アカウント名:
パスワード:
税金で作られたコードは、その大半は行公務で使われるものだから、そんなもんが公開されたらセキュリティホール探しが始まって市民の個人情報や特許情報などダダ漏れになる未来しか見えない
セキュリティーホールがあるんだったらどのみち、公開して情報がダダ漏れになるか、公開せず情報が大陸で利用されるかのどちらかやぞ
やぶへびという言葉があってだね。
攻撃のROIってご存じですか。何でもゼロイチ思考で議論するの好きくない。
データベースサーバへのログイン情報や、固定のソルト、キーなんかがハードコードされてるケースだと公開を前提にしないならそれ自体は一応セキュリティホールではない。けど公開したら死ぬ。
軍用のコードが気になるわ 税金だよねぇ
軍用ではなく、防衛省(防衛庁)向けですが私が給料貰って書いたコードの95%はこれですね例えば数値の桁数すら「秘」なのにコード公開なんて無理(当然「匿名の臆病者」ポチッ)
Sさん。見てますよ?
桁数わかれば最大値から限界が見えてくるので「すら」なんて言えない。隊員の生命にかかわるし、下手した国家の命運だって。決して大袈裟と言う勿れ。
判断するのもただじゃないんだがね間違ったときのリスクを考えるとかなり高コストやでとりあえず秘密にしとくっていうのはそんなおかしくない判断
そうしたら、たとえば、当然、自治体はAndroid系スマホは禁止ですよね。
# まあ、ガラケーのころから、顧客の番号登録したことなんてないですけど。「おっことす」ってのがあるので。
バイナリを出してる時点で解析人員を持ってる相手には実質的に公開されてるも同然だからソースを公開しないセキュリティ(笑)はそれ自体がサボタージュ工作と基本的に変わらんよ
セキュリティってこの手の素人勝手流事故との永遠の戦いだよな機密を扱うクライアントの画面を監視と称してネット配信するシステムとかいつでも機密情報を紛失できるように全て物理メディアを介する体制とか過剰な安心感を演出するドアストッパー前提のカードリーダー付きドアとか
いやそれも話が違うな、オンラインサービスだったら、ソースコードもバイナリも見せないで済むのが普通だし。
背景知識まで丁寧に説明すると、キュリティーホールを見つけることで、「ここで SQL Injectionできるじゃん」「ここで、オーバーフローさせてバイナリ差し込めるやん」とか発見して、その結果データがダダ漏れになるという一例。
SQL Injectionならソースコードなんか見ずにテスト用の文字列ぶち込んだ方が早いソースが公開されているかどうかってのはあまり関係ない時代になってきてるプロプライエタリなWindowsやiOSが安全で、オープンソースなLinuxやAndroidは危険か?んなこたーないだろってン万回繰り返されたやり取り
ええそうですね技術者にはわからない高尚な理論で組まれているので仕方がないのでしょう
外務省、公開鍵の情報公開請求を拒否するhttps://security.srad.jp/story/19/04/25/0914259/ [security.srad.jp]
そのセキュリティホールつぶしにお金がでるなら頑張ってパッチ作ってくれる奴は少なくないと思うんだがね。
いまのオープンソース界をみても少ないと思います。お金は出ないでしょうし
そんなもんが公開されたらセキュリティホール探しが始まって市民の個人情報や特許情報などダダ漏れになる未来しか見えない
逆ですね国民の情報と税を軽んじています
事前にソースを公開しβテストもしてありがちなセキュリティホール潰してから運用すべきものでしょう
先生方やn次請けまでの間に抜かれた分で開発されるものがまともである前提でることがおかしいそんなものをネットに繋ぐのは売国行為しているようなものでしょう
# 「ろーかるねっとだからあんぜんなんだー」で抜かれる未来
βテストは民間もやってるのでよくわかるがソース公開が弱いな
廃課金ユーザーや株主はソース見せてもらえるのかな?税の権利の拡大解釈?
スラドでも未だにこんな言説唱える人いるんだね
Re:盗人猛々しい (#575354) | エレコムは金輪際リナックスを使わない | スラド [srad.jp]
梶浦マネージャは「通信機器のようにセキュリティーが絡む製品ではソースを開示すると安全性が低下する恐れがある」
もう18年前に通った道なのに
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
セキュリティー上の問題 (スコア:1)
税金で作られたコードは、その大半は行公務で使われるものだから、
そんなもんが公開されたらセキュリティホール探しが始まって
市民の個人情報や特許情報などダダ漏れになる未来しか見えない
Re:セキュリティー上の問題 (スコア:4, すばらしい洞察)
セキュリティーホールがあるんだったらどのみち、公開して情報がダダ漏れになるか、公開せず情報が大陸で利用されるかのどちらかやぞ
Re: (スコア:0)
やぶへびという言葉があってだね。
Re: (スコア:0)
攻撃のROIってご存じですか。
何でもゼロイチ思考で議論するの好きくない。
Re: (スコア:0)
データベースサーバへのログイン情報や、固定のソルト、
キーなんかがハードコードされてるケースだと
公開を前提にしないならそれ自体は一応セキュリティホールではない。
けど公開したら死ぬ。
Re:セキュリティー上の問題 (スコア:2)
軍用のコードが気になるわ 税金だよねぇ
Re:セキュリティー上の問題 (スコア:1)
軍用ではなく、防衛省(防衛庁)向けですが
私が給料貰って書いたコードの95%はこれですね
例えば数値の桁数すら「秘」なのにコード公開なんて無理
(当然「匿名の臆病者」ポチッ)
Re: (スコア:0)
Sさん。見てますよ?
