OpenBSDプロジェクト、「OpenOpenSSL」に着手 - Heartbleed以外にもバグ

このエントリーをはてなブックマークに追加
1番組の途中ですがアフィサイトへの転載は禁止です

OpenBSDプロジェクト、「OpenOpenSSL」に着手 - Heartbleed以外にもバグ
後藤大地  [2014/04/20]

The OpenBSD project produces a FREE, multi-platform 4.4BSD-based UNIX-like operating system.
http://news.mynavi.jp/news/2014/04/20/019/images/001.jpg

OpenBSDプロジェクトは「OpenOpenSSL」と呼ばれる新しい取り組みを開始した。OpenBSDプロジェクトは
今回のOpenSSLのセキュリティ脆弱性(通称Heartbleed)を修正する取り組みを進めている間に
別のバグも発見したとしており、抜本的にコードを作り替えるべきと判断。すでに初期段階のクリーンナップを
実施しており、今後も積極的に開発を進める姿勢を示している。

続きはソースで
OpenBSDプロジェクト、「OpenOpenSSL」に着手 - Heartbleed以外にもバグ | マイナビニュース
http://news.mynavi.jp/news/2014/04/20/019/
2番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 11:55:03.15 ID:kHTDDV0p0
どんだけ開けばいいんだよ
3番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 11:57:30.92 ID:5OJgkk5I0
今公開されているソースコードがそもそもゴッチャゴチャ
4番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 11:57:46.87 ID:aSpH5AZl0
変なテーマソング作る気か
5番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 11:59:42.64 ID:2rr+Bael0
元のコードがクソだから、リファクタどころの話じゃなくて、丸ごと再設計するわって感じか。
いまのOpenSSLってトラブりがちの割りに影響大きすぎだし、良い話やね。
6番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:00:09.98 ID:orV/aShy0
SSL自体を捨てたら?
7番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:01:18.32 ID:Bf4VBjyQ0
パスワードまた変更しなきゃならないじゃないか
8番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:01:42.24 ID:2rr+Bael0
TLSとかいうのがあんじゃね? ってか、TLSも含んでSSLじゃないかと
9番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:03:32.48 ID:sa33KnAX0
Theo de Raadtがボロクソ言ってたからな
OpenSSHはしっかりしているがOpenSSLの連中は全然ダメだと

確かにライブラリの中でメモリ管理を手作りするのはどうかと思う
10番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:04:15.99 ID:GPtfvDqX0
酷い話やで
11番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:04:36.94 ID:zbAzNgKQ0
これなら素直に金払って別のを買った方が良いんじゃね
12番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:04:48.72 ID:KdJ0MXfk0
お前の情報がオープンwwww
13番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:05:06.26 ID:ytlegGSn0
Theoさんさすがやで
14番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:05:33.48 ID:Pu0NcwFR0
オプソ厨の末路か…
15番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:05:41.24 ID:8WhaIUKS0
OpenOpen2ch
16番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:06:33.13 ID:XdwpwEpx0
sshとあとtmuxもだっけ?毎日使ってるはすげえよありがとう金払ってないけどsslも書き換えるならつかうわ
17番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:08:27.10 ID:+az5q+m/0
世界中の人間がコード見るから安心なんですよ
18番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:08:29.49 ID:0FlhTIv90
抜本的にソース変えなくちゃいけないほどOpenSSLになんか見つけちゃったのかね
19番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:08:33.13 ID:57Qptdzh0
FullOpenとか名前変えてやれよ
ただの重ねだとマヌケに見える
20番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:10:34.56 ID:XdwpwEpx0
名称確定なんか
21番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:11:41.69 ID:5OJgkk5I0
>>18
ソースコード見ると分かるよ
22番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:13:36.32 ID:5hVZXIME0
>>21
ソース見れば酷さがわかるレベルのものを
名だたるIT企業が使ってたんじゃ
オープンソースの安全性とか完全に幻想だな
23番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:14:57.36 ID:5OJgkk5I0
>>22
そうだね。みんな使うの辞めた方がいいし、使ってる所は避けた方がいい。
24番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:18:40.11 ID:03vxbKrg0
GnuTLS は GPL だものねえ
25番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:19:48.22 ID:5hVZXIME0
読めない貧弱一般人が言ってもしょうがないのかもしれないが
信仰だけが先走って肝心のソース確認作業をすっ飛ばしてたら何の意味も無いってはっきりわかんだね
26番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:21:20.01 ID:LbWSMfed0
ソースコード見ただけでバグがわかるとかどこのエスパーだよ
知ったかが
27番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:23:41.30 ID:Yxf9Ka/s0
heartbleedも以前から気づいてるやつはいて、ずっと利用して盗聴してたんだろうな
そう考えると、オープンソースってダメだわ
28番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:25:12.00 ID:7WJPaUjy0
O2SSLでいいだろ
29番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:25:46.85 ID:nQyjDtw90
誰が書いたんだOpenSSL
吊るし上げろ
30番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:26:18.40 ID:F6qaWJxH0
>>26
世界中の人間が見るから云々は結局嘘か
31番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:26:54.81 ID:fSLCPBbd0
"OpenOpenSSL"ってもっとまともな名称を考えろよ。
OpenSSL2とか、FreeSSLやPublicSSLみたいな名前にしろよ…。
32番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:27:03.21 ID:zi+X9ZEZ0
あれパロディサイトじゃなかったのか
33番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:30:38.44 ID:fSLCPBbd0
>>30
誰かが見ているだろうな…、という仮定を皆が行えば誰も見ていない状態が出来上がる。

