5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

オープンソースはすべてのセキュリティ原則に反する

1 :login:Penguin:04/05/01 12:16 ID:qcUhVQN1
Linuxの普及発展には大いに期待してるし、
サーバ用途に無くてはならない選択肢だと思うけど

 オダウド氏の言葉で特に説得力があったのは、Linux支持者の「Linuxはソースコードがオープンであるため、
セキュリティは保証されており、Linuxを監視する“大勢の目”が迅速に問題を発見する」という主張を打破したときのものだった。

 (Linuxに大きな影響を与えた)UNIXを最初に開発したトンプソン氏が、この主張が真実でないことを証明していると
オダウド氏は語った。トンプソン氏はUNIXのバイナリコードに、すべてのUNIXシステムに自動的に同氏のユーザー名と
パスワードを付加するバックドアを埋め込んだ。

 トンプソン氏は14年後にその秘密を明かしたときに、こう宣言したという。「これから得られる教訓は明白だ。
自分で作ったものでないコードは信用できないということだ。ソースレベルの検証や監視をどれだけ行っても、
信用できないコードから身を守ることはできない」

 「Linux開発者が生まれる前に、ケン・トンプソン氏は既に“大勢の目”でソースコードを監視しても問題を防げないことを
証明していた」とオダウド氏。


http://www.itmedia.co.jp/enterprise/0404/14/epi04.html
http://www.itmedia.co.jp/news/articles/0404/30/news023.html

↑これ読む限りでは、もちろん自社OSを売り込むのに他のOSの
貶める目的はあるだろうけど、確かに軍事目的や住基ネット、医療関係等の
サーバにLinuxを使う場合、十分に検討して欲しいと思うのだがどうなんでしょ?

2 :login:Penguin:04/05/01 12:20 ID:9D5DaZNA
大勢の目でソースコードが監視されているというのが間違い。
大多数はソースなんて見てないし、ソースを見ているほとんどの奴も全てソースコードを見ない。
マイナーなソフトウェアなんて、誰もソース見ないだろう。

3 :login:Penguin:04/05/01 13:21 ID:3drheYYq
>>1
> ↑これ読む限りでは、もちろん自社OSを売り込むのに他のOSの
> 貶める目的はあるだろうけど、確かに軍事目的や住基ネット、医療関係等の
> サーバにLinuxを使う場合、十分に検討して欲しいと思うのだがどうなんでしょ?

ソースをオープンにしていても悪意のあるコードを発見できない可能性があると。
ならば、ましてや他人が作ったクローズドソースなシステムなんて怖くて使えないね。

4 :login:Penguin:04/05/01 13:29 ID:rtoVXM1H
たしかに危険なコードのコミットは100%避けられないかもしれないが、
問題が見付かった時の対処はオープンなプロジェクトのほうがユーザーにとっては有利だと思う。
「仕様です」で逃げられないからな。


5 :login:Penguin:04/05/01 13:35 ID:MV3vi1L4
この組込み野郎は、Linuxの最新のコードが
何のチェックも無しにそのまま使われると思い込んでるのか?

そんなん使って欲しくねー

6 :login:Penguin:04/05/01 14:14 ID:qcUhVQN1
賛同するかどうかは別として、

>>1の記事で問題としてるのは、大勢が監視しても危険なコードを
オミット仕切れない事よりも、悪意ある開発者が悪意あるコードを
コミットする為に潜り込むことが容易な事なんじゃないの?


7 :login:Penguin:04/05/01 14:35 ID:wBlslaH/
しかし、このような問題の指摘で見逃してはならないことは、

全く同じことが、すべてのソフトウエアについていえる

ということなんだがなあ…

8 :login:Penguin:04/05/01 14:36 ID:ixvhwdud
>>1
そいつの書いたコードは他人にとって自分で作ったものでないコードだから
信用できないという結論でよろしいですか? と某memoで速攻で突っ込まれてたな

9 :login:Penguin:04/05/01 14:43 ID:t3BRGBSm
>>7
ソースが公開されているだけ、まだましということですね

10 :login:Penguin:04/05/01 15:03 ID:3drheYYq
つーか、kenが例のバックドア仕掛けた時には牧歌的時代だったからなあ。
セキュリティのためのレビューという概念自体、ほとんど無かったのでは?


11 :login:Penguin:04/05/01 18:37 ID:kXfEne7X
クローズドなシステムの方が違う意味で恐い。
アップデートと称してネット経由でユーザのプライベート情報を
盗みみているかもしれないから。いわゆるスパイウェア。
「ユーザの個人情報は送信してません」って言ってるけどそんなのわかんないよね。
もしかしたら、プライベートな個人情報を情報収集してデータベースに入れて管理しているかもよ。

12 :login:Penguin:04/05/01 21:05 ID:7wy78ICs
クローズドだとかオープンだとか言っても、
全てのソースの内容を完全に理解している者でもいて、定期的に
全ソースをチェックしてるって確証でも無いと、
信用できるできないって話じゃ、オープンソースがセキュリティに於いて
クローズドより安全性が高いって根拠としては弱くない?

カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?




13 :login:Penguin:04/05/01 21:20 ID:B7cswmMR
>カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
>全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?

だから、商用ディストリビューションの出番があるわけで…

14 :login:Penguin:04/05/01 22:02 ID:5yRvKeNQ
またMS社員か

15 :login:Penguin:04/05/02 01:20 ID:q2bFTA8Y
>>5
いえ、カーネルなど新たに投稿されたコードは時間をかけて検証した後に取り入れられてますが。
投稿されたコード全てがそっくりそのまま取入れられるわけではありません。

16 :login:Penguin:04/05/02 11:13 ID:9+x35+aS
煽りとしても弱い記事だった、つーことでFA?

17 :login:Penguin:04/05/02 16:50 ID:LSfxN8F4
>クローズドだとかオープンだとか言っても、
>全てのソースの内容を完全に理解している者でもいて、定期的に
>全ソースをチェックしてるって確証でも無いと、
>信用できるできないって話じゃ、オープンソースがセキュリティに於いて
>クローズドより安全性が高いって根拠としては弱くない?

>カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
>全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?

何故、「クローズドに関わっている開発者が全て善意の人だ」と言い切れるのか?

18 :login:Penguin:04/05/03 22:19 ID:w6/IMe+V
でも、この例が示しているのは、むしろ「全てのコードを一つの組織(AT&T)が開発した際に
はこのような問題が生じる可能性がある」ということじゃないかな?

最近の Linux では、コンパイラもカーネルもユーザ認証回りも別々のグループが開発
しているから、こういう複数の領域にまたがる手の込んだ backdoor は用意できないと
思うが。

まぁ、セキュリティは鎖みたいなもので、一番弱いところから破れるものだから、
カーネルがいくら頑張ってもアプリ側の方が危険な気はするが。。



7 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)