アカウント名:
パスワード:
Winnyの脆弱性の結構な割合はC++ BuilderにおけるAnsiStringの誤った使い方(c_str()を使い方がマズい?・本来使うべきでない所で使うなど;たとえばRC4キーの途中に00を含むとそこまでをキーとする、とかもそれの1つ)に起因すると聞きました。
今回みつかった中にもAnsiString起因する物があるのかどうかは知りませんが、少なくとも何の意味があるのか分からないRC4の使い方含めて(ソフトの趣旨自体がブラックというツッコミを置いても)Winnyの実装のセキュアさにはこれまでにもかなりの疑問符が付いていたと思います。金子さんはアルゴリズムとかは詳しくても細かいライブラリの仕様とかは門外漢なのかなという感じがします。
新たなセキュリティホールの発見は、サードパーティーのパッチを当ててまでして使おうとする一部の間違った部分だけセキュリティ意識の高い人には関係のある話かもしれませんが、一般人や、それ以外のユーザーを含め、新たに状況が大きく変化する物ではないと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
どこぞで聞いた話ですが (スコア:3, 興味深い)
Winnyの脆弱性の結構な割合はC++ BuilderにおけるAnsiStringの誤った使い方(c_str()を使い方がマズい?・本来使うべきでない所で使うなど;たとえばRC4キーの途中に00を含むとそこまでをキーとする、とかもそれの1つ)に起因すると聞きました。
今回みつかった中にもAnsiString起因する物があるのかどうかは知りませんが、少なくとも何の意味があるのか分からないRC4の使い方含めて(ソフトの趣旨自体がブラックというツッコミを置いても)Winnyの実装のセキュアさにはこれまでにもかなりの疑問符が付いていたと思います。金子さんはアルゴリズムとかは詳しくても細かいライブラリの仕様とかは門外漢なのかなという感じがします。
新たなセキュリティホールの発見は、サードパーティーのパッチを当ててまでして使おうとする一部の間違った部分だけセキュリティ意識の高い人には関係のある話かもしれませんが、一般人や、それ以外のユーザーを含め、新たに状況が大きく変化する物ではないと思います。
Re: (スコア:0)
とりあえず正常系が、それらしく動作していればいい
というレベルで十分であり、セキュアなコーディングのスキルは求めらず、それを習得する必要もなかったのでしょう。
そこでテオシロウ尊師の出番ですよ (スコア:0)