【悲報】ITmediaさん、Python憎しで異常なデマ記事を公開してしまう
■ このスレッドは過去ログ倉庫に格納されています
インポート時にコードを実行するPythonの機能は、企業に3つのレベルのリスク(偶発的リスク、意図的リスク、外部リスク)をもたらす。
偶発的なリスクは、開発者がテストなどを実施するためにインポートのトップレベルの本体に何かを変更または追加し、
完了後にその特定のコードを削除するのを忘れる場合に発生する。これにより、不要なリソースが使用されたり、
無意味なエラーメッセージがログファイルに追加されたり、無限ループや同様の問題を含むテストが実行されたりする可能性がある。
コード自体はどこにも明示的に呼び出されないため、これらの問題を追跡するのは困難だ。
意図的なリスクは、不満を抱いた開発者が悪意を持ってインポートのトップレベル本文を変更する場合に発生する。
これにより、例えばクリプトマイニングルーチンの実行、機密情報のネットワーク外へのエクスポート、ネットワークへのバックドア、
トロイの木馬のインストール、さらには意図的に見つけにくい場所でコードをクラッシュさせることさえ可能になる。
外部リスクはおそらく最も潜在的なリスクだ。ここでは、開発者は誰も、偶然かどうかにかかわらず何も悪いことはしていない。
代わりに悪意のある第三者が、企業が使用する外部ライブラリを侵害する。その後、悪意のある攻撃者が企業のネットワークに
バックドアをインストールして、データを侵害したり、暗号通貨をマイニングしたり、ランサムウェア攻撃を開始したりする可能性がある。 なんやそれ、流石に気になるが
C以外にもOSに悪影響あるのあるんか? あれだけ一人勝ちだと狙われそうよな
一文字も読んでないけど グダグダ書いてるけどインポート時にコードが実行されることを殊更危険視する理由になってなくて草枯れるわ
ライブラリ使う以上インスタンス化時に悪意があるコードが実行される可能性とリスク変わらないんだよなぁ… なぜ他の言語ではこれが問題にならないのか
「Java」や「C#」などの言語は、設計上、インポート時にコードを自動的に実行しない。
開発者は、インポートからクラスを初期化するか、インポート内で静的メソッドを呼び出す必要がある。
これにより、悪意のあるコードがシステムを悪用するハードルが非常に大きいものとなる。 > これにより、悪意のあるコードがシステムを悪用するハードルが非常に大きいものとなる。
ここ最高に知恵が遅れてて草生える importって単にライブラリの外部読み取りだけじゃねえの?言語によって違うんだ
Cでさえヘッダなの情報渡すだけでしょ セキュリティ云々はともかくpythonの糞な所であるのは確かやな なーにがハードルが非常に大きいじゃ針小棒大に良い腐りやがって
ワイ別にPython好きじゃないけどゴミみたいな理屈でキレそうやわ まぁPythonみたいな前時代のウンコ言語早く廃れたほうがいいわ まあ確かにimportするってことは何かしら利用したい意志あってのことやしな
どれも同じやろな 極論言えばC++とかでもいけそうじゃないか
ヘッダーに悪意のあるコードをコンストラクタに持つクラスインスタンスを置いちゃうとか >>9
Pythonはimportでプログラム実行するから、
if __name__=="__main__":
という記述をつけて、importのときは動かないって明示しないといけない >>13
分からん
Walker Aldridgeさん外人の記者っぽいけどこの記事以外情報無くて謎やわ >>16
あー、そういやそんなおまじないあったな
サンガツ この危険性言い出したら全部自力でやれやってことにならへん? 自動化とか機械学習以外でぜんぜ使わんわPython >>19
Pythonでサードパーティアプリ使う時によく問題視されるのはタイポスクワッティングやな
まぁ別に他の言語でもあるんやけど
それが問題になった時に信頼可能な第三者によってレビュー済のパッケージを配布するシステムを作ったらどうかみたいな話がコミュニティで持ち上がったことはある 手打ちでライブラリ入れる時はじーっと凝視して確認してる ■ このスレッドは過去ログ倉庫に格納されています