パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

FlashのActiveXプラグインに脆弱性」記事へのコメント

  • バッファオーバーフローとかweb配信プログラムとか(のセキュリティ穴の話)を
    聞くたびに、やっぱりjavaのように、非nativeコードかつセキュリティモデルに囲われたモノでないと
    ネットワーク(に限らないが)プログラムとしては事実上それっぽいトラブルを根絶できないのかな?とか
    (弱気にも)思ってしまったりするんですが、どうなんでしょう?

    メジャーなものでそれっぽいものといえば一番に思いだされるのはjavaっすかね。
    #ん?MSもC#にソレを期待しているんだろうか???違うかな?

    「どうなんでしょう?」ってのは、javaみたいなやりかたでもやっぱり
    こういうトラブルは起
    • by steve (8972) on 2002年05月08日 13時20分 (#90522)
      > バッファオーバーフローとかweb配信プログラムとか(のセキュリティ穴の話)を
      > 聞くたびに、やっぱりjavaのように、非nativeコードかつセキュリティモデルに囲われたモノでないと
      > ネットワーク(に限らないが)プログラムとしては事実上それっぽいトラブルを根絶できないのかな?とか
      > (弱気にも)思ってしまったりするんですが、どうなんでしょう?

      そんな事は無いと思う。
      Cだってセキュアな記述をしようとすれば出来る。>根絶できる
      それはjavaとかとは難易度が低いか高いかの差であって、javaだからボケたプログラムでOKって訳じゃないよね。

      javaで楽できるからって程度の低いプログラマでいい訳じゃないし、
      それがC(++)でプログラムするなって事にはならないでしょ?

      「なんでまだC(++)で書いてるの?」ってそりゃそっちの方が楽だから。
      javaの方が楽できればjavaで書くべし。
      streamのparseなんかをjavaとCで書き比べてみれば、
      程度にもよるけどCの方が半分くらいのコード量で済むんじゃないかな?
      # javaよりCの方が実行速度が速い訳ではなくって、
      # (Cで書くよりも何倍も)苦労すれば速度差はそれほどないです。

      要は労の少ない選択をして、
      適切な苦労のかけどころに、適切な苦労をする事でしょ:-)
      親コメント
      • by G7 (3009) on 2002年05月10日 2時25分 (#91326)
        >javaとかとは難易度が低いか高いかの差で

        その差を無視できないことを以って「(理学ではなく)工学的である」と言う、とか聞いたような記憶が有ります。
        つまりゲンジツ的であるかどうかという事。
        現にこれだけ事実として事故が起きているのですから、無視できないのでは?

        >javaだからボケたプログラムでOKって訳じゃない

        極論すればそれは「ボケる余地すら無い」かどうかの問題ですよね。

        つまり1行も書かないのがバグが出ない一番の手であり、
        javaのような(Cよりは高級な)言語で書けば、ある場面において、
        Cでならば「書かないとならない」がjavaだと「書く必要が無い」
        (ときとして「書くことが不可能」ですらある)、ということが有るわけで、
        バグの量はそこで差がつくわけです。

        #それ以外の場面では、当然ですが技量の差が直接出るはずです(^^;

        >そりゃそっちの方が楽だから。

        (俺が)Cのほうが楽だなと思える場面といったら、
        文字列のコード(の変換)について考えなくて済む(まさに上記参照…)場面と、
        byte(?)配列の操作がゴリゴリ直感的に書けるという場面、だけ、
        のような気がしています(^^;

        #配列といえば、java1.4にはBufferとかいうクラスが増えたそうですね。
        #いままでBufferdHogehogeは有ったけど、その相方たるBufferそのものは暗黙化されていて不便だった、と…

        Cをどう思うか?は、文字列そのものとか生byte配列とかを頼る率の多寡に、依存するかもと思います。
        データの構造化がもっと華々しくなると、Cみたいなのだとキツい…

        >streamのparse

        StreamTokenizer(ぉ

        parseそのものはともかく、そのparseの結果として生じる状態とかの管理が
        ややこしくなると、非OO(=状態の管理単位を整理しにくい)だったり非GC(^^;だったりする言語では、辛いです…

        >要は労の少ない選択をして

        では、Cでセキュアなプログラムを(セキュアさが必要とされる場面で)書くことは、
        どれくらい労が少ないと言えるのでしょうか?(^^;;;;
        親コメント

※ただしPHPを除く -- あるAdmin

処理中...