「どうすればFirefoxを信じられる?」の件がやっと対処 141
ストーリー by Oliver
ただのハッシュ値検査では不十分 部門より
ただのハッシュ値検査では不十分 部門より
jbeef曰く、"昨年12月のこと。本家で「How Can I Trust Firefox?」というストーリが出ていた。なんでも、MicrosoftのPeter Torr氏のblogで、「How Can I Trust Firefox?」というエントリが掲載されて炎上しているという。氏の主張は、Firefoxは確かに良いブラウザだが、インストーラに(PKIを用いた)コード署名がなされていないので、ダウンロードする人にとってスパイウェアと見分けがつかないというもの。これは正論だ。 Sun MicrosystemsのJavaも、AdobeのReaderも、インストーラにはずっと以前からコード署名されていたが、 Mozilla Foundationのインストーラには署名がなかった。そして先日、Firefox 1.0.1 でようやくコード署名されたインストーラがリリースされた(Thawte Code Signing CA発行の証明書で署名されている)。これで一般の人でも安心してダウンロードが可能になった。これもこのblog炎上事件のおかげだろうか。このblogエントリを日本語訳したものも登場しているので、日本でも後追い炎上してみてはどうだろう。Peter Torr氏はSlashdotでの議論を受けて後日「I love Slashdot」というエントリを掲載しているのでこちらもあわせてどうぞ。"
この話の一番の問題は (スコア:5, おもしろおかしい)
別解 (スコア:2, 興味深い)
Re:別解 (スコア:4, 参考になる)
# 50字超えたかも。。
Re:別解 (スコア:1)
#細かいことを言うと、いろいろあるけど。
上の二つから、ダウンロードしてきたバイナリをどのように信頼するかは、受け手のポリシ次第なんじゃないかなぁ。
個人的に思うのは・・・・ (スコア:4, すばらしい洞察)
今回の問題に対する対処は確かに重要だけど、それで何割の人がスパイウェアなどから逃れられるかは疑問。
エキスパートだったらサーバ証明書でも問題はないはず。素人にはサーバ証明書はおろか、今回の対処でさえもほとんど無意味な気がする。
誰でも本当の平和が獲得できる世の中はどうやったら来るんだろう!?
Re:個人的に思うのは・・・・ (スコア:3, 参考になる)
何も考えずに享受できる世界は来ないでしょう
例は違いますが、以前ニュースでやっていたカード偽造団がインタビューで、そこに人間が介在する限りICカードを導入しようが対応できるって言っていたのが印象的でした。
Re:別解 (スコア:2, すばらしい洞察)
Re:別解 (スコア:1)
なにを信用するか (スコア:1, 興味深い)
>ダウンロードする人にとってスパイウェアと見分けがつかない
プリンタドライバインストするのにも、署名が無いって警告に平気で
了承しているユーザーの立場は…
御社の製品はコード署名ありますか?と尋ねよう (スコア:5, 興味深い)
その話ではなく、インターネット経由でドライバをダウンロードできるようになっている、プリンタメーカーとかパソコンメーカーとかが最近多いわけですが、こちらが未署名の .exe ファイルで配布されているというのは、よろしくないですね。
証明書は1社に1枚しかいらないのだから、証明書購入費用は企業にとってはゴミみたいなもののはずなので、なぜ署名しないのか理解できません。署名する手間にコストはかかりそうですが、リリース前の最終チェックでチェック済みだと判子を押すセレモニーのつもりで、電子署名すればよいわけで、本来あるべき姿ですね。
どのパソコンメーカー、デバイスメーカーは署名していて、どこは署名していないといったリストを作るといいですね。 おおむね外資系は署名しているけれど、日本の会社は署名していないところがかなり多いという印象があります。ちょっと調べたところでは、VAIOのインストーラ [sony.co.jp] は署名されていますが、パナソニックPCのインストーラ [panasonic.biz] は署名されていませんでした。他はどうですか。
ちなみに、最近、電子申請システムとかで中央官庁や地方自治体の多くが .exe ファイルを配布しているのですが、署名されたものがみあたりません。いくら GPKI [gpki.go.jp] だの LGPKI [lgpki.jp] だの JPKI [jpki.go.jp] だのとガチガチの安全を構築したかのように主張したところで、配布物が署名されていないんでは根こそぎ台無しです。電子政府作ってる奴らはバカばっかりです。
Re:御社の製品はコード署名ありますか?と尋ねよう (スコア:5, 興味深い)
今回の元ネタである、ドライバをインストールする際に表示される「Windows ロゴ テストに合格していません」ダイアログを表示させたくない場合「ドライバ署名」という今回とは別の署名が必要になります。
このドライバ署名を取得するには証明書以外に Microsoft 社の外郭団体である WHQL のロゴ要件 [microsoft.com]を満たし、かつ HCT(Hardware Compatibility Test) に合格する必要があります。詳細な手順については MS のロゴ プログラム [microsoft.com]のテストに記載されています。ちなみに HCT は結構厳しいテストを Hardware/Driver に課するのでドライバ署名取得目的以外でもお勧めしたいテストツールです。
ということでドライバ署名は簡単に取得できません。
ドライバ署名を取得したからといって動作の保障をしてくれるわけではありませんが、外部団体(WHQL)から動作確認を行ってもらった証にはなるかもしれません。 上記の場合、Authenticode 対応 Digital ID を取得すれば、後は自社でバシバシ署名するだけで、コストは Digital ID 取得分という理解で問題無いですよね?
