登 大遊@筑波大学大学院コンピュータサイエンス専攻の SoftEther VPN 日記 このページをアンテナに追加 RSSフィード

Daiyuu Nobori's SoftEther VPN Diary since 2004

登の Web サイト: http://dnobori.cs.tsukuba.ac.jp/

mixi : http://mixi.jp/show_friend.pl?id=672294
Twitter : http://twitter.com/dnobori/
Facebook: http://www.facebook.com/dnobori

日記などへのリンク集
IKeJI さん | Cedar さん | Mayaqua さん | thisjun さん
bakueikozo さん | mugen さん | 分散計算の神林君 | 榮樂先生 (hdk) | 吉田戦車 (ceekz) | 高木先生 | ron さん
AC の古澤さん | AC の TAKAO 君 | AC の NIES 君 | AC の古橋君 | AC な wakatono さん | AC のいのひろ君
AC な三戸君 | AC な柴田君 | AC の小野君 | AC すぎる松本君 | AC な小西君 | AC な google の及川さん | AC な tomocha さん
まつもとゆきひろ氏 | 板野先生の blog | 新城先生の最近の fj への投稿 | つくばあさひなあんてな | hatena 筑波大学 AC リング

日記でよく出てくる「AC」(もともとは筑波大学用語) について詳しくは ここここ をお読みください。

 | 

2005年7月2日 (土)

ソースコードのセキュリティ監査  某ソースコードのセキュリティ監査を含むブックマーク  某ソースコードのセキュリティ監査のブックマークコメント

木曜の夜・金曜の夜、徹夜で精密検査。

目を皿のようにして確かめたが、特に不審な点はなし。

でも規模が規模だけに完全性を保証できるくらいにはあと数日必要か。でも流石にそのままじゃ気持ち悪いから自分で書き直すか。

また休日が潰れた(もうすぐ夏休みだから良いけど…)

よく考えたら (よく考えなくてもわかるけど)  よく考えたら (よく考えなくてもわかるけど)を含むブックマーク  よく考えたら (よく考えなくてもわかるけど)のブックマークコメント

一般論として、ソフトウェアの開発元が、「このソフトは安全です。裏口 (backdoor) も脆弱性もありませんよ!」っていくら主張しても、実際に一般ユーザーがそのソースコードを見ることは不可能なのだから、結局は本当に安全なのかどうかわからないのだろうか。

昔、Windows NT に NSAKEY 疑惑というのがあった。詳細: http://www.jiten.com/dicmi/docs/n/8588.htm

オープンソースにすることなく、この問題をある程度解決するには、Microsoft のようにシェアードソース制度を取り入れるべきだろうか。この制度だと、ユーザーが開発元とNDAを結んでソースコードを閲覧し、問題が無いかどうか(一応は)確認できることになっている。ただし、問題があってもそれを第三者に漏らすことはできないのだが、自社での導入を控える判断材料にはできるのだろう。

安全性をある程度保証する良い方法だと思うが...。

※ ちなみに、Microsoft のシェアードソースでも、Windows のソースコードのうち Crypto API の部分だけはなぜか開示されないという噂がある。あくまで噂。

幼馴染幼馴染 2005/07/03 08:50 尼崎でも近くには甲子園や芦屋や夙川宝塚、かの有名校<灘高><甲陽高>を控えておりますぞ。大阪梅田<ヨドバシカメラ><紀伊国屋>まで15分、電気街
<日本橋>まで30分。三宮まで20分と言う大都会にはさまれた超高級住宅地です。震災後高級マンションが連立しましたが、すこしだけ田畑も残っておる。

通りすがり通りすがり 2005/07/04 00:44 一部コメントが削除されてり。

softethersoftether 2005/07/04 00:49 自分の日記ですので個人の判断で管理しています。

CAPICAPI 2005/07/04 01:17 Crypto-APIのソースですが,擬似乱数生成の箇所は以前お偉いさんに聞いたらライセンスすると言ってましたよ.
擬似乱数生成は暗号の肝なので,そこが出来るなら他も出来ると個人的には思ってます(他は興味が無かったので聞いてません).

softethersoftether 2005/07/04 02:21 ところがXPに入ったライセンス認証が Crypto API に漬かっているという噂が... だから公開できないのではないでしょうか

vaxmipsvaxmips 2005/07/04 02:48 ソースだけを公開されても安全とは言えません。
安全性を確保するためには、自分の手元にある信頼できるコンパイラでコンパイルしたバイナリを実行する必要があります。

以下のページが参考になります。
http://www.acm.org/classics/sep95/

softethersoftether 2005/07/04 03:39 他人が製造した CPU もメモリも NIC も信頼できない人とかもいるかも知れないですね。

nucnuc 2005/07/05 09:31 昔UNIXのコンパイラにバックドアを仕掛けたという告白をした人がいました。ログイン用のプログラムをコンパイルするとバックドアを作るのみならず、そのコンパイラがコンパイラをコンパイルするとバックドア付加機能をコンパイラに付与するらしいです。
おっと、同じところにリンク貼るとこだった爆

softethersoftether 2005/07/05 12:15 その話聞いたことあります。

 | 

<< 2005/07 >>
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31




※ この Web サイトのコンテンツは 登 大遊 が個人的に運営しているものであり、ソフトイーサ株式会社や筑波大学内での立場として公式なコメントを掲載しているものではありません。一応コメントは投稿できるようにしていますが、個人的に運営している日記のため、自分が不快に思ったコメントは前触れ無く削除しております。ご了承ください。同様に会社に関するコメントなどについても、削除される可能性があります。コメント書き込み機能については、匿名の掲示板のような状態になることを予防するため、はてなユーザーからのみ受け付けるように設定することもあります。


Connection: close