おまえらBSD Magazine ..
936:名無しさん@お腹いっぱい。
04/07/21 17:05
>>912
マーケティングの話をしてるんだけどなあ。
「イメージ」って書いてあるでしょ。
技術的には、ほかにもフォローがあるけど、OpenBSDのセキュリティへの
取り組みはデフォルト云々だけではなくてもっと広範なものだと思う。
まあ、ほかのOSも取りこめるものは取り込んでしまうけど、使い勝手や
パフォーマンスを考えに入れるとセキュリティを最上のポリシーとする
OpenBSDでなければ採用しにくいものも結構あるからね。
ところで、今気づいたが、OpenBSDは日本語環境構築に手間が掛かるから
調べるまでもなく日本ではユーザが少なそうだな。
937:名無しさん@お腹いっぱい。
04/07/21 18:03
次スレ勝手に立てたよ。
UNIX系雑誌読んでますか?No.4
スレリンク(unix板)
938:名無しさん@お腹いっぱい。
04/07/21 18:40
>>937
GJ!
939:名無しさん@お腹いっぱい。
04/07/21 20:01
> OpenBSDはコードレベルでセキュアにしようと努力してるはず。
> 1行1行チェックしてるらしいよ。
もしかして、OpenBSD だけがそうしてると思ってるの?
いまや他のプロジェクトでも同じことしてますよ。
認識が間違ってるのは君の方だね。
940:名無しさん@お腹いっぱい。
04/07/21 20:41
>>939
ソースきぼん
941:名無しさん@お腹いっぱい。
04/07/21 21:00
>>939
君は馬鹿です。
942:名無しさん@お腹いっぱい。
04/07/21 21:19
FreeBSD の場合
audit 専用の FreeBSD-audit メーリングリストを作って監査している。
google で「advisory "internal auditing" site:freebsd.org」を検索
してみればその活動の成果の一部が分かる筈。
OpenBSD はベース配布部分の audit だけしかしてないが、FreeBSD の
場合、ports の audit もある程度していて、むしろ OpenBSD よりも
真剣に監査に取り組んでいることも分かる。
NetBSD の場合
最近のメジャーリリースのアナウンスには、常に source code audit
を行ってることが示されてる。
URLリンク(www.netbsd.org)
URLリンク(www.netbsd.org)
これはコミットログでも、確認できる。
943:名無しさん@お腹いっぱい。
04/07/21 21:24
で、NetBSDだとitojunがstrcpy()をstrlcpy()にみんな置き換えちゃって
クレームがついて うがーっ っとなったりするわけだ。
944:名無しさん@お腹いっぱい。
04/07/21 21:36
あれは穴のないところまで無条件に書き換えるのはどうよっ
て話だったよね。
実際、OpenBSD が audit のつもりで書き換えたところが
間違ってて、実際には穴が増えたってことがなかったっけ?
945:名無しさん@お腹いっぱい。
04/07/21 22:52
>>935
いくら出来のいいOSだろうと、他スレに誤爆するようなユーザーじゃ意味なし、と……
946:名無しさん@お腹いっぱい。
04/07/22 01:14
>>872
自家中毒っていうか、単に編集さんが忙しくなってあげく
BBテクノロジに出向されてしまったために、続刊の目処が
たたなくなっただけなんですが…。
947:名無しさん@お腹いっぱい。
04/07/22 02:26
>>936
>ところで、今気づいたが、OpenBSDは日本語環境構築に手間が掛かるから
less,more,vi あたりは一応日本語EUC通るし
素のlsで日本語ファイル&ディレクトリも見れるので
おじさんには十分ですぞ。
948:名無しさん@お腹いっぱい。
04/07/22 03:44
テオのインタビュー貼っとく。
URLリンク(slashdot.jp)
コード監査がOpenSDのアイデンティティなのかなあ。
949:名無しさん@お腹いっぱい。
04/07/22 07:35
>>946
つまりもともとBSD magazineの編集は片手間仕事だったということですか。
950:名無しさん@お腹いっぱい。
04/07/22 08:03
Oh!Xのはなしだろ? >>949
951:名無しさん@お腹いっぱい。
04/07/22 08:31
>>942
freebsd-auditなんて全然動いてないし。
internal auditingなんて「たまたまヤバっと思って別のブランチ見たらやっぱ
そうだった」程度の意味しかないだろう。portsのauditなんて全然してない。
どっかからsecurity advisoryが出たらDBに追加してるだけ。
やらないよりいいけどね。
952:名無しさん@お腹いっぱい。
04/07/22 08:41
> portsのauditなんて全然してない。
> どっかからsecurity advisoryが出たらDBに追加してるだけ。
2000年だか2001年だかの頃は、自力で見つけてたのが結構なかった?
