どさにっき2006年3月1日(水) ■ qmail のセキュリティ _ しつこく。 _ このまえパッチをあてた qmail がセキュアかどうかわからん、と書いたが、実はわしはパッチのあててない素の qmail もセキュアではないと考えている。 _ djb の考える安全というのは、たとえばバッファオーバーフローとかで外部からコードを注入されない、万が一そういう穴があっても被害を最小限に抑えるためによけいな権限を持たない、というプログラマ的な観点に立ったものである。 _ でも、セキュリティってのはそんな狭いものじゃない。何をしたのか、という記録を残して、後から調査・追跡が可能なようにしておくこともセキュリティの重要な要素なのだが、qmail はそれをしない。 _ qmail-send はログを吐くが、qmail-send というのはメッセージがキューに入った後を受け持つプログラムであり、キューに入るまで
