アカウント名:
パスワード:
char buf[BUFSIZE]; . . .
} Q.何年も前からわかっていながら、なぜ対処しないのですか。 A.このようなコードを書いてある本が存在するからという説と わざと入れているという説があります。 Q.信じられません。自分のプログラムに穴をあけるなんて。 A.一部のプログラマーは、これを指摘すると「仕様です」というので 間違いありません。意図的にやっているのです。 Q.彼らの目的は何なのです
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
質問形式でお送りします (スコア:3, おもしろおかしい)
A.不定長のデーターに対して下のようなコードを書くからです。
void func()
{
}
Q.何年も前からわかっていながら、なぜ対処しないのですか。
A.このようなコードを書いてある本が存在するからという説と
わざと入れているという説があります。
Q.信じられません。自分のプログラムに穴をあけるなんて。
A.一部のプログラマーは、これを指摘すると「仕様です」というので
間違いありません。意図的にやっているのです。
Q.彼らの目的は何なのです
Re:質問形式でお送りします (スコア:0)
A.コンシューマーゲーム機はCPU速度、メモリ容量ともに非常に制限されており
エラーチェックルーチンなんぞ、入れる余裕がないからです。
ゲームの場合、ユーザー入力などほとんど無く、必要性も認められません。
#今回は起動時のBI
Re:質問形式でお送りします (スコア:1, 参考になる)
A.認めるわけではないのですが、気持ちはわかります。
たとえば近年発見されたBufferOverflowの例としては
zlib
libpng
Apple QuickTime ActiveX v5.0.2
Apple Quicktime/Darwin MP3 Broadcaster
IE4.0
など、本来は絵や音を取り扱うプログラムがあります。
これらのソフトにとってはバッフアーオーバーを起こした文字列処理の部分はまったく本質でないわけです。
そもそもBufferOverrunという報告書のもとになった事件はフィンランドのOUSPGグループが
Outlook ExpressとNetscape Messengerで長いファイル名のファイルを添付するというものでした。
手を抜いてはいけないのですが、手を抜きたくなる気持ちはわかります。
Q.でもSendMailなんかは、テキストを扱うプログラムですが、ひどいものですよ。
A.SendMailの歴史はセキュリティの歴史といっても過言ではないでしょう。BufferOverflowなんてSendMailには小さなことです。
でも、彼らを攻めないでください。必要以上に複雑になったあのプログラムをメンテし続けているというだけで私は頭が下がります。
Re:質問形式でお送りします (スコア:0)
悪事を働いたわけではありません。むしろその逆。
後から読むとOUSPGが悪いみたいに読めますね。失礼しました。