複数の人間が探し物をした時に似たような事はよく起きる。
同じ所が何度も探されたり、ある場所では誰も探していなかったり。
34番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:32:39.06 ID:DveftjDu0
セキュリティホールがOpenだったのか
35番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:38:02.74 ID:QWyPpml/0
>>31
2にしたほうが疑問なくすんなり移行しちゃうと思う
36番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:38:10.23 ID:MeBvsXq70
>>6
SSLが悪いんじゃなくてOpenSSLが悪いんだぞ
Microsoftだとか他のは何も問題起きてないんだから

タダだからって理由だけでOpenSSL選んだんだし、自己責任でしょ
お漏らししてたら損害賠償請求されるのも当然自己責任
37番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:40:49.30 ID:LbWSMfed0
>>30
heartbleedはRFC 6520に定義されているpayload_lengthがpayloadよりもはるかに大きいリクエストを解釈するときに生じるバグ
ソースコードを見ただけでこのような条件が想定できる奴っていないだろ

https://tools.ietf.org/html/rfc6520#page-5
38番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:46:57.74 ID:F6qaWJxH0
>>37
つまるところ世界中の人間が見るから安全とか言いだすのはただの宗教って事じゃん
見つけられない言い訳に興味なんか無いよ
39番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:47:02.13 ID:orV/aShy0
>>36
ごめん、てっきりSSL=OpenSSLだけだと思ってた
40番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:47:32.67 ID:0qUmib0W0
こんだけ重要なんだから、OpenSSLのバグ発見には、
高額賞金がついていてしかるべきだったよな。
41番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:53:12.40 ID:ZpTTE3Br0
そもそもTLSにHeartbeatが不要で、TCP keepaliveかアプリ層でkeepaliveしろって批判があるね。
42番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:53:12.95 ID:3XRF0u5Z0
>>37
見ただけで脆弱性を発見できる人がいたから
今回の件が公になったり、公になる前に悪用されたんじゃないかな。

監視する眼の数は十分に多かったけど、
善意の無償奉仕者より悪意の利己主義者の方が多かった。
43番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:56:29.85 ID:nQyjDtw90
ソース見ただけで問題が有るのは「感じる」よね
一流なら
44番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:58:11.36 ID:IA2S7kMh0
ソフマップのテーマが聞こえてきそうだ
45番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 12:59:34.82 ID:zT01okA+0
ガバガバだな
46番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:03:24.98 ID:Qr8wSpYC0
>>42
>善意の無償奉仕者より悪意の利己主義者の方が多かった
いや、もっと駄目なパターンな気がするんですがそれは
47番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:06:31.34 ID:sa33KnAX0
だいたいheartbeat自体が無用な機能追加だと怒ってたな
タイムアウトしてほしくなければhttpdの設定を変えろと

誰も使わない機能だから誰も本気で見ていなかった
48番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:10:19.16 ID:QgVgsY3r0
昔sshで接続切れまくるからheartbeatなんたらって書いた気がするがあれとは別物なのか
49番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:16:12.27 ID:HF/JuNFd0
さすがOpenBSDさんやで
Linux Foundationへの寄付はやめてOpenBSDプロジェクトに寄付しようかな
50番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:16:53.84 ID:LbWSMfed0
>>38
確かにその通りだけどクローズドソースならいつその脆弱性パッチが提供されるか分からないという問題があるよね
これのように
Javaの脆弱性を突く新たな攻撃、Java 6のパッチは存在せず
http://www.itmedia.co.jp/news/articles/1309/02/news023.html

