パスワードを忘れた? アカウント作成
13468378 story
プログラミング

Linus Torvalds氏、セキュリティ技術者に怒る 95

ストーリー by hylom
近視眼的に適当なものを突っ込まれては困るという話 部門より
あるAnonymous Coward曰く、

セキュリティ関係ではたびたび怒っている気がするLinusだが、今度はカーネル堅牢化を意図して作成されたパッチが他の事をないがしろにしているとして、Linuxカーネルのメーリングリストにお怒りのメールを投げたらしい(LKMLZDNet JapanSlashdot

問題のパッチに対しLinus氏は、カーネルのコアな部分に影響するにも関わらず、きちんとしたものでない修正や変更を加えようとするセキュリティ研究者が多く信用できないと述べ、こういったものに時間を取る暇はないと述べている(Linus氏による返信)。こういったパッチを容易に取り込んでしまうと広範囲かつランダムに発生するような問題を生んでしまうとも述べている。

  • こことかを見ると、そう単純でもないんだろうな、とは思う。

    ref
    [Linux Kernel Watch番外編:セキュリティをやってるやつらは狂っている?! - @IT] [atmarkit.co.jp]

    --
    M-FalconSky (暑いか寒い)
    ここに返信
  • by Anonymous Coward on 2017年12月01日 8時03分 (#3321666)

    だからって質を重視して迅速なリリースができなきゃ、それはそれで怒るんでしょ?

    ここに返信
  • by Anonymous Coward on 2017年12月01日 8時21分 (#3321671)

    あの使いにくいSELinuxで十分だというのだろうか?
    問題となったアイデアはファイルを操作するプログラムをホワイトリストに登録して管理するもので、Windows 10 ver.1709のWindows Defenderで導入された「コントロールされたフォルダーアクセス」と似たような考え方のものです。
    チェックのために明らかに性能が落ちるし、美的感覚にそぐわなかったんでしょうね。

    ここに返信
    • by Anonymous Coward on 2017年12月01日 8時52分 (#3321683)

      セキュリティは大事だけどその前にまず安定することが大事だ
      安定性を犠牲にしてまでセキュリティ追っかけたって安定してないなら誰も使わない
      セキュリティセキュリティって言ってる奴らは狂ってやがる!っていう
      主張を予約するとリーナスはいっているんだと私は読み取ったのですが
      あなたはリーナスの主張のどこからそう判断したんですか?

      • Re: (スコア:0, オフトピック)

        by Anonymous Coward

        > 予約するとリーナス
        予約はリザーブでは?

        • by Anonymous Coward

          それより「リーナスはいっている」のほうが気になった。インテルかよ

          • by Anonymous Coward
            トランスメタだよ。
            いや、もうリーナス入ってないけど。というよりトランスメタ自体ないけど。
      • by Anonymous Coward

        > っていう主張を要約するとリーナスはいっている
        はしょりすぎぃ!

      • by Anonymous Coward

        セキュリティ担保してから安定させないと駄目なんじゃ…って思うんだけど

        • by Anonymous Coward

          いや?わからない脆弱性が問題なのであって
          わかっている脆弱性なら他に対処のしようもあるので。

        • by Anonymous Coward

          このパッチ、メモリアクセスにホワイトリストがとか書いてあるぞ。あなたが今日する行動をすべて列挙しなさい。それに少しでも違反した場合テロリストとして射殺しますと言われたら、テロリストは撲滅されるかもしれないが、そのセキュリティでいいのか?セキュリティにもいろいろレベルがあるよね。

    • by Anonymous Coward on 2017年12月01日 8時35分 (#3321675)

      > We _still_ have outstanding issues with the structure randomization corrupting the kernel.
      (カーネルがランダムに破壊される問題を抱えている)

      十分なテストがされていないから拒否られているわけで、SELinuxで十分だとか
      そんな話ではないでしょう

      • by Anonymous Coward

        > > We _still_ have outstanding issues with the structure randomization corrupting the kernel.
        > (カーネルがランダムに破壊される問題を抱えている)
        細かいことだけど、structure randomizationがkernelをcorruptingしてるって言ってるような。

