web-dev-qa-db-ja.com

クローズドソースまたはプリコンパイルされたソフトウェアに対して「このソフトウェアを信頼します」を決定する方法は?

AWSでのPuppetについて説明する次のウェビナーを見るのに興味があります。参加するには、 ソフトウェアアプリケーションのインストール が必要です。当然のことながら、いくつかの簡単なGoogleサービスでこのテーマに関する十分な情報を見つけることができるので、それは行いません。

ただし、参加したいウェビナーが時々あります。どのような基準が平均的なユーザーがソフトウェアパッケージインストールするのに十分安全だと思われます。 Firefoxはオープンソースですが、Mozillaのバイナリを信頼するのに十分満足しているため、バイナリを信頼するつもりがなくても、すべてのソースを確認することはできませんでした。これが、インストールするものの下限です。 妥当な上限を設定するための妥当な基準は何ですか?

もちろん、100%のセキュリティは求めていません。誰もそれを提供できないからです。 ソフトウェア開発者ではない平均的なユーザーに適したものを探しています。サードパーティのアプリケーションをインストールしないと、OSが提供されていても、コンピュータは役に立たないそれらはレポを介して。

softwarethird-party
16
dotancohen

信頼はブール変数ではなく、「trusted = true/false」です。trust levelについて考えることをお勧めします。

このソフトウェアに付与できる信頼レベルを評価するのに役立ついくつかの質問の例:

  1. このソフトウェアの編集者をどの程度信頼していますか?
  2. 作成されてからコンピュータに配信されるまでの間に、悪意のあるサードパーティによってソフトウェアが変更された可能性はありますか?
  3. このソフトウェアに提供する必要があるデータの機密性はどのくらいですか?
  4. このソフトウェアを実行するコンピューターにあるデータの機密性はどのくらいですか?
  5. このソフトウェアを使用する必要がある期間と頻度を教えてください。

私があなたの質問を正しく理解した場合:

  1. あなたは編集者を信頼していません。そうでなければ、そもそもこの質問をしなかったでしょう。
  2. このソフトウェアには、参加するこのウェビナーに関連する情報が必要です。
  3. あなたのコンピュータは、信頼性の問題を心配させる機密情報または少なくとも個人情報をホストしています
  4. これは、このウェビナーの1つのスポットの使用法であり、せいぜい参照のみです。

このような状況では、仮想マシンを作成するだけなので、ウェビナーの要求に自由に対応しながら、プライバシーの問題を心配する必要はもうありません。ウェビナーが終了したら、VM画像をアーカイブするか、ドロップするかは自由です。

21
WhiteWinterWolf

ソフトウェアに注目すべき推奨事項があるかどうか、または信頼できる人がソフトウェアを気に入っているか使用しているかどうか、 Web of Trust の原理がどのように機能するかを確認できます。技術者でないユーザーにとって、これは私が提案するアプローチです。テクニカルユーザーは、すべての宿題をして、ソフトウェアの「血統」を提示するか、「このソフトウェアのように信頼できるセキュリティ専門家の束」のように言うことができます。あなた自身のために、あなたは宿題をして、ソフトウェアが推薦や推薦を得るのに十分に知られているかどうかを確認する必要があります。

たとえば、 Silent Circle サービスについては、誰が Phil Zimmerman は、彼がやったことであり、 彼の政治の一部を読みます 。彼を調べて、彼がサイレントサークルを運営している、またはサイレントサークルに深く関与していることに気付いた後、私は彼らが信頼できるソフトウェアまたはサービス、あるいはその両方であると考えます。

私は OpenWhisper Systems について同じ宿題をしましたが、スティーブギブス( [〜# 〜] grc [〜#〜]Security Now )は Moxie Marlinspike

体重を運ぶ可能性のある別の注目すべき名前は Bruce Schneier彼のブログ ) 。彼が何かを好きまたは嫌いなら、それは大したことです。

現在、安全でプライベートな匿名ソフトウェアを推奨する中立的な政府機関はありませんが、最も近いのはEFF( Electronic Frontier Foundation です。 )。彼らは セキュリティ製品とその機能に言及しているウェブサイト を持っていますが、明示的な推奨を提供しているとは思いません。

ソフトウェアがあまり知られておらず、心配している場合は、他の人が言ったように、何らかの形で分離する必要があります。 A VMは良いサンドボックスです;予備のハードウェア;特別な目的の "テスト"ハードウェア、そのようなソフトウェアによる潜在的な損傷のレベルに適合するものは何でも。

0
YetAnotherRandomUser