>>42
そんなのクローズドソースでも同じこと言えるよね
今は脆弱性マーケットというのがあってクラッカー同士で脆弱性の取引がされているのに
51番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:21:18.78 ID:pZwqrgqO0
いまだにいまいちパッとしないOpenBSDか
52番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:26:02.63 ID:YJ31T0ch0
いとぢゅんさんがお元気だったらなぁ…
53番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:30:42.87 ID:3XRF0u5Z0
脆弱性マーケット潰しをGoogleはうまくやってる。
ChromeOSの深刻な脆弱性を報告したら懸賞金3億円、とか。
でもOpenSSLの脆弱性に莫大な金を出してくれる人はいない。

GoogleやMSが金出して財団作って、脆弱性発見のノーベル賞
みたいなものを設立して発見者に金と名誉を与えたりしないかなぁ。
54番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 13:30:51.43 ID:F6qaWJxH0
>>50
見つけられない言い訳が終わったらクローズドも同じって言うだけかよ
雑魚過ぎわろす
55番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:29:20.68 ID:TZS0Bopl0
vimも再実装されてるんだってな
56番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:34:12.10 ID:sa33KnAX0
>>55
えっ
57番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:38:31.01 ID:+T9OqCXa0
>>22
安全神話自体がオワコン
58番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:41:46.53 ID:wNpuPm2w0
neovim
59番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:43:18.32 ID:+T9OqCXa0
>>30
掲示板での>>21みたいな書き込みを検証なしで信じるのも
脆弱性が見つかった程度のことで極端なこと言うのも大概じゃね?
60番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:51:23.72 ID:+T9OqCXa0
オープンソースが駄目って・・・
世話になってるから騒ぎになってるんであって
それはオープンソースの実績と信頼以外の何物でもないのに
61番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:51:42.81 ID:orV/aShy0
>>56
現在残ってる唯一のメンテナーは大激怒だけどな
62番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:53:15.78 ID:w8lbEn9m0
読んでも穴がわからないんだったら残るのは
不特定の人間に悪意あるコードを忍ばせられるリスクしか残らないじゃん
63番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:54:34.64 ID:+T9OqCXa0
>>21
見ただけで解るなら無職ニートしてないだろ
どれだけお前は有能なんだよ
64番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 14:57:50.76 ID:xNfMUxgf0
だからメンテナーがパッチを評価するんだが

つうか、なに入れられるか判らないリスクは職業プログラマーだって一緒だろうが
65.:2014/04/20(日) 14:57:58.65 ID:wpH3D3LG0
OpenBSDはapache捨ててnginxへ移ったな
66番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:00:32.69 ID:ojBassy+0
やっぱ業務用はマイクロソフト製品に限るわ
67番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:01:54.86 ID:hzqAO9AZ0
OSSよく使うけど、バグ修正が頻繁に行われてるOSSなんて
人気があるプロジェクトの一部だけ

自分でバグを修正できる技量が無いなら仕事に使わない方がいい

みんなOSSに夢見すぎ
68番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:02:57.84 ID:+T9OqCXa0
>>64
許可を受けなければ取り込まれないのな
そういったら「許可するやつに問題があれば・・・」だと
それを更に監視できるのがオープンだってのに
てかそこまで慎重なら秘密主義でプロプラなんてどうするんだと
69番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:05:47.60 ID:ojBassy+0
オープンソースはコンピューター業界を崩壊させる
70番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:05:47.91 ID:7JL4nOVK0
>>64
読んでもわかんないなら評価できてないじゃん
プロプラと同じって既に安全神話死んでるがなw

ついでに言えば会社に潜り込んでやるのと匿名でも可能って結構な差だと思うがねえw
71番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:06:11.42 ID:7JL4nOVK0
>>64
読んでもわかんないなら評価できてないじゃん
プロプラと同じって既に安全神話死んでるがなw

