アカウント名:
パスワード:
C言語系の言語だと NUL (\x00) を文字列の終了とみなして勝手に処理を打ち切るとか色々問題起こるので、NULLバイトとかASCIIの制御文字はバリエーションで弾くのが常識だと思ってたけど、いまだにこんなレベルの低い脆弱性が主要MUAにあったとは驚き。
今はどうだか知らんが、10年ぐらい前はphpでもC言語系の非バイナリセーフ関数が入り乱れてて ereg() ですらNUL文字以降が無視されたからバリエーション回避に悪用されたし、ディレクトリトラバーサルもやり放題だったから、入力値は受け取った時点で \x00 が含まれていないことをバイナリセーフ関数で確認するのが常
何のバリエーションなのかと思ったらひょっとしてバリデーションですかね…
NULなんて言語(ライブラリ)で面倒見るべきってのはいうてもまぁ妥当なんじゃないかな…「プログラマが注意深くなければ間違う」なんて命令自体がおかしいのよやっぱ
IMEで「バリ」と打った時の予測候補を信頼したら、文脈上誤った文字列がスラド投稿フォームにインジェクションされてしまったようです。IMEの飼い主としてお詫びします。
NULなんて言語(ライブラリ)で面倒見るべきってのはいうてもまぁ妥当なんじゃないかな…
使おうとする関数がバイナリセーフかを確認するのはプログラマーの責任だと思います。それが面倒なら、すべての関数がバイナリセーフである言語やライブラリを使うべきでしょう。
日本では、開発経験のない管理職とか、こういうこと言っちゃう人っているよね。
>使おうとする関数がバイナリセーフかを確認するのはプログラマーの責任だと思います。「バグを出さないのはプログラマーの責任だと思います。」YES
「では対策は?」「バグを出すな」「それだけ?」「それだけ!」#後藤さんかよ。
>それが面倒なら、すべての関数がバイナリセーフである言語やライブラリを使うべきでしょう。「バイナリセーフな言語やライブラリにバグがないことを確認するのはプログラマの責任だと思います」以下、無限ループ
元コメで誤変換やらかしているように、人間誰しも間違いはあるのですそれを「飼い主としてお詫びする」などと、さも自分は悪くないように振る舞う人に責任どうこう言われても困るのです
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
吾輩はリファレンスである。名前はまだ無い -- perlの中の人
Mozilla Thunderbird は MTA が悪いから対策する気がないと表明 (スコア:0)
C言語系の言語だと NUL (\x00) を文字列の終了とみなして勝手に処理を打ち切るとか色々問題起こるので、NULLバイトとかASCIIの制御文字はバリエーションで弾くのが常識だと思ってたけど、いまだにこんなレベルの低い脆弱性が主要MUAにあったとは驚き。
今はどうだか知らんが、10年ぐらい前はphpでもC言語系の非バイナリセーフ関数が入り乱れてて ereg() ですらNUL文字以降が無視されたからバリエーション回避に悪用されたし、ディレクトリトラバーサルもやり放題だったから、入力値は受け取った時点で \x00 が含まれていないことをバイナリセーフ関数で確認するのが常
Re: (スコア:2)
何のバリエーションなのかと思ったらひょっとしてバリデーションですかね…
NULなんて言語(ライブラリ)で面倒見るべきってのは
いうてもまぁ妥当なんじゃないかな…
「プログラマが注意深くなければ間違う」なんて命令自体がおかしいのよやっぱ
Re: (スコア:1)
IMEで「バリ」と打った時の予測候補を信頼したら、文脈上誤った文字列がスラド投稿フォームにインジェクションされてしまったようです。IMEの飼い主としてお詫びします。
使おうとする関数がバイナリセーフかを確認するのはプログラマーの責任だと思います。それが面倒なら、すべての関数がバイナリセーフである言語やライブラリを使うべきでしょう。
Re: (スコア:0)
日本では、開発経験のない管理職とか、こういうこと言っちゃう人っているよね。
>使おうとする関数がバイナリセーフかを確認するのはプログラマーの責任だと思います。
「バグを出さないのはプログラマーの責任だと思います。」YES
「では対策は?」「バグを出すな」「それだけ?」「それだけ!」
#後藤さんかよ。
>それが面倒なら、すべての関数がバイナリセーフである言語やライブラリを使うべきでしょう。
「バイナリセーフな言語やライブラリにバグがないことを確認するのはプログラマの責任だと思います」
以下、無限ループ
Re:Mozilla Thunderbird は MTA が悪いから対策する気がないと表明 (スコア:0)
元コメで誤変換やらかしているように、人間誰しも間違いはあるのです
それを「飼い主としてお詫びする」などと、さも自分は悪くないように振る舞う人に責任どうこう言われても困るのです