Linus Torvalds氏、セキュリティ技術者に怒る 97
ストーリー by hylom
近視眼的に適当なものを突っ込まれては困るという話 部門より
近視眼的に適当なものを突っ込まれては困るという話 部門より
あるAnonymous Coward曰く、
セキュリティ関係ではたびたび怒っている気がするLinusだが、今度はカーネル堅牢化を意図して作成されたパッチが他の事をないがしろにしているとして、Linuxカーネルのメーリングリストにお怒りのメールを投げたらしい(LKML、ZDNet Japan、Slashdot
問題のパッチに対しLinus氏は、カーネルのコアな部分に影響するにも関わらず、きちんとしたものでない修正や変更を加えようとするセキュリティ研究者が多く信用できないと述べ、こういったものに時間を取る暇はないと述べている(Linus氏による返信)。こういったパッチを容易に取り込んでしまうと広範囲かつランダムに発生するような問題を生んでしまうとも述べている。
Linusのセキュリティとの付き合い方 (スコア:5, 興味深い)
こことかを見ると、そう単純でもないんだろうな、とは思う。
ref
[Linux Kernel Watch番外編:セキュリティをやってるやつらは狂っている?! - @IT] [atmarkit.co.jp]
M-FalconSky (暑いか寒い)
部門名 (スコア:1)
だからって質を重視して迅速なリリースができなきゃ、それはそれで怒るんでしょ?
Re:部門名 (スコア:1)
うん、だから適当なものだったら今回は収録しなくていいでしょ?
Re:部門名 (スコア:1)
切れやすい年寄り曰く 部門より
でいいのに。
SELinuxで十分ということか? (スコア:1)
あの使いにくいSELinuxで十分だというのだろうか?
問題となったアイデアはファイルを操作するプログラムをホワイトリストに登録して管理するもので、Windows 10 ver.1709のWindows Defenderで導入された「コントロールされたフォルダーアクセス」と似たような考え方のものです。
チェックのために明らかに性能が落ちるし、美的感覚にそぐわなかったんでしょうね。
Re:SELinuxで十分ということか? (スコア:2, 参考になる)
セキュリティは大事だけどその前にまず安定することが大事だ
安定性を犠牲にしてまでセキュリティ追っかけたって安定してないなら誰も使わない
セキュリティセキュリティって言ってる奴らは狂ってやがる!っていう
主張を予約するとリーナスはいっているんだと私は読み取ったのですが
あなたはリーナスの主張のどこからそう判断したんですか?
Re: (スコア:0, オフトピック)
> 予約するとリーナス
予約はリザーブでは?
Re: (スコア:0)
それより「リーナスはいっている」のほうが気になった。インテルかよ
Re: (スコア:0)
いや、もうリーナス入ってないけど。というよりトランスメタ自体ないけど。
Re: (スコア:0)
> っていう主張を要約するとリーナスはいっている
はしょりすぎぃ!
Re: (スコア:0)
セキュリティ担保してから安定させないと駄目なんじゃ…って思うんだけど
Re: (スコア:0)
いや?わからない脆弱性が問題なのであって
わかっている脆弱性なら他に対処のしようもあるので。
Re: (スコア:0)
このパッチ、メモリアクセスにホワイトリストがとか書いてあるぞ。あなたが今日する行動をすべて列挙しなさい。それに少しでも違反した場合テロリストとして射殺しますと言われたら、テロリストは撲滅されるかもしれないが、そのセキュリティでいいのか?セキュリティにもいろいろレベルがあるよね。
Linusの主張ぐらいよめ (スコア:1)
> We _still_ have outstanding issues with the structure randomization corrupting the kernel.
(カーネルがランダムに破壊される問題を抱えている)
十分なテストがされていないから拒否られているわけで、SELinuxで十分だとか
そんな話ではないでしょう
Re: (スコア:0)
> > We _still_ have outstanding issues with the structure randomization corrupting the kernel.
> (カーネルがランダムに破壊される問題を抱えている)
細かいことだけど、structure randomizationがkernelをcorruptingしてるって言ってるような。
Re:Linusの主張ぐらいよめ (スコア:2)
リーナスがインポータンスなカーネルがファーストだから
こまけぇ話はいいんだよ
Re: (スコア:0)
Linusが一つしか方法が無いのは嫌だって事もあってTOMOYO Linuxもメインラインに取り込まれてメンテされ続けてます。
あれは高度に政治的な.... (スコア:0)
利権を握った独裁者が、他の利権者間の調整のための道具として使ったネタだからなぁ。
もう三年くらいで Linux 第一世代が引退するからそのあとだなぁ。Linux 自体が瓦解するかもしれないけど。
Microsoft に取り込まれて終わり。かもしれないしな
Re:あれは高度に政治的な.... (スコア:2, 参考になる)
ここ数年、LinuxPC常用していても、カーネルは勿論、カーネルのネタさえ追ってないなぁ。
そんなことを考えながら近況を少し確認。
https://www.linuxfoundation.org/2017-linux-kernel-report-landing-page/ [linuxfoundation.org]
PDF資料のA14に、企業別コントリビュートが載っていたが、一番大きいIntelで13.1%、RedHatで7.2%。
MSは0.6%より低いらしく、リストに載ってなかった。
見るならこっちかもね。
2017年版Linuxカーネル開発レポート公開――支援している企業トップ10とは?
