河野真治 @ 琉球大学情報工学です。

In article <uk6bbflyi.fsf@anet.ne.jp>, OOTANI TAKASHI <tksotn@anet.ne.jp> writes
> Skype使われてますか。
> 私はP2Pソフトということで警戒して使ってないのですが、心配しすぎでしょうか?

今や、P2Pっていうとファイル交換だかならなぁ。本来、Peer to peer
とかですよね。なので、Mail が相手の postfix を叩くのもP2P。

Winny がやりだまに上げられているようだけど、このあたりも
誤解があると思う。

    トロイの木馬の侵入と、P2Pソフトには直接の関係はない
    ウィルスの動作と、P2Pソフトの関係もない

例えば、添付メール経由のウィルスがWinnyプロトコルを話すなら、
Winny がインストールされていようといまいと関係ありません。

問題の中心は、

    トロイの木馬を実行してしまうような環境と、
    セキュアである必要があるデータの環境が同じ

ってところにあります。Unix だったらchrootしてやれよ、とか、
VMware 上で動かせばいいじゃんってなたぐいですね。

P2Pをやり玉に上げるのは、シロートの主張です。

> でも絶対誰かがスーパーノードのフェイクとか作ってますよね。
> 今のところ脆弱性の話は聞いたこと無いですが、もし脆弱性が見つかれば
> 大ボットネットの誕生ですよね。

僕はそうはならないと思います。最初のInternet Wormでも、騒ぎ
は数日で収まってました。その後、大規模な感染はなかったとは言
いませんが、影響は限定的です。

Internet 上のサービスの脆弱性の発見は幾つか前例があります。
でも、プロトコルそのものの脆弱性って少ないし、条件がきついこ
とが多いので、前例はほとんどないんじゃないかな。WEP とかは、
そういうプロトコルそのものの脆弱性を持っていたわけだけど、そ
れほど大騒ぎになってないでしょ? 

多いのはバッファオーバフローとか、デバッグモードとかです。そ
れらは、software update で塞がれてしまうことが多いですね。Windows
のASNのバグのように半年以上放置されるってのは珍しい。

僕は決まった機能を実現するのであればバグの数は有限だと思う。
なので、脆弱性は、いずれ駆逐されてしまうと思ってます。プロト
コル自体、プログラム自体は無限にあるでしょうが、使われる実装
は有限だからね。

---
Shinji KONO @ Information Engineering, University of the Ryukyus
河野真治 @ 琉球大学工学部情報工学科