> やらないよりいいけどね。
これで思い出した。
OpenBSD は、FreeBSD の portaudit や NetBSD の audit-packages に
相当することって、やってないの?
953:名無しさん@お腹いっぱい。
04/07/22 13:03
やってるでしょ。OpenBSDが先鞭を付けたというのは覚えてる。
954:名無しさん@お腹いっぱい。
04/07/22 16:23
>>953
え? どれどれ? ports の下のどこにあるの?
955:名無しさん@お腹いっぱい。
04/07/22 17:00
>>952
特定できる? 少なくとも組織立った活動はないなあ。
【こういうのって趣味で探すものかもしれない】
>>953
それは初耳だ。packagesの情報公開に関しては、
FreeBSDが2000年8月にadvisoryをannounce始めたが2002年3月に終了
2000年9月にNetBSDがaudit-packagesを始める
2004年1月にFreeBSDにportaudit登場
同2月vuxml開始
同3月OpenBSDがvuxmlに参加
てな感じで、
FreeBSDが後先考えずに始めるが頓挫
→NetBSDが必要性を感じてまともに使えるように改良
→(長い年月)
→audit-packagesみたいのはないかと言われてportaudit登場
→満を持してvuxml登場
→おいしくなったところでOpenBSDも参加
てな流れかと。で、OpenBSDは何に先鞭をつけたん?
956:名無しさん@お腹いっぱい。
04/07/22 17:31
>>955
2000年〜2001年だったら、ちょっと見ただけでこれぐらいは
見つかった。ちゃんと探せばもっとあるんじゃないかなあ。
URLリンク(lists.freebsd.org)
URLリンク(lists.freebsd.org)
URLリンク(lists.freebsd.org)
URLリンク(lists.freebsd.org)
URLリンク(lists.freebsd.org)
URLリンク(lists.freebsd.org)
URLリンク(lists.freebsd.org)
URLリンク(lists.freebsd.org)
> →おいしくなったところでOpenBSDも参加
> てな流れかと。
へへえ、今では OpenBSD も参加しているのか。
OpenBSD の対応する ports ってどれなんだろ。実はまだない?
957:名無しさん@お腹いっぱい。
04/07/22 23:14
その辺まとめて BSD Magazine に寄稿してよ。
958:名無しさん@お腹いっぱい。
04/07/23 00:12
俺も密かにしらなかったので、>>957キボンヌ。
959:名無しさん@お腹いっぱい。
04/07/23 02:32
で、portaudit/audit-packages 相当のものは、結局 OpenBSD では
どれなの? それとも、単に 953 が嘘ついてるだけなの?
960:名無しさん@お腹いっぱい。
04/07/23 08:06
>>956
なるほど。
|although an effort is underway to provide a security
|audit of the most security-critical ports.