Mc.N
Re:御社の製品はコード署名ありますか?と尋ねよう (スコア:1)
その証明書はMozilla Japanによるものを含め
各国語にローカラライズされたプログラムにも有効なのでしょうか?
サーバー証明書ならば、各国の各サーバー毎に必要という事でよいですか?
全く的外れな事言ってますかね… (汗
知っている方が居たらお教え戴きたいです m(_ _)m 。
#恥ずかしいけどID
#after9 は magic9
Re:御社の製品はコード署名ありますか?と尋ねよう (スコア:1, 参考になる)
署名とは全く別次元ですよね?
それは署名が正しく機能していても防止できません。
何故ここでその話が出てくるのでしょうか。
Re:なにを信用するか (スコア:1)
標準ソフトやドライバのインストール手順に
「警告がでますが、"はい"を押して次にすすでください」
なんて書いてあるうちに会社の立場は・・・。
It's not who is right, it's who is left.
Re:なにを信用するか (スコア:2, 参考になる)
最高裁判所でも同様 [takagi-hiromitsu.jp]だそうですから、問題なし。(マテ)
...御社の納品物?
Re:なにを信用するか (スコア:1)
通過してるかどうかのWHQL [e-words.jp]の署名となると、情状酌量しないでもなく…
ソースを使え、ルーク (スコア:1)
Firefox本体はともかく拡張ぐらいならすぐ読めるし。
でもWindowsの1アプリとしてみると彼の意見はもっともだ。Firefoxもそういう時期なんでしょうね。
Re:ソースを使え、ルーク (スコア:5, 参考になる)
Peter Torr氏は昔からMSのスクリプト関連の開発者で、
ニュースグループでよく回答していたし
webでユーティリティを公開したりしていたので
仕事柄よく名前を見かけました。
blogも購読していて同記事はリアルタイムで読んだ
のですが、「うげ何じゃこりゃ燃料じゃん」
と思っていたら/.本家で早速取り上げられていて
もう目も当てられない状態。いろいろがっくりした
覚えがあります。
Firefoxの配布形態に信頼できない部分があり、
問題であるという指摘は正当だとは思うわけですが
「その点IEはバッチリsecureですよ」という我田引水
も、まあ目をつぶるとしましょう。MSの人だし。
しかしsecuniaに指摘されつつもUnpatchedのままだった
脆弱性がいくつある/あったのかと思えば
"How can I trust Firefox?"なんて書き方は
敵を作るだけであろうと。
あのsubjectは
「どうしてFirefoxを信用できようか(いやできない)」
と反語表現と理解されたのが実情でしょう。
自分もそう読みましたよ。
記事の内容を考慮しつつ字面通りに読めば、
「どうすれば~信じられるか」となりますが。
それはレトリックを弄しすぎというものです。
なお当時Mozillazine日本語版でも言及されていた
ことを付記しておきます。
http://ryuzi.dyndns.org/mozillazine/html/modules/news/article.php?storyid=789
Re:ソースを使え、ルーク (スコア:1)
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
ミラーサイトにある未署名バイナリに問題があるかどうかは
あまり関係がないと思いますが。
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
> ミラーサイトにある未署名バイナリに問題があるかどうかは
> あまり関係がないと思いますが。
ですね。/.jpのこのトピックのコメントでも脊髄反射して主題を取り違えている人が多すぎだと思います。
該当のblog記事を読む限り、主に配布方法の信頼性の問題を指摘しているのであって、firefoxそのものに信頼性がないとは言ってませんよね。彼が言っていることは妥当な問題指摘だと思います。
ですが、そこで「How Can I Trust Firefox?」というタイトルはちょっと刺激的な上に誤解を招きやすいと思いました。だから、筆者がMSの人ということもあいまって、必要以上に燃え上がっちゃったんじゃないでしょうか。
Re:ソースを使え、ルーク (スコア:1)
しかしFirefoxが「初心者にもお勧め」、「WindowsでもIEの代わりに最適」と広告しようとすればそれではいけない。バイナリでクリック1つでインストールできなければならない。バイナリで配布するならばコードを見て改ざんされていないか確認することは不可能であり、配布方法の信頼性が必要となる。彼の主張はそういうことであり、正しい。
