

        「自由にそのビジネスに参入することが可能である点で全く違います」
        というコメントに対して「金を出すんだから同じ」という指摘をするのであれば、
        社会主義国の消費者と自由主義国の消費者がどちらも同じように金を出していた事実について
        思いを馳せて頂きたいものですね。

        > そして、自由に参入出来るという事が信用の担保とはイコールではない、というのが本トピックの趣旨では?
        トピックは自由に参入する人々の存在については触れていない、というか無視しているのです。
        
        > 人々がオープンソースコミュニティーを信頼するしかないと

    • by Anonymous Coward on 2014年10月19日 13時50分 (#2696106)

      ソースが公開されているから安全だ、という主張が間違っているんじゃないか、ってことだよね。
      言い換えると、ソースコードの公開・非公開は安全には影響しない。
      昔はソースが公開されているから危険だ、という主張が大勢だったから時代は変わったってことだ。

      Webの世界では独占的なソフトウェアもフリーソフトウェアも選び放題なのだから、選択肢が多いことを喜ぶべきなんだよ。選択したくないなら、Windowsサーバーを選ぶなり、AzureやGAEを選べばいいんじゃない?
      それこそ安全が第一ならOpenBSDでも選べば? 普段から金を出していれば、おそらくすばやく対応してくれると思うよ。

      親コメント
      • Re: (スコア:0, フレームのもと)

        by Anonymous Coward

        ビジネスで利用できる代物じゃなかったって事ですね。
        好事家の中だけではしゃいでた時期は楽しかったと。
        普及に貢献した人はやらかしちゃいましたね。

    • by Anonymous Coward on 2014年10月20日 9時29分 (#2696537)

      OSS信望者の主張って、身勝手にみえる。

      > 時間や知識のない多くの人々は金を出せばいいのです。

      そうです。そして、圧倒的大多数の人々はOSSの開発に協力できるほど時間も知識もありません。
      なので、OSSは使わないほうが良いという結論になりますよ?

      > 企業のクローズソフトウェアはその企業しかサポートできませんが、

      サポートにもよりますが、そういうことはありません。
      Winodws製品をMSだけしか売っていないわけでもなく、MSだけしかサポートしないわけではありません。

      > オープンソース製品であれば、自由にそのビジネスに参入することが可能である点で全く違います。

      クローズドソースであっても、自由にそのビジネスに参入できますよ?
      それともあれですか、オープンソース製品は、開発なんかしなくても自由にその成果物を使って金儲けできますよといいたい?

      > 「知識も時間も 金も出さない、だが問題は起こすな」というのは理想主義じゃなくて単なるわがままなので、

      えーっと、そこまでいうのなら、みんなOSS使うの辞めようぜ、って言いたい。
      派遣村で炊き出しをして食べ物を配るときに、「無料で食うだけだから、腐ったものでも文句言うなよ」って言うようなもの。
      タダでもらったものでも食中毒を起こしたら、配った人は責任を問われますよ。
      それが当たり前。

      > あたかもそれが当然の権利であり理想の世界のように吹聴するのは止めてください。

      当然の権利なんですってば。
      ただ使うだけのユーザはOSSの欠陥について改善要望を出す権利も無いとしたら、そんなもの配布するなよ、使わせるなよ、です。

      > それはオープンソースコミュニティを破壊する害悪以外の何者でもありません。

      お金を払った人か、開発に貢献する人以外にはクローズドなオープンソースにすればいいと思いますが、どうですか?

      正直言って、あなたのようなオープンソース原理主義者を見ると、「ほら、こういう人たちが勧めてるものだよ? 問題が起きても責任からは逃げるよ? こんなの仕事で使える?」という疑問しかわいてこない。

      親コメント
  • by Anonymous Coward on 2014年10月19日 13時43分 (#2696104)

    誰も使ってないようなOS、誰も使ってないようなソフトを使えば、
    OS/ソフト固有のセキュリティホールを使った攻撃を避けられるよ!