http://www.atmarkit.co.jp/ait/articles/1710/30/news032.html [atmarkit.co.jp]
なお、2016年のレポート以降、Linuxカーネル開発を支援しているトップ10企業は、Intel、Red Hat、Linaro、IBM、Samsung、SUSE、Google、AMD、Renesas Electronics、Mellanoxとなっている。
# かなり貢献度の大きいらしい Linus Walleij ってどんな女性なんだろうなぁ...
Re: (スコア:0)
> Linux 自体が瓦解するかもしれないけど。
するわけないじゃん
Linuxのコントリビューター見りゃわかるとおり、Linux自体がすでに政治商材として多数の企業がカネ払ってプログラマー雇って開発させて自分の影響力を維持する伸ばすと暗躍してるもの
いまさら瓦解なんてしないし、できない
Re:あれは高度に政治的な.... (スコア:1)
むしろ、それが問題になるんでしょ。
今は、Linus のところが絶対正義。分派しようが自由だし、そっちが発展したところで、最終的に本家の利益になるし、本家が変わることはない。
Linus が主でなくなると 自分がその位置につきたがって瓦解って可能性がある。
分派しても、他方の成果は取り込めるから関係ないとか思っても、分派したところが自分が優位になろうとして特徴つける方向に走ったら、Linux だけど互換性はないってのが乱立しはじめる。
滅びることは無いだろうけど、今のような魅力的なプラットホームでいられるかは、有力企業の政治力次第になってしまう。
Re:あれは高度に政治的な.... (スコア:1)
いや、独裁者が居なくなった結果、各企業の思惑によって四分五裂するってことじゃない?
結果的に瓦解すると。Un*xが乱立したよーな状態に戻ると。
Re:あれは高度に政治的な.... (スコア:1)
やっぱり独裁ってのは効率的だよな。
Linusが去った後、なんとかファンデーションとかが乱立・四分五裂してにっちもさっちも行かなくなるのが目に見える。
Re: (スコア:0)
つまり,それを見越して世界の反対側(ってどこ)に第二 Linux Foundation を密かに作っておくべきだと(違.
# 本屋で並んでいた上下巻を買ったら何故か話がつながらなかったので,よく見たら違う話の上下だったorz
# 期せずしてネタバレ喰らったショックで読むの中断しているAC
Re:あれは高度に政治的な.... (スコア:1)
なんかの本の上下を買って読んでいい話だと感動していたが後日、本屋でその本の中を見つけた、って話を思い出した。
Re: (スコア:0)
じゃあいずれ、FreeLinuxとNetLinuxとOpenLinuxと...
『害をなすなかれ』をモットーとすべき (スコア:1)
誰がどう考えても正論だろ。
今回ばかりはLinusの言ってることの方が正しいと言わざるを得ないわ。
HARDENED_USERCOPYオンで使ってる輩のためだけにスラブキャッシュにまで及ぶ大パッチをわざわざRC 1に投下とか…。バカだろ。
LinusやTheo君でなくとも怒るわ。
そんなものはRC版でなく次期開発版以降のリポジトリに投げろ。
もっと言えばKees Cookとかいうセキュリティ研究者は、まず貴社の売り物であるAndroidのセキュリティを優先して研究し、さっさとKRACKs対策をしろ。
正直、KRACKs脆弱性の影響など心配するまでもないとは思うが、こんなしょうもないパッチをRCに投げるほど暇を持て余しているならKRACKs対策の方を先にやれ。
HARDENED_USERCOPYを必要としている人よりも、Android用のKRACKs対策を必要とする人の方がどう考えても多い。
一方、NECプラットフォームズやマイクロソフトは (スコア:1)
Krackでなく、KRACKsな。
GoogleはKRACKsに対して適当な態度でお茶を濁す一方、NECプラットフォームズは毎日のように真摯にKRACKs対応パッチをEOS機(どころか事実上EOL機までも)にまで対応させる日々を過ごしていた。
【重要】「WPA2」の脆弱性に関するお知らせ [aterm.jp]
更新履歴:2017年11月30日/11月10日/10月30日/10月27日/10月24日/10月23日/10月20日/10月19日
KRACKsについてはマイクロソフトがかなり迅速に対応してたんだが、IE全盛期の過去のイメージのためか滅多に褒めるやつが居ない。実に残念なことだ。
Re: (スコア:0)
Androidは人に迷惑かけすぎだよな
そろそろカーネルを独自開発できるようになるまでリリース止めるべきじゃないかな
Re: (スコア:0)
>カーネルを独自開発
Fuchsia…
Re: (スコア:0)
ドヤ顔で批判するならせめてiOSやmacOSのkernelがBSD由来ではない事くらいは
調べてからにすればいいのに。
Re: (スコア:0)
人のとこに問題だって言う前に自分のとこの直せやは別におかしくないですよ
そもそも今回のパッチだって同じように実害報告なんて一件もないのでは?
