【悲報】ITmediaさん、Python憎しで異常なデマ記事を公開してしまう

[0001 それでも動く名無し 2023/08/12(土) 22:09:02.92 ID:QYOjcIjd0]

Pythonにおけるimportの危険性とは　全ての運用関係者が知っておくべきPython特有のセキュリティリスク
https://atmarkit.itmedia.co.jp/ait/articles/2308/12/news031.html

[0002 それでも動く名無し 2023/08/12(土) 22:10:34.65 ID:QYOjcIjd0]

インポート時にコードを実行するPythonの機能は、企業に3つのレベルのリスク（偶発的リスク、意図的リスク、外部リスク）をもたらす。

偶発的なリスクは、開発者がテストなどを実施するためにインポートのトップレベルの本体に何かを変更または追加し、
完了後にその特定のコードを削除するのを忘れる場合に発生する。これにより、不要なリソースが使用されたり、
無意味なエラーメッセージがログファイルに追加されたり、無限ループや同様の問題を含むテストが実行されたりする可能性がある。
コード自体はどこにも明示的に呼び出されないため、これらの問題を追跡するのは困難だ。

意図的なリスクは、不満を抱いた開発者が悪意を持ってインポートのトップレベル本文を変更する場合に発生する。
これにより、例えばクリプトマイニングルーチンの実行、機密情報のネットワーク外へのエクスポート、ネットワークへのバックドア、
トロイの木馬のインストール、さらには意図的に見つけにくい場所でコードをクラッシュさせることさえ可能になる。

外部リスクはおそらく最も潜在的なリスクだ。ここでは、開発者は誰も、偶然かどうかにかかわらず何も悪いことはしていない。
代わりに悪意のある第三者が、企業が使用する外部ライブラリを侵害する。その後、悪意のある攻撃者が企業のネットワークに
バックドアをインストールして、データを侵害したり、暗号通貨をマイニングしたり、ランサムウェア攻撃を開始したりする可能性がある。

[0003 それでも動く名無し 2023/08/12(土) 22:11:04.54 ID:/HwfqYYj0]

なんやそれ、流石に気になるが
C以外にもOSに悪影響あるのあるんか？

[0004 それでも動く名無し 2023/08/12(土) 22:11:33.80 ID:AudeETnS0]

あれだけ一人勝ちだと狙われそうよな
一文字も読んでないけど

[0005 それでも動く名無し 2023/08/12(土) 22:11:33.94 ID:QYOjcIjd0]

グダグダ書いてるけどインポート時にコードが実行されることを殊更危険視する理由になってなくて草枯れるわ
ライブラリ使う以上インスタンス化時に悪意があるコードが実行される可能性とリスク変わらないんだよなぁ…

[0006 それでも動く名無し 2023/08/12(土) 22:12:15.13 ID:QYOjcIjd0]

なぜ他の言語ではこれが問題にならないのか

「Java」や「C#」などの言語は、設計上、インポート時にコードを自動的に実行しない。
開発者は、インポートからクラスを初期化するか、インポート内で静的メソッドを呼び出す必要がある。

これにより、悪意のあるコードがシステムを悪用するハードルが非常に大きいものとなる。

[0007 それでも動く名無し 2023/08/12(土) 22:12:39.96 ID:QYOjcIjd0]

> これにより、悪意のあるコードがシステムを悪用するハードルが非常に大きいものとなる。

ここ最高に知恵が遅れてて草生える

[0008 それでも動く名無し 2023/08/12(土) 22:13:02.90 ID:EZ+KPwFld]

なんかおかしいのこれ？

[0009 それでも動く名無し 2023/08/12(土) 22:13:03.12 ID:/HwfqYYj0]

importって単にライブラリの外部読み取りだけじゃねえの？言語によって違うんだ
Cでさえヘッダなの情報渡すだけでしょ

[0010 それでも動く名無し 2023/08/12(土) 22:13:03.75 ID:fBsTDnpjM]

セキュリティ云々はともかくpythonの糞な所であるのは確かやな

[0011 それでも動く名無し 2023/08/12(土) 22:13:26.56 ID:QYOjcIjd0]

なーにがハードルが非常に大きいじゃ針小棒大に良い腐りやがって
ワイ別にPython好きじゃないけどゴミみたいな理屈でキレそうやわ

[0012 それでも動く名無し 2023/08/12(土) 22:13:50.62 ID:AudeETnS0]

まぁPythonみたいな前時代のウンコ言語早く廃れたほうがいいわ

[0013 それでも動く名無し 2023/08/12(土) 22:15:01.89 ID:rnIG+LS60]

なんでPythonが憎いん？

[0014 それでも動く名無し 2023/08/12(土) 22:15:11.83 ID:/HwfqYYj0]

まあ確かにimportするってことは何かしら利用したい意志あってのことやしな
どれも同じやろな

[0015 それでも動く名無し 2023/08/12(土) 22:15:30.51 ID:PoLc0f4Yd]

極論言えばC++とかでもいけそうじゃないか
ヘッダーに悪意のあるコードをコンストラクタに持つクラスインスタンスを置いちゃうとか

[0016 それでも動く名無し 2023/08/12(土) 22:15:41.74 ID:fBsTDnpjM]

>>9
Pythonはimportでプログラム実行するから、

if __name__=="__main__":

という記述をつけて、importのときは動かないって明示しないといけない

[0017 それでも動く名無し 2023/08/12(土) 22:16:08.62 ID:QYOjcIjd0]

>>13
分からん
Walker Aldridgeさん外人の記者っぽいけどこの記事以外情報無くて謎やわ

[0018 それでも動く名無し 2023/08/12(土) 22:16:42.64 ID:/HwfqYYj0]

>>16
あー、そういやそんなおまじないあったな
サンガツ

[0019 それでも動く名無し 2023/08/12(土) 22:17:32.02 ID:gyMMCCVK0]

この危険性言い出したら全部自力でやれやってことにならへん？

[0020 それでも動く名無し 2023/08/12(土) 22:18:10.44 ID:N1zEFBusM]

自動化とか機械学習以外でぜんぜ使わんわPython

[0021 それでも動く名無し 2023/08/12(土) 22:19:00.19 ID:QYOjcIjd0]

>>19
Pythonでサードパーティアプリ使う時によく問題視されるのはタイポスクワッティングやな
まぁ別に他の言語でもあるんやけど
それが問題になった時に信頼可能な第三者によってレビュー済のパッケージを配布するシステムを作ったらどうかみたいな話がコミュニティで持ち上がったことはある

[0022 それでも動く名無し 2023/08/12(土) 22:20:17.50 ID:N1zEFBusM]

手打ちでライブラリ入れる時はじーっと凝視して確認してる