理系にゅーす

理系に関する情報を発信! 理系とあるものの文系理系関係なく気になったものを紹介します!

スポンサーリンク

バージョン

    このエントリーをはてなブックマークに追加 mixiチェック
1: 2019/07/06(土) 02:34:22.48 ID:CAP_USER
「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ
https://gigazine.net/news/20190705-zip-bomb/
2019/7/5
GIGAZINE

画像:
https://i.gzn.jp/img/2019/07/05/zip-bomb/01.png


数十KBのZIPファイルに見えて解凍すると膨大なファイル容量を食う「ZIP爆弾(高圧縮ファイル爆弾)」は、ZIPファイルの中にZIPファイルを格納し、内側のZIPファイルの中にさらにZIPファイルが……という入れ子構造を用いることで圧縮アルゴリズムの限界をうまく回避していますが、それゆえに多くのアンチウイルスソフトで対策されています。この弱点を乗り越えた「非再帰的ZIP爆弾」は、展開後のサイズこそ高効率で作られた再帰的ZIP爆弾にかなわないものの、わずか10MBから281TBへ2800万倍に膨らみます。

ZIPの圧縮で一般的に用いられているアルゴリズムは「Deflate(デフレート)」と呼ばれるもので、圧縮・展開速度の速さが特徴的です。圧縮率が最高で1032:1(約0.096%)という点はZIP爆弾を作る際の「足かせ」となっており、この制限を回避するため、ZIP爆弾ではZIPファイル内にZIPファイルを格納する入れ子構造を利用して、入れ子1つごとに1032倍にできるだけ近い圧縮率を得ることで、巨大ファイルを極小に見せています。

たとえば、有名なZIP爆弾に「42.zip」というファイルがあります。このZIPファイルは2種類存在して、古いバージョンは展開時のパスが不要でファイルサイズが「42,374バイト」、新しいバージョンは展開時にパスが必要でファイルサイズが「42,838バイト」。以下は古いバージョンのプロパティです。

中をのぞいてみると「lib 0.zip」から「lib f.zip」まで連番のつけられた16個のZIPファイルが格納されています。ファイルの元サイズは34,902バイト(35KB)で、圧縮後は2,533バイト(2.6KB)。圧縮率は7.3%。

「lib 0.zip」には、さらに「book 0.zip」から「book f.zip」というZIPファイルがあります。こちらは元サイズが29,446バイト(30KB)、圧縮後が2,084バイト(2.1KB)で、圧縮率7.1%。

続きはソースで
ダウンロード (2)


引用元: 【IT/ウィルス】「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむ[07/06]

「非再帰的ZIP爆弾」は10MBのファイルが281TBに膨らむの続きを読む

    このエントリーをはてなブックマークに追加 mixiチェック
1: 2019/03/21(木) 14:49:56.05 ID:CAP_USER
ソースコードを広く公開し、利用・修正・頒布も商用・非商用問わずに認めるオープンソースソフトウェア(OSS)は、コミュニティに参加する多くの人々に「益」を与える存在です。しかし、オープンソースのウェブブラウザであるFirefoxを開発するMozillaに勤務するプログラマーのIan Bicking氏が、「オープンソースは利益を生み出せないようになっている」と、自身のブログで主張しています。

Open Source Doesn’t Make Money Because It Isn’t Designed To Make Money
http://www.ianbicking.org/blog/2019/03/open-source-doesnt-make-money-by-design.html
https://i.gzn.jp/img/2019/03/20/open-source-doesnt-make-money/00_m.jpg

Bicking氏の所属するMozillaは、今後数年間で収益を多様化させたいと考えています。しかし、その過程には「オープンソースだとお金にならない」という問題が立ちはだかっているとのこと。オープンソースとして世の中で広く使われるようになり、「成功を収めた」とされているOSSでさえ、ささやかな収益化にすら苦戦しているとBicking氏は指摘しています。

