パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows 10、ダウンロード済み更新プログラムを他のユーザーに送信する機能がデフォルトで有効に」記事へのコメント

  • 他がやってもスルーするのにM$だけ批判するおかしな人たち。

    というか、このケースでの問題点は別にあるだろう。
    1)こんな通信経路があるとセキュリティホールになってやしないか気が気じゃない。OFFにしても穴が開いたままなんじゃないかと心配で眠れない。
    2)自分のPCから他人に送るのをOFF設定にしても、自分がWindowsUpdateする時には知らない第三者からウィルス入りのUpdateデータファイルが
     送られ来やしないかと気が気じゃない。 UpdateファイルくらいM$から直で配れよ。

    • by Anonymous Coward on 2015年08月02日 12時10分 (#2857301)

      > 1)こんな通信経路があるとセキュリティホールになってやしないか気が気じゃない。OFFにしても穴が開いたままなんじゃないかと心配で眠れない。

      それなら使わなくていいですよ
      もちろんMacもiOSもAndroidも使えないですよね。心配で眠れませんよね。

      > 2)自分のPCから他人に送るのをOFF設定にしても、自分がWindowsUpdateする時には知らない第三者からウィルス入りのUpdateデータファイルが
       送られ来やしないかと気が気じゃない。 UpdateファイルくらいM$から直で配れよ。

      記事にもありますがアップデータは小さいチャンクに分けられて展開されます
      なので

      ・アップデートがあること、そのサイズやチェックの情報はMSが直接展開する
      ・チャンクはMS以外からも取得する
      ・取得したチャンク自体が正しいかどうかをMSから直接受け取ったアップデート指示の内容に従ってチェック
      ・複数連結したチャンクをMSから直接受けとったアップデート指示の内容に従ってチェック
      (このとき、チャンクの分割単位とは「異なる」単位でCRCを取るなど特定チャンクの悪意ある変化を検出しやすくする)

      とすれば、すべてのチャンクが同一主体により悪意あるものに差し替えられていない限りは安全と判断できます
      実際にはアップデータ全体のうち最低でも一部はMSから直接受け取るなどの追加対策もしているでしょう

      親コメント
      • by Anonymous Coward on 2015年08月02日 12時45分 (#2857320)

        まぁ、CRCじゃなくて、Codesigningなんですけどね。
        Windows は古の時代からプログラム類には電子署名を付与していましたし、
        Windows Update が電子署名を検証するのも既知の事実です。

        従って、通信経路がどうであろうが、この仕組みによってPCが乗っ取られるということは有りません。 #別のバグが無い限り

        親コメント
        • by Anonymous Coward

          まあ、仕組み的に狙われやすいでしょうね。

          ただ、Windowsはスクリプトでも署名できるので、改ざんは手間かかりますね。
          これ、スクリプト多用するLinuxで同じ方法使えないかなーと
          探したことありますが。。

      • by Anonymous Coward

        妄想乙。

        じゃなかった。
        普通に考えればそうであろうと思えますね。
        ただ、公式情報でないと安心はできない(MSDNとかの例があるのが怖いけど)ので、
        ちゃんと情報を後悔してほしいですね。

      • by Anonymous Coward

        なんかセキュリティのことが全然わかってない開発者の戯言ですね。

※ただしPHPを除く -- あるAdmin

処理中...