やばそうなところに絞って見ていたわけだ。それでも継続できなかったという
ことは、相当に少人数だったんだろうね。そういえば昔krisがsoだった頃
そんなことやってたような気がしなくもないですはい。
OpenBSDに関しては、
URLリンク(www.vuxml.org)
で登録とRSS feedしてるだけで、参照/警告を自動化するclientはまだないと思う。
>>957
書いててちょっぴり思いました。
961:名無しさん@お腹いっぱい。
04/07/23 08:25
> OpenBSDに関しては、
> 参照/警告を自動化するclientはまだないと思う。
やはり 953 はデマを流してたってわけか…
962:名無しさん@お腹いっぱい。
04/07/23 11:27
ということで、タスクが一つ増えましたよ。
963:953
04/07/23 20:39
途中で話が変わってると思うんだけど。
言い訳がましいが、同じauditって言葉が出てきてるから紛らわしい。
ろくに>>952を読まずに書いてデマになってしまったのはすまなかったが、
俺はサードパーティ製のソフトについてのコード監査の話をしていたつもりだった。
もう書かないから堪忍。
964:名無しさん@お腹いっぱい。
04/07/23 21:22
え、つまり、サードパーティ製プログラムに対するコード
監査の先鞭を付けたって意味だったの?
逆でしょ。OpenBSD って、ports のコード監査はやらないっ
て明言してたはず。
情報ソースきぼん。
965:名無しさん@お腹いっぱい。
04/07/23 22:37
>>960
vuxml.orgでの活動を書かれてもなぁ...
(whoisすればわかるけど) vuxml.org自体はFreeBSDのsecurity officer
であるnectarがやってる活動であって、OpenBSDはそれに情報提供してるだけでそ。
あれをOpenBSDの活動と言われると非常に違和感があるよ。
# セキュアを旗印にするなら、自前でやるべき活動だろうに。
966:名無しさん@お腹いっぱい。
04/07/24 04:03
>>964
>>953が言いたいのはapatchやsendmailみたいな
3rd partyのソフトをベースシステムにimportする際には
チェックをしてるってことが言いたいんじゃないの?
それがportaudit/audit-packagesより優れている
あるいは先だったと言いたいのかどうかはわからんがね。
967:名無しさん@お腹いっぱい。
04/07/24 04:33
正直 portaudit/audit-packages の方が仕組みとしては優秀なんじゃない?
OpenBSD にインポートされた apache にしても、あるいはOpenBSD が主開発
サイトである OpenSSH にしても、結局リモートから侵入可能なセキュリティ
ホールが見つかってる。従って、OpenBSD の人々によるソースコード監査を
盲信するわけにはいかない。たとえば実際問題として、apache を使ってて、
OpenBSD だから助かった例ってないんじゃないかなあ。穴が見つかったら
apache 本家もすぐに対応してるから、OpenBSD 使ってなくても大丈夫だし。
裏の世界で穴が有名になってたけど apache 本家が対応してなかったってこ
ともあったわけだけど、あの時は OpenBSD 版にも同じ穴が残っていたから
特にメリットなかったし。結局、OpenBSD にインポートされる際に行われる
audit によるメリットって、実際のところあまり感じない。
968:967
04/07/24 04:33
逆に OpenBSD みたいなやり方のデメリットとして、ベースシステムだけで
は必要なアプリケーションが絶対的に足りないという問題がある。どうして
も ports で補充しないと、実用的じゃない。
ところが OpenBSD だと、ports になった途端に、セキュリティの確保をユー
ザ自身だけの力でやらないといけなくなる。ところが、これは実は非常に困
難だと思う。ユーザが全てのセキュリティ情報をくまなく調べて、インストー
ルされている ports に対するフィックスを適切に当てるなんて現実的には
無理。ports を使った場合、あまり意識しなくても依存関係で勝手に入って
しまうソフトウェアもあるしね。
969:967
04/07/24 04:37
これに対し portaudit/audit-packages は良い落としどころだと思う。
ベースシステムをスリムに保ったままで済むし、プロジェクトの側にとって
もアプリケーションを増やす手間は少ないし、ユーザーにとっても ports
や pkgsrcのセキュリティホールを調べる手間がまったくかからないし。
一度使い始めると、これなしでやってた頃が信じられなくなる。
portaudit/audit-packages を使うと、むしろベースシステムよりも ports