ついでに言えば会社に潜り込んでやるのと匿名でも可能って結構な差だと思うがねえw
72番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:10:23.05 ID:vpvFcZrU0
>>67
過剰な最先端アークテクチャーを追い求める人はいるよな
そういうのはどうかと思うけど、安定化バージョンを使うのは問題ないだろ
73番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:16:51.16 ID:yxJ1URS50
opensslのソース凄すぎ。マクロ使いすぎて読んでて発狂する。
74番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:20:21.43 ID:yxJ1URS50
>>48
プロトコル違うけど考え方は同じ。
nat keepaliveする意味もある。
75番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:25:26.45 ID:wNpuPm2w0
>>72
安定バージョンも一年経てば脆弱性の固まり
76番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:27:07.15 ID:+T9OqCXa0
安全神話が終わるだけで安全性の評価は終わらない
監視の仕組みがちゃんと働いて脆弱性が報告されたわけで
クローズしながら「真実です」なんて通らない
77番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:28:09.29 ID:sdQGvF+Q0
ニコスがハックされてたね
78番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:39:35.76 ID:X5XVfMkK0
>>76
10段階評価で11とかジョークが飛ぶ脆弱性が
2年以上放置されてても「監視の仕組みが働いている」って言い張れるなら
どこの組織だって監視の仕組みは働いているわ
79番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 15:42:39.65 ID:bau0NXfp0
報告しても良くて発見者として謝辞が送られる、最悪河合一穂みたいに逮捕される
だけだから、ブラックマーケットに売った方が良い。
80番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 16:04:12.13 ID:kF6btTpZ0
>>53
オープンソース財団って言えばDebian(正確にはGNUだっけ?)とかが無かったっけ
そういうのあるんだろうけどGoogleみたいにお金出せるほど潤沢ってわけじゃないかと
81番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 16:07:10.67 ID:87QC/b8T0
だからOSSはやめとけとあれほど・・・
82番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 16:28:53.14 ID:wccIatRk0
嫌なら使うな
83番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 16:38:05.03 ID:cKDPBw090
OpenSSLのコードって色んな意味で汚いんだよな

例えば
https://github.com/luvit/openssl/blob/master/openssl/crypto/bio/b_sock.c
これのBIO_get_host_ip()っていう120行目からの関数を見てみると、
少なくとも下3つぐらいの問題にはすぐ気づく

1) 127行目で、get_ip()という別の関数の戻り値を変数iに代入している。
 iという名前をこういう用途で使うのはどうか

2) と思ったら、同じ関数の159行目では、変数iは全く別の用途(ループ)に
 使われている。こっちの使い方のiは一般的だが変数使いまわすのはどうよ

3) 戻り値が0や1等、全て即値で書かれている。意味のある定数等を使わない
84番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 16:41:30.48 ID:cKDPBw090
自前メモリアロケータもそうなんだが、OpenSSL_ApplinkってWindowsにおける
リンケージの問題(アプリ側とDLL側が異なるCランタイムを用いている場合に
Cランタイム空間が共有されないことによる問題)を解決するための謎独自機構も
なかなか腐ってていい

OpenBSDでやってるのは完全にOpenBSD用だから、多分少なくともUnixライクな
OSでしか使えない
修正が本家にバックポートされるのかどうか……
85番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 17:14:15.84 ID:vMUnpgxP0
ソースに問題というか、ある意味で玄人が好みそうなトリッキーなテクニックが多用されてる印象はある。
たとえば a=malloc(); *a=1; free(a); のすぐ後に(間髪入れずに) b=malloc(); すれば *bは既に1 であるはずだ。だからわざわざ bが1 かを確認する必要は無い。的な玄人ドヤ顔テクニックが使われてる箇所もある。