    • by Anonymous Coward

      Linusが一つしか方法が無いのは嫌だって事もあってTOMOYO Linuxもメインラインに取り込まれてメンテされ続けてます。

      • 利権を握った独裁者が、他の利権者間の調整のための道具として使ったネタだからなぁ。
        もう三年くらいで Linux 第一世代が引退するからそのあとだなぁ。Linux 自体が瓦解するかもしれないけど。
        Microsoft に取り込まれて終わり。かもしれないしな

        • by Anonymous Coward on 2017年12月01日 11時23分 (#3321765)

          ここ数年、LinuxPC常用していても、カーネルは勿論、カーネルのネタさえ追ってないなぁ。
          そんなことを考えながら近況を少し確認。

          https://www.linuxfoundation.org/2017-linux-kernel-report-landing-page/ [linuxfoundation.org]

          PDF資料のA14に、企業別コントリビュートが載っていたが、一番大きいIntelで13.1%、RedHatで7.2%。
          MSは0.6%より低いらしく、リストに載ってなかった。

          見るならこっちかもね。

          2017年版Linuxカーネル開発レポート公開――支援している企業トップ10とは?
          http://www.atmarkit.co.jp/ait/articles/1710/30/news032.html [atmarkit.co.jp]

          なお、2016年のレポート以降、Linuxカーネル開発を支援しているトップ10企業は、Intel、Red Hat、Linaro、IBM、Samsung、SUSE、Google、AMD、Renesas Electronics、Mellanoxとなっている。

          # かなり貢献度の大きいらしい Linus Walleij ってどんな女性なんだろうなぁ...

        • by Anonymous Coward

          > Linux 自体が瓦解するかもしれないけど。

          するわけないじゃん
          Linuxのコントリビューター見りゃわかるとおり、Linux自体がすでに政治商材として多数の企業がカネ払ってプログラマー雇って開発させて自分の影響力を維持する伸ばすと暗躍してるもの
          いまさら瓦解なんてしないし、できない

          • by Anonymous Coward on 2017年12月01日 10時43分 (#3321743)

            むしろ、それが問題になるんでしょ。

            今は、Linus のところが絶対正義。分派しようが自由だし、そっちが発展したところで、最終的に本家の利益になるし、本家が変わることはない。
            Linus が主でなくなると 自分がその位置につきたがって瓦解って可能性がある。
            分派しても、他方の成果は取り込めるから関係ないとか思っても、分派したところが自分が優位になろうとして特徴つける方向に走ったら、Linux だけど互換性はないってのが乱立しはじめる。
            滅びることは無いだろうけど、今のような魅力的なプラットホームでいられるかは、有力企業の政治力次第になってしまう。

          • by Anonymous Coward on 2017年12月01日 10時49分 (#3321747)

            いや、独裁者が居なくなった結果、各企業の思惑によって四分五裂するってことじゃない?
            結果的に瓦解すると。Un*xが乱立したよーな状態に戻ると。

            • by Anonymous Coward on 2017年12月01日 13時11分 (#3321809)

              やっぱり独裁ってのは効率的だよな。
              Linusが去った後、なんとかファンデーションとかが乱立・四分五裂してにっちもさっちも行かなくなるのが目に見える。

              • by Anonymous Coward

                つまり,それを見越して世界の反対側(ってどこ)に第二 Linux Foundation を密かに作っておくべきだと(違.
                # 本屋で並んでいた上下巻を買ったら何故か話がつながらなかったので,よく見たら違う話の上下だったorz
                # 期せずしてネタバレ喰らったショックで読むの中断しているAC

              • by Anonymous Coward on 2017年12月01日 17時41分 (#3321912)

                なんかの本の上下を買って読んでいい話だと感動していたが後日、本屋でその本の中を見つけた、って話を思い出した。

            • by Anonymous Coward

              じゃあいずれ、FreeLinuxとNetLinuxとOpenLinuxと...

