パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Borland Turboシリーズ、無償ダウンロード開始」記事へのコメント

  • BT使えよ (スコア:5, おもしろおかしい)

    こういうニュース見るたびにBitTorrent使えよと思う人は多いに違いない。
    • いやマジで (スコア:2, すばらしい洞察)

      by Livingdead (18685) on 2006年09月06日 23時49分 (#1013300) ホームページ 日記
      「おもしろおかしい」とかモデレートされてるけど、
      マジでそう思いますね、本体は BitTorrent で、
      というか、Winny でもいいからどんな方法でもいいんじゃないかと。
      で、起動後認証サイトに自動的に接続されるか、
      あらかじめサイトで発行しておいたシリアルナンバーを
      入力しないと起動しないとか。
      いや、誰でもそう思ってると思うんだが、なんでそうしないんだろ。
      --
      屍体メモ [windy.cx]
      親コメント
      • Re:いやマジで (スコア:4, すばらしい洞察)

        by Anonymous Coward on 2006年09月07日 0時00分 (#1013309)
        水と安全がタダな国のみなさんにおかれましては、デジタル署名なんて鰯の頭ぐらいにしか思ってない [takagi-hiromitsu.jp]からじゃない?
        httpsですらないダウンロードサイトのURLよりよっぽど改竄は困難なはずなのに、必ずと言っていいほど「いや署名だって偽造されるかもしれない」と(なぜかURLに対しては全く抱かない)心配を過剰にし出す。
        そもそも肝心のTurboシリーズのインストーラに署名されているかどうかは(ダウンロードできてないので)未確認だけど。
        親コメント
        • まぁインストーラと思って実行するととんでもない悪意ある実行ファイルだったということもあるので、そもそもインストーラの署名に頼るだけではだめなのかもしれませんが、せめてファイルサイズとハッシュくらいは確認するんじゃないかな、少なくとも Turbo シリーズを使ってみようと思うプログラマなら。さすがにファイルサイズとハッシュを保ったまま悪意あるコードにすり替えるのは難しそうだし。ハッシュとしてどんなアルゴリズムを使うかにもよるのでしょうけど。
          --
          屍体メモ [windy.cx]
          親コメント
          • by Anonymous Coward on 2006年09月07日 0時31分 (#1013334)
            > そもそもインストーラの署名に頼るだけではだめなのかもしれませんが、

            これは私の書き方がまずかったのだと思いますが、もちろん署名されてることだけを確認しても無意味です。JWordやWinFixerだって署名されています。肝心なのは署名の発行者がBorlandであることの確認です。XP SP2以降ならIEで普通にダウンロードしたファイルをダブルクリックしたとき、実行する前に目に付くように発行者を表示してくれます。

            > インストーラと思って実行するととんでもない悪意ある実行ファイルだったということもある

            なんてことをBorlandがすると疑うんだったらあなたどうしてTurboシリーズをインストールしようとしているの? って話になりますし。要するに発行者を確認するのはURLのドメインを確認するのと同様で基本中の基本です。あまりに基本的すぎて明記するのを忘れてました。

            > さすがにファイルサイズとハッシュを保ったまま悪意あるコードにすり替えるのは難しそうだし。

            そのファイルサイズとハッシュはどこから入手しました? Borlandの社員から手渡しとかhttpsなborland.comのサイトとかじゃなければ、それを改竄する方が実行ファイルの署名を改竄するよりはるかに簡単です。そんな総務省レベルの言い訳をされても…。
            親コメント
            • 別にデジタル署名を否定しているわけじゃないですよ。
              そうじゃなくて、デジタル署名が軽視されていることが
              BitTorrent 等による配布を妨げている要因とは言えない
              ということを言いたかったのです。

              証明書が信頼できる証明パスを持っていなければ
              ならないのは電子署名なのだから当たり前のことですし、
              ハッシュなどのフィンガープリントを信頼できる
              経路で入手する必要があるのは当然のことです。
              --
              屍体メモ [windy.cx]
              親コメント
              • では、
                > そもそもインストーラの署名に頼るだけではだめなのかもしれませんが
                という文言はどこから出てきたのですか?