ただ、セキュリティーの為のソフトへ、危うい玄人テクニックを詰め込むのは、セキュリティー的目玉の確保という点でも不利だろ。
誰でも読めるような教科書的な真面目バカコードの方が安全だろ。それだと玄人風にドヤ顔できないし遅いが、より目玉を確保できる点でも有利で安全だろ。
86番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 17:26:13.87 ID:sa33KnAX0
>>85
それカーネルでいうとspinlockをかけてなければ普通にアウトじゃん
87番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 17:36:47.69 ID:vMUnpgxP0
>>86\nだから「こんなコードなら最初から全部書き直した方が良いだろ」とOpenBSDが判断するのも当然だと思うわ。\nこんな玄人コードが入り組んで依存関係で絡み合って動作してる状態なのだから、もはやリファクタリングでどうにかできるレベルじゃないんだろ。
88番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 17:37:06.65 ID:/J9G2T2w0
GNU TLSの空気っぷり
89番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 17:38:35.42 ID:ml6SX1ug0
これ以上openするとこないが
90番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 17:41:22.23 ID:5d1PZa7S0
もし本当にそれだけのコードだとしたら誰も「間髪入れず」を保証出来ないので
普通にアウトじゃね? セキュリティ以前の糞コードかと…
91番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 17:53:48.07 ID:aYjoBVFJ0
>>88
GnuTLSも重大なバグ抱えてるみたいじゃん
http://www.zdnet.com/gnutls-big-internal-bugs-few-real-world-problems-7000027041/
92番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:07:32.02 ID:+T9OqCXa0
>>78
2年も放置だって?!
脆弱性が発見された2年前にニュースになるべきだったな
93番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:26:43.46 ID:kF6btTpZ0
>>92
この脆弱性がマージされてから2年以上誰も気が付かなかったって事
脆弱性が明るみになった事自体つい最近の話
94番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:27:21.43 ID:cYb72xMx0
>>92
皮肉で言ってるのか知らんけど
「表」で見つかってからの対応期間の話なら
例の林檎のバグも短かったですよと
95番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:28:44.26 ID:nayF5MHE0
どんだけオープンなんだよ
ガバマンSSL
96番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:31:48.07 ID:EqeMlh7V0
SSLとSSIの違いがわからん
97番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:49:31.83 ID:+T9OqCXa0
>>93
ブラックなコミニティで脆弱性の情報が出回ってた訳でなく
変更箇所のミスに2年間誰も気付かなかったぽいから
監視の仕組みなんて意味がないどころか有害だという主張なのかな?
98番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:55:41.54 ID:t7BSv0Ub0
開発者A「素人には到底理解不能な俺のコードに酔いしれろッ!!」
開発者B(なんだこのコード…。検証する気も失せるわ。。。)
99番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:57:05.82 ID:j4PazW3y0
だいたいこういう風に書きましょうみたいな決まりがあるんじゃないのか
100番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 18:57:18.47 ID:cYb72xMx0
>>97
ブラックコミュニティで出回ってなかったってのは根拠でもあんの?
101番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 19:09:22.09 ID:Yxf9Ka/s0
知ってる人は知っていて、ずっと盗聴いていた可能性は十分あるわな
102番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 19:40:40.54 ID:MCULdtwh0
>>83
0,1の即値はboolだと思えば許していいだろ
103番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 19:43:21.51 ID:l/NpqnZN0
美しくないと言ってブチ切れまくるOpenBSDの開発者達
104番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 20:29:53.66 ID:vplbfcsa0
opensslもgnutlsもダメならHaskellの時代くるんちゃう?
105番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 20:32:08.90 ID:cKDPBw090
>>102
その関数から参照されてる同じファイルの587行目のget_ip()って関数見ると分かるけど
そっちでは0,1,-1を返してるんだよ
関数いくつか見れば、戻り値の方針がフリーダムすぎるのが見て取れる
106番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 21:09:12.78 ID:E1j8Ae5f0
>>97
監査の仕組みが形骸化してるとはこのスレでも散々言われてるが監査の仕組みが有害なんて誰も言ってないだろ
形骸化してる状態を放置していたのは有害以外の何物でもないけどな
107番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 21:11:46.69 ID:sa33KnAX0
はは

OpenSSL Cleanup: Hundreds of Commits In a Week
http://yro.slashdot.org/story/14/04/20/0411221/openssl-cleanup-hundreds-of-commits-in-a-week
108番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 21:15:29.47 ID:sa33KnAX0
内容も紹介

New submitter CrAlt (3208) writes with this news snipped from BSD news stalwart undeadly.org:
> "after the news of heartbleed broke early last week, the openbsd team dove in
> and started axing it up into shape. leading this effort are ted unangst (tedu@)
> and miod vallat (miod@), who are head-to-head on a pure commit count basis with
> both having around 50 commits in this part of the tree in the week since ted's
> first commit in this area. they are followed closely by joel sing (jsing@) who
> is systematically going through every nook and cranny and applying some basic
> knf. next in line are theo de raadt (deraadt@) and bob beck (beck@) who've been
> both doing a lot of cleanup, ripping out weird layers of abstraction for
> standard system or library calls. ... All combined, there've been over 250
> commits cleaning up OpenSSL. In one week.'"

