- 1 名前:スレたてデーモン [03/10/20 13:50]
- 前スレがおしまいになったので建てました
お前らBSD Magazine買いましたか? No.2
pc.2ch.net/test/read.cgi/unix/1029640009/
お前らBSD Magazine買いましたか?
pc.2ch.net/test/read.cgi/unix/1000363430/
BSD Magazine 編集部のページ
www.ascii.co.jp/BSDmag/
- 963 名前:953 mailto:sage [04/07/23 20:39]
- 途中で話が変わってると思うんだけど。
言い訳がましいが、同じauditって言葉が出てきてるから紛らわしい。
ろくに>>952を読まずに書いてデマになってしまったのはすまなかったが、
俺はサードパーティ製のソフトについてのコード監査の話をしていたつもりだった。
もう書かないから堪忍。
- 964 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/23 21:22]
- え、つまり、サードパーティ製プログラムに対するコード
監査の先鞭を付けたって意味だったの?
逆でしょ。OpenBSD って、ports のコード監査はやらないっ
て明言してたはず。
情報ソースきぼん。
- 965 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/23 22:37]
- >>960
vuxml.orgでの活動を書かれてもなぁ...
(whoisすればわかるけど) vuxml.org自体はFreeBSDのsecurity officer
であるnectarがやってる活動であって、OpenBSDはそれに情報提供してるだけでそ。
あれをOpenBSDの活動と言われると非常に違和感があるよ。
# セキュアを旗印にするなら、自前でやるべき活動だろうに。
- 966 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 04:03]
- >>964
>>953が言いたいのはapatchやsendmailみたいな
3rd partyのソフトをベースシステムにimportする際には
チェックをしてるってことが言いたいんじゃないの?
それがportaudit/audit-packagesより優れている
あるいは先だったと言いたいのかどうかはわからんがね。
- 967 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 04:33]
- 正直 portaudit/audit-packages の方が仕組みとしては優秀なんじゃない?
OpenBSD にインポートされた apache にしても、あるいはOpenBSD が主開発
サイトである OpenSSH にしても、結局リモートから侵入可能なセキュリティ
ホールが見つかってる。従って、OpenBSD の人々によるソースコード監査を
盲信するわけにはいかない。たとえば実際問題として、apache を使ってて、
OpenBSD だから助かった例ってないんじゃないかなあ。穴が見つかったら
apache 本家もすぐに対応してるから、OpenBSD 使ってなくても大丈夫だし。
裏の世界で穴が有名になってたけど apache 本家が対応してなかったってこ
ともあったわけだけど、あの時は OpenBSD 版にも同じ穴が残っていたから
特にメリットなかったし。結局、OpenBSD にインポートされる際に行われる
audit によるメリットって、実際のところあまり感じない。
- 968 名前:967 mailto:sage [04/07/24 04:33]
- 逆に OpenBSD みたいなやり方のデメリットとして、ベースシステムだけで
は必要なアプリケーションが絶対的に足りないという問題がある。どうして
も ports で補充しないと、実用的じゃない。
ところが OpenBSD だと、ports になった途端に、セキュリティの確保をユー
ザ自身だけの力でやらないといけなくなる。ところが、これは実は非常に困
難だと思う。ユーザが全てのセキュリティ情報をくまなく調べて、インストー
ルされている ports に対するフィックスを適切に当てるなんて現実的には
無理。ports を使った場合、あまり意識しなくても依存関係で勝手に入って
しまうソフトウェアもあるしね。
- 969 名前:967 mailto:sage [04/07/24 04:37]
- これに対し portaudit/audit-packages は良い落としどころだと思う。
ベースシステムをスリムに保ったままで済むし、プロジェクトの側にとって
もアプリケーションを増やす手間は少ないし、ユーザーにとっても ports
や pkgsrcのセキュリティホールを調べる手間がまったくかからないし。
一度使い始めると、これなしでやってた頃が信じられなくなる。
portaudit/audit-packages を使うと、むしろベースシステムよりも ports
や pkgsrc の方がセキュリティ確保が簡単だと感じられてくる。実際に使っ
てるところはたぶん、どこでも同感じゃないかな。
- 970 名前:967 mailto:sage [04/07/24 04:38]
- なぜ OpenBSD のやり方が劣っているかっていうと、オープンソース的分散
開発の仕組みを十分に活用できてないせいだと思う。プログラムの中身につ
いて、本当に一番良く分かっているのはオリジナルの作者だから、本来なら
そちらに直してもらう方が効率的な筈。実際 OpenBSD が監査し終えた筈の
apache のセキュリティホールに、apache.org の方で気づいてフィックスし、
OpenBSD が後追いで同じ穴を塞ぐということが頻繁に起きているわけだし。
OpenBSD って、オリジナルの作者との協調が必ずしもうまくいってないんじゃ
ないかな。Theo は良くサードパーティプログラムの開発者と喧嘩しているし。
- 971 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 08:21]
- >>963
>>952「OpenBSDってportauditやaudit-packagesに相当することってやってないの」
>>953「やってるでしょ。OpenBSDが先鞭をつけた」
という流れだったらvulnerabilityのDB化の先陣を切ったと主張してるようにしか
見えませぬ。(……言葉が足らないだけの人をゴキブリみたいに叩いて回っても
仕方ないので叩き屋さんは店じまい願います)
>>965
whoisなんかするまでもなくトップページに書いてありますがな。
vuxmlの話をしてるのにその話はするなってのはどういう了見よ。
>>967
apacheのbuffer overflowでwe've fixed it four years agoってのがあった。
あなたは比較するものが違いすぎです。
DB化するだけのものと自分でみつけようとする努力を比べちゃ駄目。
- 972 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 09:06]
- > apacheのbuffer overflowでwe've fixed it four years ago
> ってのがあった。
こういう風に、監査の結果 OpenBSD のツリーでは先に解決されていたって
のも、確かにあるよね。でも実際のところ、その穴の存在を OpenBSD の開
発者しか知らなくて、悪用がされてないのであれば、OpenBSD を使うメリッ
トって、ゼロじゃないの?