  • by Anonymous Coward on 2017年12月01日 9時22分 (#3321696)

    誰がどう考えても正論だろ。
    今回ばかりはLinusの言ってることの方が正しいと言わざるを得ないわ。

    HARDENED_USERCOPYオンで使ってる輩のためだけにスラブキャッシュにまで及ぶ大パッチをわざわざRC 1に投下とか…。バカだろ。
    LinusやTheo君でなくとも怒るわ。
    そんなものはRC版でなく次期開発版以降のリポジトリに投げろ。

    もっと言えばKees Cookとかいうセキュリティ研究者は、まず貴社の売り物であるAndroidのセキュリティを優先して研究し、さっさとKRACKs対策をしろ。
    正直、KRACKs脆弱性の影響など心配するまでもないとは思うが、こんなしょうもないパッチをRCに投げるほど暇を持て余しているならKRACKs対策の方を先にやれ。
    HARDENED_USERCOPYを必要としている人よりも、Android用のKRACKs対策を必要とする人の方がどう考えても多い。

    ここに返信
  • えっ? そういうことじゃなかった?

    ここに返信
    • by Anonymous Coward

      歳とると怒りのコントロールが下手になるってのも更年期障害の一症状らしいですし。

  • なんか「セキュリティ」が錦の御旗みたいになってるよね。「品質」なんてどうでもいいって感じで。
    セキュリティは品質の一部であることは確かなんだけど、全部に優先するものではないのだけど。

    個人的にホント辟易してるのは会社支給のPCが品質の悪い「セキュリティソフト」で酷い有様なこと。
    1日1回は再起動しないとOSごと死ぬとか何十年前のPCだよまったく・・・

    ここに返信
    • 1日1回再起動とかどうかんがえてもクソなソフトが存在するのは仕方ないだろ
      そんなクソな運用状況を放置して現場に負担を押し付けてる会社の体質が
      何十年前のまま古いのが原因だね。セキュリティーとか関係ない
      責任転嫁は問題の解消を妨げるYO

      • by Anonymous Coward

        て議論に当然進むべきところが「セキュリティだから」で終わってしまうとこに元コメはいらついてるんじゃないか。

    • 「錦の御旗」ってのに同意。
      windowsでもタスクバーをウインドウの下に出来なくなって不便になった。
      安易な方法じゃなくてもっとスマートな方法を考えろよ。
      その内、何をするにしてもパスワード入力とかになるぜ。
      (昔ファイル毎にパスワード入力というシステムもあったし)

    • by Anonymous Coward

      むしろ品質がセキュリティの第一歩ではないかと
      いくらセキュリティー機能を実装しようがバグで穴が空いていたら意味ないわけですし
      多くのセキュリティリスクが品質(バッファオーバーフローの未チェック等)問題を原因としてますし

      ※同じくらい大事な事が運用かな、機能はその次

    • by Anonymous Coward

      自分の職場の一例だけで風潮を語る滑稽

      • by Anonymous Coward

        会社PCで言うセキュリティはキーロガーみたいな奴だけど、だいたい品質は酷いよ。
        CW〇T、SKYS〇A、S〇1あたりはメモリ管理もまともに出来てないレベル。
        ニッチすぎて優秀なエンジニアが採用できないんだろうね。

  • by Anonymous Coward on 2017年12月01日 11時01分 (#3321756)

    あれもこれもと欲張りすぎて複雑化して不安定化では、愚痴も言いたくなるだろう。
    でも、別の選択肢としてそろそろLinux以外のよりシンプルなものが出てきてもいいのになあ。

    ここに返信
    • by Anonymous Coward on 2017年12月01日 13時06分 (#3321807)

      そもそも最初からカオスだった気がしますが
      元々個人が遊びで作ったおもちゃに他の好きモノがこぞって手を出して作り上げたものですし
      大企業が目をつけてコード提供するようになって
      個人同士のそれが企業同士にスケールアップしただけです

      ※Linuxのリーダーシップや取捨選択のセンスは凄いと思う

      • by Anonymous Coward

        ☓ Linuxのリーダーシップや…
        ◯ Linusのリーダーシップや…
        ですね。
        肝心のところでxとsを打ち間違っちゃいけません。

typodupeerror

人生の大半の問題はスルー力で解決する -- スルー力研究専門家

読み込み中...