You can check out the stats[1], in progress.

http://anoncvs.estpak.ee/cgi-bin/cgit/openbsd-src/log/lib/libssl
109番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 21:27:23.09 ID:aYjoBVFJ0
>>107
OpenOpneSSLが使い物になるまで数年掛かりそうだなこりゃ
110番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 21:51:21.55 ID:+T9OqCXa0
>>106
>監査の仕組みが形骸化してる
>監査の仕組みが有害なんて誰も言ってない
>形骸化してる状態を放置していたのは有害以外の何物でもない

取り敢えず有効か有害かについては結論を控えるのね
でも
オープンソースゆえに脆弱性が悪人に発見され悪用された「可能性を否定できない」
それは監査の仕組みの形骸化を意味してる
よって
監査の仕組みが形骸化してる現状ではOSSなんて信用できない
むしろ有害以外の何物でもない
排除しろ

当たってる?
111番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 21:54:01.17 ID:sa33KnAX0
>>109
新しいプロトコルを作るわけじゃないから本腰入れれば割に早くできると思う
112番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 22:20:03.89 ID:kF6btTpZ0
>>110
ニコスだかで悪用されたって話はもう出てなかったっけ
ここにスレも立ってたと思うけど

あとなんでそんな極端な論理に集約しようとするのか分からんけど
クローズドソースであれオープンソースであれ一長一短があるんだから採用するバランスが大事でしょ

もしかしてレスつけてる奴みんなオープンソースの敵だとか思ってない?
113番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 22:22:50.82 ID:afQNTPat0
OpenOpenSSLって名前がださいな
SecureOpenSSLとかにしろよ
114番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 22:50:52.99 ID:+T9OqCXa0
>>112
実績しか見ないけど
別にオープンソース思想の支持者じゃない
オープンソースの恩恵を受けてきたと
それで否定的な意見が聞きたかった

ニコスについてはゼロデイアタックでトゥーイヤーアタックではないからオープンソースはあまり関係ないような気がする
115番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 23:19:44.73 ID:kF6btTpZ0
>>114
実績じゃなくてちゃんと実情を見ようよ
実績だけで採用したから今回みたいに事故ったわけで
あともう既に否定的な意見は上にいっぱい書かれてるかと
ソースの難読さ、変則的なコーディングの多用、それをメンテナが良しとしてしまった死角
それに今回の攻撃はログに残らないからどれが穴を悪用された不正使用なのか分かってない部分も多いんじゃない
116番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 23:27:59.13 ID:4srVTDwN0
マイクロソフトとは別の民間企業が13年間パッチ作り続けてるwindows3.1ですら
未だにセキュリティホール見つかったりしてるし、幾ら時間をかけてメンテ続けてもバグはある
117番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 23:38:46.80 ID:7vS3NUPH0
オープンソースに固有の問題てのが見当たらないがいったい何を問題としているのか
普及した物の品質が優れた物であるとは限らないなんてコレに限った話じゃないしな

人脈とかドキュメント量とかプロプラなら価格とライセンス形態か製品の品質とはまったく関係ないもんが結構採用理由の上位を占めるもんよ
118番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 23:51:13.25 ID:+T9OqCXa0
>>115
>ソースの難読さ、変則的なコーディングの多用、それをメンテナが良しとしてしまった死角
これってOpenSSL固有の問題と読めるんだけどオープンソース界の実情なのかな
もし実情が悲惨ならOpenBSDだって同じ穴の狢じゃないかな
よくもそんなもの(OpenSSL)を売りつけてくれたなと

やっぱり実績ってソースのことだと思う(信者なのか?)

ニコスの件については「インシデントのタイムライン」というのを参考にさせて貰った
119番組の途中ですがアフィサイトへの転載は禁止です:2014/04/20(日) 23:57:07.53 ID:kF6btTpZ0
>>118
否定的な人が言ってるのは
すべてのソースを優秀な人間が見ているわけではないってことでしょ?
自己責任論に近いけど
オープンソースの実績におんぶにだっこな思想してるからこうなったとも言えるわけで
120番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 00:13:33.05 ID:X0QbqnJ/0
今回のバグってじゃあクローズドソースやったら起こらなかったのか
というと違うと思うんやが