                > そうじゃなくて、デジタル署名が軽視されていることが
                > BitTorrent 等による配布を妨げている要因とは言えない
                > ということを言いたかったのです。
                日本のように実行ファイルの信頼性担保に無頓着な土壌があるなら、平気でBitTorrentに流すことはむしろ助長されそうですね。Borlandは外資系なのでそれはなさそうですが。

                ところで、結局Turboのインストーラには署名されていたのでしょうか? (未だに確認できていません)
            • by Anonymous Coward on 2006年09月07日 8時12分 (#1013400)
              >Borlandの社員から手渡しとかhttpsなborland.comのサイトとかじゃなければ、それを改竄する方が実行ファイルの署名を改竄するよりはるかに簡単です。そんな総務省レベルの言い訳をされても…。

              Borlandの社員は実は買収されていたとか、borland.comは既にクラックされていたとか。
              SSL署名は根っこから、既に悪意の第三者に改竄されていたとか。

              信用できるのは自分だけって事かな。
              コンパイラもアセンブラも悪意のコードかもしれないので、自分でハンドアセンブルして作るしかないのかな。

              # 結局、CPUのマイクロコードも信用できないのでワイヤードロジックに一票なのでAC
              親コメント
            • >そのファイルサイズとハッシュはどこから入手しました?
              >Borlandの社員から手渡しとかhttpsなborland.comのサイトとかじゃなければ、それを改竄する方が実行ファイルの署名を改竄するよりはるかに簡単です。

              公式サイトからダウンロードできるファイルは信用するのであれば、同じところにトレントのトラッカー置いて、MD5ハッシュも書いておけば良いんじゃ・・・

              #疑い出したらきりが無いような・・・
              親コメント
            • by Anonymous Coward
              > そのファイルサイズとハッシュはどこから入手しました? Borlandの社員から手渡しとかhttpsなborland.comのサイトとかじゃなければ、それを改竄する方が実行ファイルの署名を改竄するよりはるかに簡単です。そんな総務省レベルの言い訳をされても…。

              なんていうか、そのBorland社員は本物だったのかとか、そのときborland.comはハイジャックされていなかったかとか、疑いだすと止まらんですよね。

              松坂牛として売られている肉がアメリカ産のBSE感染牛の肉だったりするかもしれないので、食べないという手もある。

              どこで線を引くかは(自分にとっては)難しい問題です。

              自分が悪党だったらTurboシリーズよりAdobeのフリー系かLhasa系ツールを狙うな~と思ったAC
              • by Anonymous Coward
                > 松坂牛として売られている肉がアメリカ産のBSE感染牛の肉だったりするかもしれないので

                さすがにそれは一目でわかりますよね

                #カシラや内臓系はわからないかもしれないけど、そのへんは松坂牛のありがたみは感じないし
            • 署名のBorlandがあのBorlandであることはどう確認したらいいんだろう。

              東京三菱銀行だと思ったら、東京にある「三菱の土手」とかいう食い物屋の署名だったりとかしないのかしら。
          • 署名とか小難しいことはよくわからないのですが、ちょっと思ったこと……

            「インストーラとなるファイルサイズの小さい実行ファイルをウェブサイトで配るので、大きい中身のデータは P2P で落としてください。
            ちゃんとしたデータじゃないとインストーラが起動しません」

            というのは簡易かつ安全? そうではない?

            # わからないんじゃなくて、わかろうとしてないのかもしれない。
          • インストーラと思って実行するととんでもない悪意ある実行ファイルだったということもあるので、そもそもインストーラの署名に頼るだけではだめなのかもしれません
            さすがにファイルサイズとハッシュを保ったまま悪意あるコードにすり替えるのは難しそうだ

            署名が頼れない状況を想定してるのに、ハッシュの改ざんはさすがに難しい、……って。
            必ずと言っていいほど「いや署名だって偽造されるかもしれない」と(なぜかURLに対しては全く抱かない)心配を過剰にし出す。
            親コメントのこの文の、URLをハッシュに置き換えた具体例だね。

ソースを見ろ -- ある4桁UID

処理中...