で、こういう風に自分のツリーだけで解決していて、オリジナルにフィード
バックしないから、サードパーティと仲が悪くなってるような。
- 973 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 12:23]
- >>948
その割にはUNIX界全体のセキュリティには全然役に立ってないな。
ApacheとかSendmailとかのセキュリティホールをOpenBSDチームが報告したって話は聞いたことがない。
- 974 名前:973 mailto:sage [04/07/24 12:26]
- レスちゃんと嫁>漏れ_| ̄|○
つまり「we've fixed it four years ago」なんて自慢するんなら
「じゃあそれ本家に提供しろよ!」て言いたいわけで。
- 975 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 14:16]
- 現状の次スレってユニマガ読んでない俺にはうざいんだけど、どうよ。
- 976 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 14:22]
- 次号が出るかどうかわからない雑誌の単独スレってのも
存在意義が微妙じゃないかね
- 977 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 14:34]
- 次スレよりここのほうが進んでるわけだから、
BSD系雑談スレとしての役割はあるんじゃないかなあ。
「UNIX系」でまとめられちゃうと盲目OpenBSD教信者叩き
とかできまへん。
雑誌スレとしての存在意義はもともと半分もなかったし、
それでスレが廃れるならそんな雑誌もなくなって当然、
つーことで。
- 978 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 15:39]
- 実は今の話題って、実際にはこういう雑誌スレよりは、
pc5.2ch.net/test/read.cgi/unix/1005573402/
FreeBSD?OpenBSD?NetBSD
あたりでやった方がいいような話じゃない?
- 979 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 18:33]
- そこは今更自分の選択に迷わない人は読みそうにないスレタイだからなあ。
吸引力がいまひとつだ。
- 980 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 20:22]
- もはやくだ質スレあたりで寝言をつぶやいてるDQNを
誘導するだけのためのスレになってるもんなぁ
- 981 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/24 22:39]
- あのスレタイだと どれが一番か って話にしかならんわな。
BSD一般スレじゃないと今回のauditみたいな話には向かわんだろうし。
逆に雑誌ネタで一番盛り上がったのがSD記事ネタってのは
結局はBSDマガジンはその程度だったってことか……
- 982 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 01:21]
- ↓でよくね?
*BSDニュース@2ch
pc5.2ch.net/test/read.cgi/unix/961853878/
- 983 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 04:01]
- こんなとこにDQN以外を求める方がバカじゃね?
- 984 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 07:14]
- >>974
そりゃ無理。だって「奴等のcoding styleじゃきっと穴があるから徹底的にstrlcpy」
みたいな方針で書き換えてるから、そんなのfeedbackしたって「ざけんなうんこ」で
終わるよ普通。
うんこ踏みたくなかったら道を見て歩け。うんこから警告してくれるなんて甘えて
んじゃねー。OpenBSDは町内うんこ地図を作ってますがおまえらそんなの見や
しねえだろ。そのくせ踏んだらこっちに八つ当たりですか? こちとらロハで公開
してんだから勝手にお持ちください。だからその臭い口を閉じて俺の前から消えろ。
てな具合にしょっちゅうtheoが叫んでますよ。UNIX界全体のセキュリティ? 臍が
茶ぁ沸かすぜ。こちとら万年貧乏所帯よ、そんなもんに貸す手は1本もございません、
手前で勝手にやりやがってくださいよ、てなもんさね。
- 985 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 09:04]
- >>984を見て思った。
超訳theo語録はきっと売れる。
でもBSD Mag編集部で企画すんのは無理だろうなあ…
- 986 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 09:08]
- theoRからの手紙
- 987 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 10:21]
- テオイズム継承者がいるな
- 988 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 10:32]
- _ ┐ /
/ 'rlご ┥ .,,,、 呼んだ?
| |゙ `jエ |〈゙',)
゙l,,,i´ /,/,ノ"r
,r_,ノ''こ!、,,┴.
| ‘''く′ ,/ │
.r'ヘ,、 `'イ゙>'"
.厂|,`'-,, .|'ヽ、
.〜へ-―‐^''ー"
- 989 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 11:20]
- ↑
だれ?
教えて
↓
- 990 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 12:44]
- ↑
知らん
- 991 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 12:47]
- we've fixed it four years ago
ってのはコード精査して穴を塞いだんじゃなくて
無条件のstrcpy()→strlcpy()の書き換えみたいな
修正でたまたま塞がれてたってことなのかしら。
だとするとどっちもどっちなのかしら。
- 992 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 15:38]
- 無条件のstrlcpy置き換えは、穴は塞ぐかもしれんが臭いものに蓋だからバグはとれんぞ。
あんな脳みそ使わない置き換え平気でやらかす(ry
- 993 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 22:21]
- 988はストIIのガイルだと思う。
- 994 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/25 22:46]
-
www.omanco.com/
- 995 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/26 00:03]
- こうしてこのスレも本誌と同じようにひっそりと消えていくのか……
- 996 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/26 00:09]
- 1000とり合戦?
- 997 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/26 00:26]
- 997でおなかいっぱい
- 998 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/26 01:08]
- B
- 999 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/26 01:08]
- S
- 1000 名前:名無しさん@お腹いっぱい。 mailto:sage [04/07/26 01:09]
- 2
- 1001 名前:1001 [Over 1000 Thread]
- このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
|
 |