    まあコードの穴をチェックする目も減るけどね。
    ていうか実は何をしても無意味なんだけどね。

  • by duenmynoth (34577) on 2014年10月19日 13時45分 (#2696105) 日記
    > オープンソースなら実際のコードを見ることで、悪意を持った機能や明白なセキュリティーホールがないことを確認できるというのは事実だ。
    > しかし、このような理想主義では、コードを確認する時間や知識のない多くの人々の助けにはならない。
    > 人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか。

    こんな事を言ってる時点でOSSの精神を理解できていない。
    知識というギブをするから無料というテイクが得られるわけで、
    何もギブしないのにテイクばかり要求する奴が、今度は文句まで言い出した、程度にしか思えない。

    #資本主義と民主主義の都合のいい部分だけを要求するなよと
    • OSSの精神はそうではないと思いますが。

      何もしないクレクレ君も含めて、全てのユーザに開かれているからオープンなんです。貢献したものにしか提供されないソフトウェアはクローズドソフトウェアです。

      親コメント
      • by Anonymous Coward

        違う、

        全てのユーザに開かれているのはフリーソフト。

        でも、それだと金にならないからソースは公開するから金をくれ!、ってのがOSSの根幹。

        ゆえにクレクレ君に有料サポートを提供するのがOSS流でしょう。

  • Windowsが危険であることは確か。
    管理者アカウントは原則固定した方が良いと思う。あと,Administratorは長いからrootにして欲しい。

    • by Anonymous Coward

      ポリシー変更すればAdministratorのユーザ名変えられるでしょ。
      その場合、ありきたりなrootだのadminだのは避けた方がいいとは思うけど。

    • by Anonymous Coward

      知識がXPで止まってやがるwww

      • by Anonymous Coward

        XPでもできるぞwww

        • by Anonymous Coward

          じゃあ2000で止まってやがるwww

      • by Anonymous Coward

        事実上、管理者権限でログインしていないと極めて使いにくいって事でしょ。
        個人ユーザーは当然として、結構多くの企業が7でも管理者権限で使用させてると思うけどね。

        •  はい、私の周りでもそうです。
          管理者権限は本当にrootだけに限ってしまった方が良いと思います(手間をかければ変更は可能でも構いません)。
          スターアップのときに、標準のアカウント名+パスワードを入力させ、
          rootの最初のパスワードは標準のアカウントのパスワードと共用する(あとで変更可能)。
          そうすれば、標準のアカウントを普段使うようになります。
          管理者のアカウント名は、Unixで問題になっていないので、rootでも構わないと思います。adminでも良いです。

          親コメント
  • 開発(OSSだろうがプロプラだろうが)、運用、利用者それぞれがんばらないと、けっきょく一番弱い所で切れるっていうだけでは。

    # だから神話を作るなと、というか神話は架空だっての

    --
    M-FalconSky (暑いか寒い)
  • by Anonymous Coward on 2014年10月19日 13時50分 (#2696107)

    人々がオープンソースコミュニティーを信頼するしかないとしたら、企業によるクローズソースソフトウェアと大して違わないのではないだろうか

    ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。
    オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。

    それに仮に監査をしたからと言って、それはその時点での特定の条件の確認でしかない。
    その後の開発でデグレってないか、未知の攻撃手法に耐えられるかまで確認しているわけではない。

    で、それを前提にしてだけど・・・
    そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?
    GPLで公開してる人もBSDライセンスで公開してる人もちゃんと「無保証」だって言ってるのに。
    (安全だ、と言うのはある種の保証ですよね。少なくともその言葉の受け手にとっては・・・)
    まずは安全だなんて冗談を吹聴している奴を吊し上げることからはじめたほうがいいような気が。

    # という所までの話は別に全然目新しい話だとは思ってないんだけど
    # 最近オープンソースソフトウェアで発生したセキュリティー問題は、
    # すべて一般大衆に認知されているというってホントですか?
    # 今年セキュリティ業界の人で知らない人はいないであろうOpenSSLやbashの件ですら
    # 一般人がみんな認識してるとはとても思えないのですが・・・
    # ホントに認識してるならセキュリティの理想云々以上にこっちの事実のほうが大事件だよなw

    • > ライセンスがどうであろうと、実際に安全性を監査してなきゃ意味ない。
      > オープンソースはそれを開発者以外の第三者がやりやすいというだけで、決してやってるという意味ではない。

      その通りだと思います。
      オープンソースでもクローズドソースでも、セキュリティの観点で開発・テストを
      真っ当に行っていれば、お粗末なセキュリティーの問題はまず発生しない。

      クローズソースなら、ソースが開示されていないので問題が無いかと言えば、
      国家機密に関わるなど攻撃する価値があれば狙われる。
      狙われにくいものがあるとしたら、クローズドなシステムであってオープンソースかクローズドソースかは関係ない。

      セキュリティーの担保を誰が取るのか?というと、それでビジネスをする企業が出資して、
      実現するといった流れみたいですね。

      http://osdn.jp/magazine/14/04/25/150000 [osdn.jp]
      Linux Foundationが富士通、Google、Microsoftらとオープンソースプロジェクト向け基金を設立、まずはOpenSSLを支援へ

      > # 最近オープンソースソフトウェアで発生したセキュリティー問題は、
      > # すべて一般大衆に認知されているというってホントですか?