さらにいえばKRACKsの内容わかってないみたいですけど
されてたとしても「わからない」からそういう意味で条件は厳しいが問題だって言われてるんですよ
Re:『害をなすなかれ』をモットーとすべき (スコア:1)
つまりiPhone6S、iPhoneSEでkrack脆弱性の一部について言明逃げてるAppleは最低ということだね
ちゃんと怒ってくれる怖いおじさんが居るって幸せなことだよね (スコア:1)
えっ? そういうことじゃなかった?
Re: (スコア:0)
歳とると怒りのコントロールが下手になるってのも更年期障害の一症状らしいですし。
「セキュリティ」のためなら何やってもいいという風潮 (スコア:1)
なんか「セキュリティ」が錦の御旗みたいになってるよね。「品質」なんてどうでもいいって感じで。
セキュリティは品質の一部であることは確かなんだけど、全部に優先するものではないのだけど。
個人的にホント辟易してるのは会社支給のPCが品質の悪い「セキュリティソフト」で酷い有様なこと。
1日1回は再起動しないとOSごと死ぬとか何十年前のPCだよまったく・・・
Re:「セキュリティ」のためなら何やってもいいという風潮 (スコア:1)
1日1回再起動とかどうかんがえてもクソなソフトが存在するのは仕方ないだろ
そんなクソな運用状況を放置して現場に負担を押し付けてる会社の体質が
何十年前のまま古いのが原因だね。セキュリティーとか関係ない
責任転嫁は問題の解消を妨げるYO
Re: (スコア:0)
て議論に当然進むべきところが「セキュリティだから」で終わってしまうとこに元コメはいらついてるんじゃないか。
Re:「セキュリティ」のためなら何やってもいいという風潮 (スコア:1)
「錦の御旗」ってのに同意。
windowsでもタスクバーをウインドウの下に出来なくなって不便になった。
安易な方法じゃなくてもっとスマートな方法を考えろよ。
その内、何をするにしてもパスワード入力とかになるぜ。
(昔ファイル毎にパスワード入力というシステムもあったし)
Re: (スコア:0)
むしろ品質がセキュリティの第一歩ではないかと
いくらセキュリティー機能を実装しようがバグで穴が空いていたら意味ないわけですし
多くのセキュリティリスクが品質(バッファオーバーフローの未チェック等)問題を原因としてますし
※同じくらい大事な事が運用かな、機能はその次
Re: (スコア:0)
セキュリティの専門家はバグの専門家ではない
Re:「セキュリティ」のためなら何やってもいいという風潮 (スコア:1)
専門家じゃなかったら許されるとでも思ってんのかこのキチガイが!
って話なんじゃねーのこれ。
Re: (スコア:0)
Linusの怒りの1つは専門家でもない奴が書いたクソース混入させんじゃねぇゴルァってとこだよね。
# フルスタックエンジニアなんて空想上の生物。
Re: (スコア:0)
自分の職場の一例だけで風潮を語る滑稽
Re: (スコア:0)
会社PCで言うセキュリティはキーロガーみたいな奴だけど、だいたい品質は酷いよ。
CW〇T、SKYS〇A、S〇1あたりはメモリ管理もまともに出来てないレベル。
ニッチすぎて優秀なエンジニアが採用できないんだろうね。
Linuxもカオスになったものだ。 (スコア:0)
あれもこれもと欲張りすぎて複雑化して不安定化では、愚痴も言いたくなるだろう。
でも、別の選択肢としてそろそろLinux以外のよりシンプルなものが出てきてもいいのになあ。
Re:Linuxもカオスになったものだ。 (スコア:1)
そもそも最初からカオスだった気がしますが
元々個人が遊びで作ったおもちゃに他の好きモノがこぞって手を出して作り上げたものですし
大企業が目をつけてコード提供するようになって
個人同士のそれが企業同士にスケールアップしただけです
※Linuxのリーダーシップや取捨選択のセンスは凄いと思う
Re: (スコア:0)
☓ Linuxのリーダーシップや…
◯ Linusのリーダーシップや…
ですね。
肝心のところでxとsを打ち間違っちゃいけません。
Re: (スコア:0)
すり替えじゃなくってリーナスが切れたパッチ送ってきた奴が
GooglePixelの開発者だったからAndroidを引き合いに出したんですよ?
これがiOS開発従事者だったらiOSが出されただろうし
何故Androidなのかを日本語を読んで理解できる人たちがいるから+モデされてるんだけどわかんないの?
それを理解しないで噛みついてるからマイナスモデされたってなんでわかんないの?
Re:またApple信者大暴れ (スコア:1)
悪いよ?
セキュリティをお題目にテストもロクにしてないパッチ送ってきたんだもん
キチンとしてないじゃなくって「セキュリティを盾に開発プロセスを無視する輩」って記事中でも書かれてるじゃん
一部を取り出したのではなく「ソレが今回切れた理由」なんだから引き合いに出すことも何もおかしくないよ?
で、Linuxカーネルに関してはリーナスが唯一の絶対者であるのでリーナスが
クソだっていえばそいつはクソでいいんだよ?Linuxの界隈では。
ね?やっぱクソでしょ