いろきゅうの(元)はてなダイアリー

はてなダイアリーから移行中…

ヘタレ開発者として思った事

武田圭史 » 「短絡的にWinnyを規制するのはおかしい」という短絡的な発想(http://figure.nekosuki.ojaru.jp/さんより)

上記のエントリーのコメント欄で発見したのですが、ちょっと思っただ所だけ引用させてもらうと…

いや、セキュリティーホールWinny自体にあります。

  • まず、ウィルスからP2Pでアップロードするフォルダが制御できてしまう。
  • ハードディスクのルートをアップロードフォルダに設定できる。
  • ネットワーク上の共有フォルダをアップロードできる。
  • アップロードしたファイルを削除する方法がない。(これはP2Pの特性上、不可避じゃないかという人もいるかもしれませんが、確かに難しい問題で解決方法はなかなか見つからないと思いますが、特定の実装上の問題です)
  • 利用者が危険なファイルを認識するためのフールプルーフがない。ダウンロードしたファイルは自動でウィルスチェックするようにするとか、誰かが危険なファイルとマークしたファイルはダウンロードを停止するなど色々回避方法があります。これが無いために普段気をつけている人でもうっかりウィルスに感染する可能性があります。
  • 暗号の鍵が実行ファイルの中に入っているので、通信しているデータの中身がわかってしまう(と言われている)。

…いやなんというか…開発者側に全部責任を投げてる発言にしか見えないです。ホント。 仮に私が似たようなソフト作ったとしたら、こんな意見を言ってみる。

ウィルスからP2Pでアップロードするフォルダが制御できてしまう
自前アプリケーション以外から設定ファイルが書き換えられるだけでセキュリティホールである…と申したか? バイナリディタやメモ帳とかは利用禁止令ですね。(というか、セキュリティホール?)
ハードディスクのルートをアップロードフォルダに設定できる
このあたりは利用者によって使い方が違ってくるじゃろうに…。 人によっては 「デスクトップ以下を指定可能だからセキュリティホール」 とか言い出しそう。 -> 個人の好みには対応出来ません。
ネットワーク上の共有フォルダをアップロードできる
ファイルサーバーを Linux 且 samba とかで立ててる人も居ることでしょうなぁ。 このあたりも利用者依存だろう。
アップロードしたファイルを削除する方法がない
これは 「問題」 ではあるとおもいますが、セキュリティホールというカテゴリでは無い気が。 仕様上の問題というか。
ダウンロードしたファイルは自動でウィルスチェックするようにするとか
自分でやれよ! なんで、開発側の責任になるんじゃあああー! つか、ワクチンソフトが必ずって考えてるのはヤヴァイかと… え、対応してないワクチンソフトが悪いって? ……('A`)
暗号の鍵が実行ファイルの中に入っているので
これ、難しいもんだよねぇ…。 いろいろ方法はあるみたいですが、いずれも 「解析しづらい」 という物しか無い気が*1。 アプリとしてコードが入ってる以上、どういう方法取ったとしても解析可能なわけですからなぁ。


山田オルタに感染した!!ヤヴェ!!」とかなんとか聞きますが、基本である 「信用できないexeは実行しない」 というのが出来ていれば (Antinyに限らず) 大部分が防げる気がするんです。 最近は html から ActiveX 経由で云々という話も聞いた事がある(気がする)ので、html および mht も危険なのかもしれない。 CD の autorun を利用した云々も聞いたことがあるので、isoイメージも危険でしょう。

私は、Winnyを利用してないので (回線が "ぷらら" という時点でやる気が出ない:ぉ) この辺りまでしか情報は入ってませんが、なんというか


 利用者の知識不足


も原因の一つである事に間違いと私は考えます(私も知らない事一杯ですし。)
そのファイルを開いた・実行した事により、どのような危険性があるか把握していない以上は無闇にダブルクリックするな…というのは、パソコンを使う上での (本当に) 基本的な事項だと思うのです。 それを、開発側が悪い〜 とか言われるのはチトどうかと。 ファイルDLした後のその人の行動なんて開発側にはわかりませんし、第一、実行したのはオマエやん と言いたい。問い詰めたい。小一時間問い詰めたい

まぁただ、悪意を持つソフトウェア "Antiny" 作ってる人たちが一番悪いとは思いますけどね。 "悪意" を持ってるわけですから、それで被害が出たらそのソフトウェアが悪いでしょう。
というわけで、感染してしまった人は、がんばってウィルス作者を捕まえて、その人をしばきましょう :P




RozenBiff にも、そのうち P2P ファイル共通機能が………… いやごめん、流石にウソ。(ぉ
…多分。

*1:そうでもない?