      実のところ、大衆の眼に晒されていて、認知されるのは機能バグであって、
      セキュリティー問題が認知されるというのは、誰が言い出したのかは分かりませんが、
      希望的な拡大解釈だったことが、ようやく認知されてきたという事でしょう。

      親コメント
    • by Anonymous Coward on 2014年10月19日 14時04分 (#2696110)

      >そもそもソースが公開されていれば安全だなんて冗談はどこから出てきたんでしょうか?

      エリック・レイモンドに言ってやれ

      親コメント
      • by Anonymous Coward on 2014年10月19日 14時32分 (#2696121)

        安全神話は、安全神話なんてものができた時点で十分危険なんだよ。

        親コメント
      • by Anonymous Coward

        オープンであろうがクローズドであろうが、安全性というレベルでは大して変わらない。ただ、サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。

        • サポート終了後でもオープンソースなら自力でメンテナンス可能だというだけの話だ。

          ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.

          # 不可能じゃない人間は, 大抵そのことに気づいていない

          親コメント
          • by Anonymous Coward

            > ただし, 大部分の個人・企業・組織にとっては, 事実上不可能だけどね.
            同意。
            ただ、オープンソースならば、少し敷居は低い、対応するソースがある事が担保される。

            # 某所で、製品なのに、保存されているソースから同一バイナリができない... なんて。
            # 逆汗して復活させたけど、今時の規模だときっと無理。

            それと、保障期間を過ぎたとき、ソースが破棄されたら、完全に調査不能。
            オープンソースなら、金払えば、可能性はある、と。
            # 可能性あるだけで、誰でもなんて言いません。

        • by Anonymous Coward

          別にオープンソースでなくても自力でメンテナンス可能ですよ?

          ファンタジーやメルヘンじゃあないんですから、ソフトウェアが動作するからにはコードがあり、コードがあればメンテナンスは可能です(署名や暗号化のチェーンがハードウェアのレイヤーから繋がっているなど、例外はありますが)。

          そのコードがバイナリ表現かテキスト表現かでメンテナンス出来たり出来なかったりする人はいるでしょうが、それは個人の能力の問題でしかないので。

    • by Anonymous Coward

      自分が使うソフトウェアのことなどわかりたくもないという人々を前提にして、
      「ただ信頼する」以外のオプションを一切封じた条件で語るならば
      そりゃオープンもクローズドも変わらないだろうという至極当然の話ですね。

      有志が作って有志が使っていた一昔前ならば利点のひとつとして成立していたことなのでしょうが、
      「無料」でググって大挙して品質とサポートを底なしに要求する人達を満足させるものではないでしょう。

  • by Anonymous Coward on 2014年10月19日 14時18分 (#2696116)

    オープンソースの場合、問題が発覚した後からどこに問題があったか誰でも確認可能で、隠蔽はされない、ということじゃないかなと思った。
    >オープンソースなら実際のコードを見ることで、悪意を持った機能や明白なセキュリティーホールがないことを確認できるというのは事実だ。
    逆だと思う。悪意を持った機能や明白なセキュリティホールが「あった」ことは確認可能。

  • by Anonymous Coward on 2014年10月19日 15時17分 (#2696144)

    少なくともタレコミだけの文章では、どういうものが悪用されてどの程度の規模の被害が出たのか全く分からない。
    唯一の情報が「ソフトウェアの脆弱性が悪用されている」だけなので、それってWindiwsで言う日常って奴に少しは近づくの?と疑問を感じるだけ。
    揺るがされるというくらいなら被害の規模くらいは書いておいて欲しい。

    • by Anonymous Coward

      原文を読むと、HeartbleedとShellshockの話だけを根拠にしてるみたいですね。
      文章はだらだらと長いけど、大部分は「あの企業もこの企業も安全性が高いと考えてオープンソースを採用している」と言う話ばかりで、「しかし〜」以降の反証の部分はあまり説得力がない。
      それってもう修正されたんでしょ?Winの山程の脆弱性に比べればだいぶ影響も少なさそうだし...という感想にしかならない。
      もちろん、だからと言ってHeartbleedのような脆弱性が問題ない訳では決して無いし、ユーザーとしても安心して良い訳でも無いが、比較対象がアレの場合に限っては一緒にするなと言うだけ。

    • by Anonymous Coward

      関連リンクに最近の事例が載っているからそれを読みましょう。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...