で、私はそういうことは理解したうえで、(おそらくMoziilaの開発者も共有していたであろう)従来の感覚を示し、なぜMozillaやほかのオープンソースのソフトウェアが署名に気をかけなかったのか暗に示しただけです。
別にMozilla開発者の書いたコードに悪意のあるコードが含まれているかどうかとか、彼の主張が間違っているだとか、MSやIEがどうだとか、そういうことを主張しているのではなく、決して主題を取り違えてはいません。
#確かにそんなに明確に厳格に主張したわけではないですよ。でもそれは何か意図があって明確にせずに暗に示したわけではなく、単に眠い頭で雑談として書いただけだから明確になってないだけです。あのあやふやな書き込みを見て、同じような感覚を持った人がなんとなく同意してくれればそれで十分でした。
#また、私の言葉足らずな書き込みを見てあなたが「主張を取り違えている」と誤解したことは仕方のないことです。
#ただ、私の書き込みが彼の主張を取り違えて書かれたもので*ない*ことははっきりさせておきたいです。
Re:ソースを使え、ルーク (スコア:1, すばらしい洞察)
ある程度大規模なソフトに対して、
悪意のある改竄を受けていないかどうか
エンドユーザーに判断できますか?現実的に。
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
>Firefoxの昔のエンドユーザーは、
>自分でソースをコンパイルして使うユーザーでした。
>当然ユーザーはソースを読むことができるので、
ソースからコンパイルできるユーザと、ソースを読んで理解できるユーザは
必ずしも一致するわけではないし、後者のほうは全く少ないです。
>そのソースが安全かどうかの判断ができ、
>安全とわかったソースから作ったバイナリは当然安全です。
現実的な話、数千行以上におよぶソースを見せられても、安全かどうかの判断を
下すには日数が要するはずです。
ある有名なオープンソースのソフトウェアのソースが悪意を持った人物に改竄され、
そのまま配布されていた事件では、気づいた人はソースを読んで発見したという
わけではなく、コンパイルして実行し、その挙動がおかしいということに
気づいたからに過ぎませんでした。
当然、挙動に不審を覚え、ソースを読んで調べたわけですが、コンパイルして
使う前にソースが安全かどうか調べる人なんて少ないでしょう。
Re:ソースを使え、ルーク (スコア:1, すばらしい洞察)
> そのソースが安全かどうかの判断ができ
バージョンアップのたびにソースツリーのdiffをすべて検証してコンパイルしていた人なんてほとんどいないんじゃ…
ソースのすべてが実際にアンゼンだったかどうかは、 ソースコードを読むことではなく「コンパイル後の不具合報告」で判断してたような希ガス
Re:ソースを使え、ルーク (スコア:1)
>気づいたからに過ぎませんでした。
UnitTestなのでは?(^^;
ソースだから信用できるとは限らない (スコア:1)
トロイの木馬を仕込まれる事例 [impress.co.jp]もあるんで、最近はソース公開であっても、リリースアナウンスのメールなどにMD5のハッシュ値を記載する場合がほとんどで、中には改竄防止のためにハッシュ値を記載したメールやファイルにPGPなどで電子署名したりする例もあります。
うろ覚えですが、debianなどでは、公式バイナリには電子署名が必須だった気がします。
ということで、今回議論(もしくは非難)されるべきはmozilla.orgあるいはMozilla Foundationのバイナリ作成および配布方法であって、オープンソース全体に敷衍すべき問題ではないと思いますが。
Re:ソースを使え、ルーク (スコア:2, おもしろおかしい)
Re:ソースを使え、ルーク (スコア:1)
> >別にどんな信頼できないサイトから入手しようともソースを見て問題がなければ問題がないのでは。
> だめだこりゃ。
> 何を指摘されているのかぜんぜんわかってないようで。
どーも意識のずれがあるなぁ。
「どうすれば Firefox を信じられる?」との問いに対し、
「ソースを使え」=「自分でチェックしたソースコードからビルドしろ」
という答えは間違っていない。
自分でビルドするなら、配布元においてあるバイナリは無用の産物だ。
だから ruto 氏は「バイナリなんてホンのおまけぐらい」と書いている。
実際問題、信頼性の問題は 100% 安全とか 100% 危険とか、
そういう問題ではない。
PKI だって、PC を使う上での全体的な安全性から考えれば、
「こういうチェックを入れるとこういう攻撃に対してだけは
大丈夫、でも他は知らんよ?」程度のもの。
> いまどきの大規模ソフトのソースをいちいち読んで安全性を
> 判断するって時点で非現実的だけど。
それはそもそも、「どうすれば Firefox を信じられる?」という
問いが非現実的な問いだからなんではないのかね?
