パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

スパイウエアをインストールさせるスパイウエア検出サイト」記事へのコメント

  • by Anonymous Coward on 2005年12月20日 17時27分 (#852369)
    私は、信用できないのでSpybotはインストールしていません。
    理由としては次のようなものが挙げられます。

    ・デジタル署名がされていない。
    ・公式サイトにファイルのハッシュ値が表示されていない。
    ・公式にファイルを置かずにランダムで表示されるミラーサイトからのダウンロードを要求している。
    ・公式サイトのミラーサイトが多数あったりURLが頻繁に変更されて信頼性が低い。

    勿論、デジタル署名がされていたら他の条件は満たしていなくても許容しますけどね。

    無料運営とは言っても多数のWebサイトを運営している経験からして、
    Spybotの公式サイトにAdsenceなどの広告を貼れば最低でも1000$/月にはなるでしょう。
    年間$80もあれば可能なデジタル署名をけちる理由にはならないと思います。
    (デジタル署名を付けたりすればソフトの信頼性が高まり寄付金も増えるでしょうし)

    もし、費用面がこれが不可能だというなら仕方ないかもしれません。
    しかし、訳のわからんダウンロードサイトから落とせと要求するなら、
    最低でも公式サイトにハッシュ値を掲載して欲しいものです。

    こういったセキュリティの基礎が出来ていないようなソフトで、
    しかもUsers権限ではなくAdministrators権限と通信許可まで要求します。

    セキュリティソフトを唄っているならユーザに信用してもらえるような工夫をしてほしいです。
    • by Anonymous Coward on 2005年12月20日 17時51分 (#852384)
      「Spybot」と「Spybot - Search & Destroy」では
      意味が正反対になってしまうのできっちり区別した方が
      よろしいかと…
      親コメント
    • by Anonymous Coward on 2005年12月20日 17時35分 (#852375)
      http://www.spybot.info/en/download/index.html
      を見ると、MD5のハッシュが張ってあるように見えるけど
      これは信用できないのかな?
      親コメント
      • by Anonymous Coward on 2005年12月20日 18時24分 (#852399)
        現在はハッシュ値が掲載されているようですね。
        ちょっと前まではこのように [higaitaisaku.com]なっていて、
        ハッシュ値は掲載されていませんでした。
        まず、皆様に古い情報をもとにした記事を公開してご迷惑をおかけしたことをお詫び申し上げます。

        このハッシュ値に関する問題点を挙げると、

        問題点1:
        取得ドメインが多すぎたりサイトの移転が過去に数回あったりして、
        どれが正規のサイトでどれがフィッシングサイトだかの区別がつきにくい。
        従って、正当なハッシュ値を記載している公式サイトがどれだか分からない。
        (例)www.safer-networking.org, www.spybot.info, spybot.eon.net.au

        問題点2:
        MD5ハッシュは最近では信頼性がなくなってきており偽装される心配もある。
        どうせならCHA-1やPGPなどのハッシュ値を記載して欲しい。

        問題点3:
        通信経路の改ざんなどの問題があるので、
        SSLを利用して欲しい。

        ですね。
        親コメント
        • by Anonymous Coward on 2005年12月20日 21時50分 (#852501)
          問題点1:についてなんですが。
          正規サイトは過去何度も執拗に攻撃されたことがあり、その都度
          退避を繰り返してきた経緯があるようです。
          現在でも攻防は断続的に続いているようなので正規サイトの証明
          はきちんとしてほしいと思うのは同意です。
          ただこのような民間のプロジェクトで実用レベルのものは少ない
          ので取り組みそのものは評価してよいのではないかと思います。
          親コメント
      • by Anonymous Coward on 2005年12月20日 17時50分 (#852381)
        HTTPSじゃないから改竄されているかも知れないよ。
        親コメント
    • こんなのがスコア 4 なのはちょっとどうかと思う。

      まず、このストーリーでハッシュ値が公開されているのが必須だとか言うのが変。

      この言いようだと、
      ハッシュ値が公開されていれば、スパイウェアをインストールする
      スパイウェア検出ツールでもインストールしてしまいそうな勢い。

      第一、ダウンロードした物が改変されていないかそれほど心配なら、
      複数個所から何個かダウンロードして比較してみればいいではありませんか。
      ソフトウェアをダウンロードする時にハッシュ値でわざわざチェックする人なら、そのくらいできるでしょう。

      常駐しているスパイウェアに改変される恐れを抱いているなら、
      スパイウェアが常駐している状況では(本質的にはトロイ等と変わらないのだから)
      何やっても信頼なんて出来ませんので、心配するだけ取り越し苦労。
      まぁデジタル署名があるならまだましかもしれませんが、それだって
      インストール後の動作を考えれば、完璧ではない。

      さらに Admin 権限が云々といってますが、
      スパイウェアが Admin 権限でインストールされていたり、
      気付きにくい非表示のデバイスドライバとしてインストールされることがごく普通にあるのに、
      どうやって駆除するのかと。
      Users 権限と Admins 権限で作り分けろってか。