このバグの発見の経緯をよう知らんから間違っとるかもしれんけど
コードが公開されとるのに脆弱性が2年も見過ごされとったいうことは
クローズドソースならもっと放ったらかしになってた可能性があるんとちゃうの?
121番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 00:27:25.55 ID:1XsXJDDQ0
>>120
クローズドソースだから危険←という証拠を示すものではない
クローズドソースだから安全←という証拠を示すものではない
オープンソースだから危険←極端かもしれんが一例
オープンソースだから安全←ではないという反例
122番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 00:28:27.66 ID:H7tCoG3g0
いや、あんまこの種の問題にオープンかクローズドかは重要じゃないな
最終的にブラックボックステストで検証するもんだろし

問題があったりメンテナがアレだったらフォークできるってことがメリットだな
123番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 00:45:23.72 ID:X0QbqnJ/0
いま調べたらこのバグはソース読まれて判明したんやなくて
セキュリティ屋が外から叩いてみてわかったみたいやね

>>121
すまん、じゃあこのインシデントに
オープンソース「だから」って要素はあるんかいな?
124番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 00:53:26.67 ID:1XsXJDDQ0
>>123
世界中の人がソースを見るので、おかしな部分も直される、だから安全、みたいな
根拠もない欺瞞が、オープンソースの理想像とゴッチャにされてばら撒かれて
被害者がやたらと増えた、とはいえよう
125番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 01:00:36.87 ID:PnwiH7tF0
ソース読んで微妙すぎるスクラッチから書き直したい、ぐらいに思っていたとしても
OpenSSLみたいに歴史も運用実績もあり、それだけテストされ
バグも潰されてきている「筈」のものを捨てるには蛮勇が必要で
逆方向の理性が普通は働く
まあスクラッチから書き直すとかまではせずにforkで済ませてるのは正しい判断だわ

しかし直すのはいいが、これ本家の方に取り込まれるのかね
126番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 01:13:43.03 ID:X0QbqnJ/0
>>124
> 世界中の人がソースを見るので、おかしな部分も直される、だから安全、
ここは「より安全」て意味ならある程度根拠ある話やない?
ただしOpenSSLの場合は言うほどみんなコードを見たり洗ったりしてへんかったってだけで

セキュリティの世界って「Aは安全」「Bは危険」みたいな絶対的な評価やなくて
「Bと比べるとAの方がより安全」みたいな相対的な考え方するもんやと思うんよ
127番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 01:18:29.42 ID:UctA/dFT0
今回のはオープンソースが安全かどうかではなく
安全でないと分かった時にどう対処するのか、の問題だと思う
128番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 04:15:46.07 ID:5wlx0lib0
なんつーか「ひろゆきが作った2ちゃんねるは犯罪集団だ」みたいな話にしようとしてる人が多いな
129番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 09:58:41.19 ID:Klm2uv660
そっちの言い方だとプロプラだから質は良くないって言ってるほうに近い

2chは誰でも見れて誰でも発言できるから集合知や自浄作用が機能してる(という欺慢)
って言ったほうがオープンソースの良し悪しに則した表現だと思う
130番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 10:20:27.21 ID:HDGeQZND0
オープンだろうがクローズだろうがツッコミ入れてくれる人が居なくなったら終わりやな
131番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 12:07:55.84 ID:O+Ygho2ci
ところでお前らDragonflyBSDの事はすっかり忘れてるよね
開発陣に日本人が少なくてハゲそう
はよ来い
132番組の途中ですがアフィサイトへの転載は禁止です:2014/04/21(月) 23:39:52.35 ID:1XsXJDDQ0
>>126
その根拠は、前提として、コミュニティなり開発者陣がみんなソースを見たり洗ったり
していること、ということがあろう
ドマイナーでコミュニティも何もないOSSならともかく、今回OpenSSLというメジャーどころで
その前提が成り立っていなかった
よって、より安全、と推測する根拠というものが、ない

>セキュリティの世界って「Aは安全」「Bは危険」みたいな絶対的な評価やなくて
>「Bと比べるとAの方がより安全」みたいな相対的な考え方するもんやと思うんよ
その「安全」というのは、たとえば暗号化方式を比較して、解読なり偽造なりにかかる
リソース(時間、人、CPU、金、他)はどちらが大きい(≒解読しづらい、偽造しづらい)か
という評価軸で使ってはいるが、でもそれは、実装に脆弱性がない、という事が前提
133番組の途中ですがアフィサイトへの転載は禁止です
>>131
忘れたわけじゃないけど語ることがないし