現実的なレベルなら、公式配布しているサイト経由で取得したもの
であれば信頼できる。
でもそれじゃ信頼できない。ミラーサイトのドメインはチェックする。
でも MD5 のチェックはしない。という。そんな初心者いねぇよw
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:2, すばらしい洞察)
それはそのとおり。
でも #701303 は、「Firefox のバイナリに PKI 署名がつくと
具体的に何がうれしいのか(どういう攻撃を防げるのか)」の話。
あなたの言うような攻撃にはブラウザの PKI 署名だけではどうにも
ならんのですよ。
もちろん、ユーザの必要とするネット上の実行バイナリすべてに
PKI 署名をつけるよう、それぞれの開発元に要求するってのもアリだ。
けど、自組織のネットワークセキュリティを見直すほうが
現実的というものじゃないのかなー。
で、#701246 の結論に戻る。
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:2, 参考になる)
PGP署名じゃダメなの?
いや、Firefox のバイナリには以前から署名があるんですよ。
PGP で(最初 MD5 って書いたけど、俺調べたらちゃんと PGP の
署名があったよ)。
Mozilla 側でも、署名がないと認めているのは拡張機能のみ。
もちろん「PGP は信頼できん」「めんどくさい」というのも
アリだと思うけど、
「信頼性を確認する方法がない」というのと
「信頼性を確認するのに手間がかかる」「ポリシーが一致しない」
というのとはちょっと印象が違わない?
# mishimaは本田透先生を熱烈に応援しています
Re:ソースを使え、ルーク (スコア:1, すばらしい洞察)
ま、その感覚が抜けない限りはオープンソースとやらもヲタの趣味の域を抜けない訳だが。
Re:ソースを使え、ルーク (スコア:1, すばらしい洞察)
その感覚を持つもののみがオープンソースをヲタの趣味という高尚な領域で楽しめるのです。
M$の修正ぱっちは? (スコア:1, おもしろおかしい)
月刊Microsoftの修正ぱっちを当てたらWindowsが起動できなくなったということだ。
そのときに「どうすればMicrosoftを信じられる?」という話になった。
Re:M$の修正ぱっちは? (スコア:1)
Re:M$の修正ぱっちは? (スコア:1, おもしろおかしい)
# ベタなのでAC
Re:炎上 (スコア:1)
旅に出ます.(バグを)探さないで下さい.
Re:Linuxディストリビューションにとどまらず (スコア:3, 興味深い)
もちろん、ベクターや窓の杜の署名があるからといって、それらの会社がそのソフトウェアの品質を保証している意味ではないことは、皆が理解していないといけませんが。
もっとも、それらのサービスは、ウイルスチェックや悪意あるプロウグラムではないらしいことくらいはチェックしているでしょうから、それに期待して人々も使っているわけでしょうから、その保証としてくらいの意味はありますね、デジタル署名にも。
Re:Linuxディストリビューションにとどまらず (スコア:1, 興味深い)
全くその通りで。
「○○というソフトがいいよ」と言われて検索して製作者のサイトとベクターとフリーソフト紹介みたいなページが引っかかった場合、
「作者のページで詳細とアンインストール方法を確認しファイルはベクターから落とす」
ということをよくやります。
ベクターのファイルはタイムラグで最新版でないこともありますがそれも好都合。
Re:Linuxディストリビューションは(おふとぴ? (スコア:1, おもしろおかしい)