OSSはその名前の通り、ソースコードを無償公開していて修正も頒布も自由なため、「お金を払う」という方向に利用者の意識を向けることが困難です。

Bicking氏はオープンソースプロジェクトについて、開発者の中に暗黙の了解が広がっていると感じています。それは、「人々の役に立つ有益なものであれば、やがて収益化するチャンスが訪れる」というもの。精力を傾けてソフトウェアの開発を行い、ソフトウェアをオープンソースにして多くの人々に利益を与えたならば、これに報いる利益を得られると多くの開発者が信じています。

しかし、残念ながらBicking氏はこの考えについて、「人々は暗黙のうちに道徳的な期待を持ってしまっていますが、これは一種の公正世界仮説(人間の行いに対して公正な結果が返ってくるという考え)に過ぎません」と述べています。実際には、たとえOSSの開発によって多くの人々に恩恵を与えたとしても、それだけで持続的な収益を得ることは難しいとのこと。

もちろん、すべてのOSSがお金にならないわけというわけではなく、中には開発者に多額の利益をもたらしているOSSもあります。Bicking氏はオープンソースでありながらも収益を得る方法について、いくつかの候補があると主張しています。


◆1:アプリにして販売する
オープンソースであってもアプリにお金を払う人は一定数いるため、アプリ化して少しの収益を得ることは可能です。しかし、商業的なスケールアップを試みるにはより多くの資本が必要であり、大抵のオープンソースプロジェクトがその資金を得るのは難しいとのこと。

続きはソースで

GIGAZINE
https://gigazine.net/news/20190320-open-source-doesnt-make-money/ 
ダウンロード (3)


引用元: 【IT】「オープンソースはお金にならない宿命」とMozillaのプログラマーが主張[03/20]

「オープンソースはお金にならない宿命」とMozillaのプログラマーが主張の続きを読む

    このエントリーをはてなブックマークに追加 mixiチェック
~~引用ここから~~

1: ( ´`ω´) ★@\(^o^)/ 2014/04/28(月) 16:03:57.48 ID:???0.net

■再びIEにゼロデイ脆弱性 - 標的型攻撃も確認、Windows XP環境は特に注意を [14/04/28]

 Internet Explorer 6 / 7 / 8 / 9 / 10 / 11に再びゼロデイ脆弱性が発見された。米Microsoftは4月26日(現地時間)、セキュリティアドバイザリ「2963983」として公開するとともに、この脆弱性を悪用した標的型攻撃がすでに発生していることを明らかにした。今回の脆弱性は、攻撃者によってInternet Explorer上で任意のコードが実行されたり、攻撃コードを埋め込んだWebサイトをホストされたりする危険性がある。

 日本時間の4月28日時点で、この脆弱性に対応する修正プログラムは提供されていない。
現状、Windows XP以降のほぼすべてのWindowsバージョン(32bit/64bit)、およびInternet Explorer 6以降の全Internet Explorerバージョンが該当する。さらに、Windows XPのサポート終了後に発見された脆弱性であり、Windows XP向けの修正プログラムは今後も提供されない点に注意。

当面の回避策として、以下のようなものが提示されている。また、シマンテックは「一時的にIE以外のWebブラウザを使用」することを推奨している。

続きはソースで
http://news.mynavi.jp/news/2014/04/28/195/

Microsoft Security Advisory 2963983
https://technet.microsoft.com/en-US/library/security/2963983
Microsoftの脆弱性緩和ツール「EMET」はこう使う - ゼロデイ攻撃から身を守る有効な手段
http://news.mynavi.jp/articles/2013/11/19/emet/
~~引用ここまで~~



引用元: 【セキュリティー】再びIEにゼロデイ脆弱性 - 標的型攻撃も確認、Windows XP環境は特に注意を [14/04/28]


【セキュリティー】再びIEにゼロデイ脆弱性 - 標的型攻撃も確認、Windows XP環境は特に注意を [14/04/28]の続きを読む
スポンサーリンク

このページのトップヘ