Re: (スコア:0)
桁数わかれば最大値から限界が見えてくるので「すら」なんて言えない。
隊員の生命にかかわるし、下手した国家の命運だって。
決して大袈裟と言う勿れ。
Re:セキュリティー上の問題 (スコア:1)
ここは民間のソフトで賄う、ここはデータが流出しなければよい。ここはソースコードの流出もダメって判断すれば良いだけ。
そうすりゃ、そもそも手元のコードの総量が減るので、技術者にも優しい。と
# JADGEとか各種FCSのソースとか公開されても困る。
Re: (スコア:0)
判断するのもただじゃないんだがね
間違ったときのリスクを考えるとかなり高コストやで
とりあえず秘密にしとくっていうのはそんなおかしくない判断
Re: (スコア:0)
そうしたら、たとえば、当然、自治体はAndroid系スマホは禁止ですよね。
# まあ、ガラケーのころから、顧客の番号登録したことなんてないですけど。「おっことす」ってのがあるので。
Re: (スコア:0)
バイナリを出してる時点で解析人員を持ってる相手には実質的に公開されてるも同然だから
ソースを公開しないセキュリティ(笑)はそれ自体がサボタージュ工作と基本的に変わらんよ
セキュリティってこの手の素人勝手流事故との永遠の戦いだよな
機密を扱うクライアントの画面を監視と称してネット配信するシステムとか
いつでも機密情報を紛失できるように全て物理メディアを介する体制とか
過剰な安心感を演出するドアストッパー前提のカードリーダー付きドアとか
Re: (スコア:0)
いやそれも話が違うな、オンラインサービスだったら、ソースコードもバイナリも見せないで済むのが普通だし。
Re:セキュリティー上の問題 (スコア:1)
Re:セキュリティー上の問題 (スコア:1)
背景知識まで丁寧に説明すると、
キュリティーホールを見つけることで、「ここで SQL Injectionできるじゃん」「ここで、オーバーフローさせてバイナリ差し込めるやん」とか発見して、その結果データがダダ漏れになるという一例。
Re: (スコア:0)
SQL Injectionならソースコードなんか見ずにテスト用の文字列ぶち込んだ方が早い
ソースが公開されているかどうかってのはあまり関係ない時代になってきてる
プロプライエタリなWindowsやiOSが安全で、オープンソースなLinuxやAndroidは危険か?
んなこたーないだろってン万回繰り返されたやり取り
Re: (スコア:0)
ええそうですね
技術者にはわからない高尚な理論で組まれているので仕方がないのでしょう
外務省、公開鍵の情報公開請求を拒否する
https://security.srad.jp/story/19/04/25/0914259/ [security.srad.jp]
Re: (スコア:0)
そのセキュリティホールつぶしにお金がでるなら頑張ってパッチ作ってくれる奴は少なくないと思うんだがね。
Re: (スコア:0)
いまのオープンソース界をみても少ないと思います。
お金は出ないでしょうし
Re: (スコア:0)
そんなもんが公開されたらセキュリティホール探しが始まって
市民の個人情報や特許情報などダダ漏れになる未来しか見えない
逆ですね
国民の情報と税を軽んじています
事前にソースを公開しβテストもして
ありがちなセキュリティホール潰してから運用すべきものでしょう
先生方やn次請けまでの間に抜かれた分で開発されるものが
まともである前提でることがおかしい
そんなものをネットに繋ぐのは売国行為しているようなものでしょう
# 「ろーかるねっとだからあんぜんなんだー」で抜かれる未来
Re: (スコア:0)
βテストは民間もやってるのでよくわかるが
ソース公開が弱いな
廃課金ユーザーや株主はソース見せてもらえるのかな?
税の権利の拡大解釈?
Re: (スコア:0)
スラドでも未だにこんな言説唱える人いるんだね
Re:盗人猛々しい (#575354) | エレコムは金輪際リナックスを使わない | スラド [srad.jp]
もう18年前に通った道なのに