      スパイウェア駆除ソフトの通信要求すら許可できないとなると、
      新しいスパイウェアに対応できずに、逆に
      スパイウェアだけがどんどん自分自身を更新していくだけ。
      --
      [Q][W][E][R][T][Y]
      親コメント
      • by Anonymous Coward on 2005年12月21日 14時54分 (#852873)
        > ハッシュ値が公開されていれば、スパイウェアをインストールする
        > スパイウェア検出ツールでもインストールしてしまいそうな勢い。
        だれもそんな事言ってませんよ。
        ミラーサイトからのダウンロードを要求する以上は信頼性のあるハッシュ値の公開は必要条件だと言っているだけで。
        URLがIPアドレスのサイトは信用できない、という発言に対して
        「独自ドメインのサイトなら全部する勢い」と反論しているようなものですね。

        > 第一、ダウンロードした物が改変されていないかそれほど心配なら、
        > 複数個所から何個かダウンロードして比較してみればいいではありませんか。
        大容量のファイルを複数サイトからダウンロードしたら相手のサーバに負荷がかかりますし、
        ダウンロードに膨大な時間がかかります。
        ハッシュ値掲載するなんてたいした手間じゃないのに、
        何故利用者側がそのような事をする必要があるのですか?
        しかも、それをやったところで、公式サイトが配布したいファイルとの同一性は確認できません。

        > さらに Admin 権限が云々といってますが、・・・
        > スパイウェア駆除ソフトの通信要求すら許可できないとなると・・・

        だから、そういうAdministrators権限や通信許可を要求するソフトを導入するってことは、
        そのソフトにPCの完全な支配権を与えることに等しいわけです。
        従って、「デジタル署名」を行って信頼性を保証しろってこと。
        デジタル署名は匿名では取れません。
        ベリサインなどの機関から郵便物が郵送されたり電話確認があったりと
        身元の確認が署名機関によって行われるわけです。

        またファイルが改変されていないことなども同時に証明できます。
        親コメント
    • 私は、信用できないのでfirefoxのextentionはインストールしていません。
      理由としては次のようなものが挙げられます。

      ・デジタル署名がされていない物が殆ど。
      ・公式サイトにファイルのハッシュ値が表示されていない。
      ・公式にアップデートファイルを置かずに各install.rdf内に書かれたサイトからのアップデートを要求している物が多い。
      ・アップデートはインストールを許可していないサイトからでもできる。
      ・アップデート後、起動時に勝手に無断で、任意サイトにアクセスしに行くようになったものもある
      ・公式サイトのミラーサイトが多数あったり同じバージョンを何度もアップデートさせたり信頼性が低い。

      勿論、デジタル署名がされていても、オレオレ署名だったら許容しませんがね。


      そもそも、無料のセキュリティツールなんて相互監視させないと信用できないです。
    • >・デジタル署名がされていない。

      されてます

      >・公式サイトにファイルのハッシュ値が表示されていない。

      されてます

      >・公式にファイルを置かずにランダムで表示されるミラーサイトからのダウンロードを要求している。
      >・公式サイトのミラーサイトが多数あったりURLが頻繁に変更されて信頼性が低い。

      上記の2項が満たされていればどうでもいいですね。

      つまり、親コメントに真実はいっさい含まれていません。

      一度でもダウンロードしたら分かることなんですけどね。
      情報収集の手間を惜しむと失敗するいい教訓ですな。
      • 親コメントを投稿した者です。
        download.com から 現在(2005年12月29日)、
        Spybot S&D をダウンロードしてみたところ、
        デジタル署名がされていることを確認しました。
        古い情報を今の情報と誤解されるような書き方をして申し訳ありませんでした。
  • 何を信じればいいのか… (スコア:2, おもしろおかしい)

    by R.net (29231) on 2005年12月20日 16時47分 (#852353)
    もはやわかりませんね。


    件のサイト「あんたのPCはスパイウェアに侵されています!」
    ユーザー「大変だいますぐアクセクする!」
    Websense社「お前それ騙されてるよ」
    ユーザー「よかった!僕のPCにはもともとスパイウェアはいなかったんだね!」

    それ何てちょっといい話?
  • by Anonymous Coward on 2005年12月21日 10時06分 (#852735)
    http://www.shareedge.com/spywareguide/product_show.php?id=2263 多分これの事かと。 winfixerそのものをインストールする前からかなりやっかいな事をしてくれます。
  • by Anonymous Coward on 2005年12月20日 16時40分 (#852344)
    アンチスパイウエアは良心的になったんでけど
    なんかあるの?
    2004年度いぜんは アンチスパイウエアがスパイウエアだって
    ことはよくあったんだけど・・・
  • by Anonymous Coward on 2005年12月20日 23時05分 (#852537)
    単なる詐欺じゃないのか?

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...