- 1 名前:login:Penguin mailto:sage [04/05/01 12:16 ID:qcUhVQN1]
- Linuxの普及発展には大いに期待してるし、
サーバ用途に無くてはならない選択肢だと思うけど
オダウド氏の言葉で特に説得力があったのは、Linux支持者の「Linuxはソースコードがオープンであるため、
セキュリティは保証されており、Linuxを監視する“大勢の目”が迅速に問題を発見する」という主張を打破したときのものだった。
(Linuxに大きな影響を与えた)UNIXを最初に開発したトンプソン氏が、この主張が真実でないことを証明していると
オダウド氏は語った。トンプソン氏はUNIXのバイナリコードに、すべてのUNIXシステムに自動的に同氏のユーザー名と
パスワードを付加するバックドアを埋め込んだ。
トンプソン氏は14年後にその秘密を明かしたときに、こう宣言したという。「これから得られる教訓は明白だ。
自分で作ったものでないコードは信用できないということだ。ソースレベルの検証や監視をどれだけ行っても、
信用できないコードから身を守ることはできない」
「Linux開発者が生まれる前に、ケン・トンプソン氏は既に“大勢の目”でソースコードを監視しても問題を防げないことを
証明していた」とオダウド氏。
www.itmedia.co.jp/enterprise/0404/14/epi04.html
www.itmedia.co.jp/news/articles/0404/30/news023.html
↑これ読む限りでは、もちろん自社OSを売り込むのに他のOSの
貶める目的はあるだろうけど、確かに軍事目的や住基ネット、医療関係等の
サーバにLinuxを使う場合、十分に検討して欲しいと思うのだがどうなんでしょ?
- 2 名前:login:Penguin mailto:sage [04/05/01 12:20 ID:9D5DaZNA]
- 大勢の目でソースコードが監視されているというのが間違い。
大多数はソースなんて見てないし、ソースを見ているほとんどの奴も全てソースコードを見ない。
マイナーなソフトウェアなんて、誰もソース見ないだろう。
- 3 名前:login:Penguin mailto:sage [04/05/01 13:21 ID:3drheYYq]
- >>1
> ↑これ読む限りでは、もちろん自社OSを売り込むのに他のOSの
> 貶める目的はあるだろうけど、確かに軍事目的や住基ネット、医療関係等の
> サーバにLinuxを使う場合、十分に検討して欲しいと思うのだがどうなんでしょ?
ソースをオープンにしていても悪意のあるコードを発見できない可能性があると。
ならば、ましてや他人が作ったクローズドソースなシステムなんて怖くて使えないね。
- 4 名前:login:Penguin mailto:sage [04/05/01 13:29 ID:rtoVXM1H]
- たしかに危険なコードのコミットは100%避けられないかもしれないが、
問題が見付かった時の対処はオープンなプロジェクトのほうがユーザーにとっては有利だと思う。
「仕様です」で逃げられないからな。
- 5 名前:login:Penguin mailto:sage [04/05/01 13:35 ID:MV3vi1L4]
- この組込み野郎は、Linuxの最新のコードが
何のチェックも無しにそのまま使われると思い込んでるのか?
そんなん使って欲しくねー
- 6 名前:login:Penguin mailto:sage [04/05/01 14:14 ID:qcUhVQN1]
- 賛同するかどうかは別として、
>>1の記事で問題としてるのは、大勢が監視しても危険なコードを
オミット仕切れない事よりも、悪意ある開発者が悪意あるコードを
コミットする為に潜り込むことが容易な事なんじゃないの?
- 7 名前:login:Penguin [04/05/01 14:35 ID:wBlslaH/]
- しかし、このような問題の指摘で見逃してはならないことは、
全く同じことが、すべてのソフトウエアについていえる
ということなんだがなあ…
- 8 名前:login:Penguin mailto:sage [04/05/01 14:36 ID:ixvhwdud]
- >>1
そいつの書いたコードは他人にとって自分で作ったものでないコードだから
信用できないという結論でよろしいですか? と某memoで速攻で突っ込まれてたな
- 9 名前:login:Penguin mailto:sage [04/05/01 14:43 ID:t3BRGBSm]
- >>7
ソースが公開されているだけ、まだましということですね
- 10 名前:login:Penguin mailto:sage [04/05/01 15:03 ID:3drheYYq]
- つーか、kenが例のバックドア仕掛けた時には牧歌的時代だったからなあ。
セキュリティのためのレビューという概念自体、ほとんど無かったのでは?
- 11 名前:login:Penguin mailto:sage [04/05/01 18:37 ID:kXfEne7X]
- クローズドなシステムの方が違う意味で恐い。
アップデートと称してネット経由でユーザのプライベート情報を
盗みみているかもしれないから。いわゆるスパイウェア。
「ユーザの個人情報は送信してません」って言ってるけどそんなのわかんないよね。
もしかしたら、プライベートな個人情報を情報収集してデータベースに入れて管理しているかもよ。
- 12 名前:login:Penguin mailto:sage [04/05/01 21:05 ID:7wy78ICs]
- クローズドだとかオープンだとか言っても、
全てのソースの内容を完全に理解している者でもいて、定期的に
全ソースをチェックしてるって確証でも無いと、
信用できるできないって話じゃ、オープンソースがセキュリティに於いて
クローズドより安全性が高いって根拠としては弱くない?
カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?
- 13 名前:login:Penguin [04/05/01 21:20 ID:B7cswmMR]
- >カーネル部分はまだしも、モジュールやデーモンの開発に参加してる技術者が
>全員ボランティア精神豊かな善意の人ばかりとも限らないんじゃないの?
だから、商用ディストリビューションの出番があるわけで…
- 14 名前:login:Penguin mailto:sage [04/05/01 22:02 ID:5yRvKeNQ]
- またMS社員か
- 15 名前:login:Penguin mailto:sage [04/05/02 01:20 ID:q2bFTA8Y]
- >>5
いえ、カーネルなど新たに投稿されたコードは時間をかけて検証した後に取り入れられてますが。
投稿されたコード全てがそっくりそのまま取入れられるわけではありません。
- 16 名前:login:Penguin mailto:sage [04/05/02 11:13 ID:9+x35+aS]
- 煽りとしても弱い記事だった、つーことでFA?
|
 |