や pkgsrc の方がセキュリティ確保が簡単だと感じられてくる。実際に使っ
てるところはたぶん、どこでも同感じゃないかな。
970:967
04/07/24 04:38
なぜ OpenBSD のやり方が劣っているかっていうと、オープンソース的分散
開発の仕組みを十分に活用できてないせいだと思う。プログラムの中身につ
いて、本当に一番良く分かっているのはオリジナルの作者だから、本来なら
そちらに直してもらう方が効率的な筈。実際 OpenBSD が監査し終えた筈の
apache のセキュリティホールに、apache.org の方で気づいてフィックスし、
OpenBSD が後追いで同じ穴を塞ぐということが頻繁に起きているわけだし。
OpenBSD って、オリジナルの作者との協調が必ずしもうまくいってないんじゃ
ないかな。Theo は良くサードパーティプログラムの開発者と喧嘩しているし。
971:名無しさん@お腹いっぱい。
04/07/24 08:21
>>963
>>952「OpenBSDってportauditやaudit-packagesに相当することってやってないの」
>>953「やってるでしょ。OpenBSDが先鞭をつけた」
という流れだったらvulnerabilityのDB化の先陣を切ったと主張してるようにしか
見えませぬ。(……言葉が足らないだけの人をゴキブリみたいに叩いて回っても
仕方ないので叩き屋さんは店じまい願います)
>>965
whoisなんかするまでもなくトップページに書いてありますがな。
vuxmlの話をしてるのにその話はするなってのはどういう了見よ。
>>967
apacheのbuffer overflowでwe've fixed it four years agoってのがあった。
あなたは比較するものが違いすぎです。
DB化するだけのものと自分でみつけようとする努力を比べちゃ駄目。
972:名無しさん@お腹いっぱい。
04/07/24 09:06
> apacheのbuffer overflowでwe've fixed it four years ago
> ってのがあった。
こういう風に、監査の結果 OpenBSD のツリーでは先に解決されていたって
のも、確かにあるよね。でも実際のところ、その穴の存在を OpenBSD の開
発者しか知らなくて、悪用がされてないのであれば、OpenBSD を使うメリッ
トって、ゼロじゃないの?
で、こういう風に自分のツリーだけで解決していて、オリジナルにフィード
バックしないから、サードパーティと仲が悪くなってるような。
973:名無しさん@お腹いっぱい。
04/07/24 12:23
>>948
その割にはUNIX界全体のセキュリティには全然役に立ってないな。
ApacheとかSendmailとかのセキュリティホールをOpenBSDチームが報告したって話は聞いたことがない。
974:973
04/07/24 12:26
レスちゃんと嫁>漏れ_| ̄|○
つまり「we've fixed it four years ago」なんて自慢するんなら
「じゃあそれ本家に提供しろよ!」て言いたいわけで。
975:名無しさん@お腹いっぱい。
04/07/24 14:16
現状の次スレってユニマガ読んでない俺にはうざいんだけど、どうよ。
976:名無しさん@お腹いっぱい。
04/07/24 14:22
次号が出るかどうかわからない雑誌の単独スレってのも
存在意義が微妙じゃないかね
977:名無しさん@お腹いっぱい。
04/07/24 14:34
次スレよりここのほうが進んでるわけだから、
BSD系雑談スレとしての役割はあるんじゃないかなあ。
「UNIX系」でまとめられちゃうと盲目OpenBSD教信者叩き
とかできまへん。
雑誌スレとしての存在意義はもともと半分もなかったし、
それでスレが廃れるならそんな雑誌もなくなって当然、
つーことで。
978:名無しさん@お腹いっぱい。
04/07/24 15:39
実は今の話題って、実際にはこういう雑誌スレよりは、
スレリンク(unix板)
FreeBSD?OpenBSD?NetBSD
あたりでやった方がいいような話じゃない?
979:名無しさん@お腹いっぱい。
04/07/24 18:33
そこは今更自分の選択に迷わない人は読みそうにないスレタイだからなあ。
吸引力がいまひとつだ。
980:名無しさん@お腹いっぱい。
04/07/24 20:22
もはやくだ質スレあたりで寝言をつぶやいてるDQNを
誘導するだけのためのスレになってるもんなぁ
981:名無しさん@お腹いっぱい。
04/07/24 22:39
あのスレタイだと どれが一番か って話にしかならんわな。
BSD一般スレじゃないと今回のauditみたいな話には向かわんだろうし。
逆に雑誌ネタで一番盛り上がったのがSD記事ネタってのは
結局はBSDマガジンはその程度だったってことか……
982:名無しさん@お腹いっぱい。
04/07/25 01:21
↓でよくね?
