パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Microsoft IIS 5.0 のセキュリティバグ(WebDAV 機能)」記事へのコメント

  • プログラムの基本として、全てのバッファに対してオーバーフロー等が生じないようにコーディングするのが普通だと思うのですが、なぜこんなに、次から次に不具合が見つかるのでしょうか?
    • プログラムの基本として、全てのバッファに対して...

      少なくとも文字列処理について言えば、そもそも自前でバッファを確保して使おうなどとするのが、時代遅れで、無粋で、効率の悪いプログラミングスタイルでしょう。別途入念に作られた汎用文字列操作ライブラリを使うことを考えてみるべきです。

      そうした汎用ライブラリを使うと、文字列格納のためのメモリがヒープ領域に

      • by Anonymous Coward on 2003年03月21日 13時47分 (#283638)
        >別途入念に作られた汎用文字列操作ライブラリを使うことを考えてみるべきです。

        などとよく言われますが、問題の本質は、
        「今、そこにあるコードが、そのような考慮がされずに、書かれている」ということではないでしょうか? 新しく作るコードがどうのこうのじゃなくて、今見つかっているバッファオーバーフロー脆弱性は、いままでそのような考慮がなされずに作られているからでしょう。だから、これからも次々と「発覚」すると思われます。

         というわけで、「正しいコードを書かないからいけない」という議論はあんまり意味がなく(まったく無用とはいいません、もちろん)、今あるコードから自動的に(完璧に)バッファオーバーフロー脆弱性を見つけて、指摘してくれる手法やツールがあればうれしいのですが。できたら大金持ち? だれが早く作ってくれ(実際には、何がバッファオーバーフローかを見つけるのが非常に困難だから作られてないのだと思うけど)。
        親コメント
        • 今あるコードから自動的に(完璧に)バッファオーバーフロー脆弱性を見つけて、指摘してくれる手法やツールがあればうれしいのですが。
          「完璧に」は無理でしょう。必要以上に警告が出てしまうものになるか、全部は見つけられないがいくらかは見つけてくれるものになるでしょう。研究レベルでは以下などの取り組みがあります。
          • David Wagner, Jeffrey S. Foster, Eric A. Brewer and Alexander Aiken, A First Step Towards Automated Detection of Buffer Overrun Vulnerabilities, Network and Distributed System Security Symposium, Feb 2000.
          • David Larochelle and David Evans, Statically Detecting Likely Buffer Overflow Vulnerabilities, 2001 USENIX Security Symposium, Aug 2001.
          • 中村豪一, 村瀬一郎, 静的解析によるCプログラムのバッファオーバーフロー検出, 情報処理学会プログラミング研究会, Jun 2002.
          親コメント
          • まだまだ研究途上ですか。となると、開発者(およびパッチを開発して配布する部署の担当者)が枕を高くして眠れる日はまだ遠いようですね。でもその分、セキュリティ関連ツール産業(ウイルス対策ソフトとか、パッチ当てるソフトとか)はまだまだ安泰というところでしょうか。まぁ、不景気の今、そういう産業ぐらいは景気よくなっててもらわないと(おいおい)。

日々是ハック也 -- あるハードコアバイナリアン

処理中...