計算して。
# そういう事を訊いてるんじゃない!!
Re:Linuxディストリビューションは(おふとぴ? (スコア:1)
正確には、RPMのPGP署名を検査するのは、Fedora Coreの機能ではなく、rpmコマンドの機能ですね。
> まあ、その署名をどうやって手に入れるか
手に入れておかなければならないのは、署名ではなく、公開鍵でしょう。
あるいは、公開鍵のフィンガープリントとか。
署名は、RPMに付いてくるわけですし。
FreeBSDは(Re:Linuxディストリビューションは(おふと (スコア:1)
そろそろPGPとかPKIとか公開鍵式のチェックを入れるべき時期なのかも。
Re:FreeBSDは(Re:Linuxディストリビューションは(おふ (スコア:1)
一応pkg_sign [freebsd.org]なんてのがあるようですが、積極的に使うようにはなってないみたいですねぇ。
Re:自己責任 (スコア:1)
キーロガー付きの Firefox なんて嫌ですし。
もちろん Mozilla Foundation 自体が信用ならないというのであれば今回のデジタル署名はなんら意味が無いです。
Mc.N
Re:自己責任 (スコア:2, 参考になる)
署名を行った認証局のCPS(Certification Practice Statement)を確認します。認証局が証明書を発行するにあたってどのような確認をするか,などの運用規定がかかれています。たとえば,日本Verisignの物はこちら [verisign.co.jp]。
これをみて「この認証局がその方法で確認されたなら大丈夫だろう」などと判断します。
つまり認証局に対する信頼が絶対の必要条件となります。そのため,認証局はきちんとしたポリシーの作成や厳格な運用をつづけることで利用者からの信頼を高めることが必須となります。
# それなのにLGPKIは・・・モゴモゴ
Re:自己責任 (スコア:1, 参考になる)
米VeriSignがMicrosoftの署名を不審者に発行、Microsoft製品ユーザーは注意 [impress.co.jp]
なので、まぁ、人間がかかわっている以上、ミスもあるわけで、このあたりはポリシーがあっても人間が運用を行う以上、なんともいえない部分もありますね。
Re:自己責任 (スコア:1, 興味深い)
>
>はあ?認証局の名前は偽れませんよ。
視覚的な類似性を使った詐欺のことだと思います。
もし、署名確認のダイアログが国際化ドメインに対応してたりすると、
http://srad.jp/article.pl?sid=05/02/08/0515249&topic=74&mode=thread
のようなことが署名に対しても起こりえます。
結局、最後の判断は人がボタン押すか押さないかなので、
コンピュータ→コンピュータの伝達を偽るのは防いだとしても、
最後の コンピュータ→人 の伝達は、視覚なり聴覚に頼った伝達に
なるでしょうから、そこを騙せば良い、というやりかたですかね。
まぁ、root認証局の証明書をインストールする機会なんて
あまりないと思いますが。
証明書買うコストケチった社内システムぐらい?
>>結局第三者の*機関*に頼らなければダメなのがダメだと思う。
>
>ぜんぜん意味がわかりませんよ。
PGP的なモデルの可能性だと思います。
信頼の源泉を絶対的な第3者以外のものに求める、と。
ただその場合、インストールする際に、
「このソフトウェアは、53%の信頼性で○○○から配布されたものと
思われますが、インストールしますか?」
のような、
答えづらいダイアログがでてくるかもしれません。
Re:自己責任 (スコア:1)
その辺どうなんでしょうか>詳しい人
Re:どうすればMicrosoft製品を信じられる? (スコア:2, 参考になる)
Bug 131456 : Memory use does not go down after
closing tabs (resources not released)
https://bugzilla.mozilla.org/show_bug.cgi?id=131456
>> Resolved or not, with FF v1.0.1. it is still my largest "memory eating" program.
> thats cause its fixed on trunk, wait for 1.1
Re:どうすればMicrosoft製品を信じられる? (スコア:1)
XPはNTカーネル + Win9xエミュレータです。
http://e-words.jp/w/Windows20XP.html
営業的には9x系とNT系を統合みたいな位置付けなんでしょうけど、中身はNTです。