*BSDニュース@2ch
スレリンク(unix板)
983:名無しさん@お腹いっぱい。
04/07/25 04:01
こんなとこにDQN以外を求める方がバカじゃね?
984:名無しさん@お腹いっぱい。
04/07/25 07:14
>>974
そりゃ無理。だって「奴等のcoding styleじゃきっと穴があるから徹底的にstrlcpy」
みたいな方針で書き換えてるから、そんなのfeedbackしたって「ざけんなうんこ」で
終わるよ普通。
うんこ踏みたくなかったら道を見て歩け。うんこから警告してくれるなんて甘えて
んじゃねー。OpenBSDは町内うんこ地図を作ってますがおまえらそんなの見や
しねえだろ。そのくせ踏んだらこっちに八つ当たりですか? こちとらロハで公開
してんだから勝手にお持ちください。だからその臭い口を閉じて俺の前から消えろ。
てな具合にしょっちゅうtheoが叫んでますよ。UNIX界全体のセキュリティ? 臍が
茶ぁ沸かすぜ。こちとら万年貧乏所帯よ、そんなもんに貸す手は1本もございません、
手前で勝手にやりやがってくださいよ、てなもんさね。
985:名無しさん@お腹いっぱい。
04/07/25 09:04
>>984を見て思った。
超訳theo語録はきっと売れる。
でもBSD Mag編集部で企画すんのは無理だろうなあ…
986:名無しさん@お腹いっぱい。
04/07/25 09:08
theoRからの手紙
987:名無しさん@お腹いっぱい。
04/07/25 10:21
テオイズム継承者がいるな
988:名無しさん@お腹いっぱい。
04/07/25 10:32
_ ┐ /
/ 'rlご ┥ .,,,、 呼んだ?
| |゙ `jエ |〈゙',)
゙l,,,i´ /,/,ノ"r
,r_,ノ''こ!、,,┴.
| ‘''く′ ,/ │
.r'ヘ,、 `'イ゙>'"
.厂|,`'-,, .|'ヽ、
.〜へ-―‐^''ー"
989:名無しさん@お腹いっぱい。
04/07/25 11:20
↑
だれ?
教えて
↓
990:名無しさん@お腹いっぱい。
04/07/25 12:44
↑
知らん
991:名無しさん@お腹いっぱい。
04/07/25 12:47
we've fixed it four years ago
ってのはコード精査して穴を塞いだんじゃなくて
無条件のstrcpy()→strlcpy()の書き換えみたいな
修正でたまたま塞がれてたってことなのかしら。
だとするとどっちもどっちなのかしら。
992:名無しさん@お腹いっぱい。
04/07/25 15:38
無条件のstrlcpy置き換えは、穴は塞ぐかもしれんが臭いものに蓋だからバグはとれんぞ。
あんな脳みそ使わない置き換え平気でやらかす(ry
993:名無しさん@お腹いっぱい。
04/07/25 22:21
988はストIIのガイルだと思う。
994:名無しさん@お腹いっぱい。
04/07/25 22:46
URLリンク(www.omanco.com)
995:名無しさん@お腹いっぱい。
04/07/26 00:03
こうしてこのスレも本誌と同じようにひっそりと消えていくのか……
996:名無しさん@お腹いっぱい。
04/07/26 00:09
1000とり合戦?
997:名無しさん@お腹いっぱい。
04/07/26 00:26
997でおなかいっぱい
998:名無しさん@お腹いっぱい。
04/07/26 01:08
B
999:名無しさん@お腹いっぱい。
04/07/26 01:08
S
1000:名無しさん@お腹いっぱい。
04/07/26 01:09
2
1001:1001
Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5135日前に更新/201 KB
担当:undef