アカウント名:
パスワード:
長らく +Lhaca のユーザーだった者として、 Windows で圧縮ファイルの取り扱いに迷ったらとりあえず +Lhaca デラックス版を入れておけばよいという気楽さを提供してくれた作者の村山富男さんには感謝しています。
前回の脆弱性 [srad.jp]が見つかるまで +Lhaca 1.20 を使っていましたが、脆弱性への対応の中で
行ったこと:LHA展開処理内に存在したstrcpyをstrncpyに変更し、バッファーのオーバーフローをなくしました。
という記述を見て不安を覚えたので、 +Lhaca を使うのをやめました。
C 言語を知っている人の中には似たような印象を受けた人もいるのではないでしょうか。
どんなライブラリー関数もそうですが、 strncpy は魔法の関数
>「strcpy が危険なら、 strncpy に変えれば安全だろう」と思っているとも受け取れる記述 あなたがどう受け取ろうと自由ですが、私もこの記述が村山氏への侮辱としか受け取れません。
>「strcpy が危険なら、 strncpy に変えれば安全だろう」と思っているとも受け取れる記述
あなたがどう受け取ろうと自由ですが、私もこの記述が村山氏への侮辱としか受け取れません。
作者を侮辱するつもりはありませんでしたが、「僕はこの記述から作者のセキュリティーに関する技術力に不安を覚えた、だからそのソフトを使うのをやめた」と発言するのが侮辱なら、侮辱だと思います。
>もっとも、これらの関数だって注意して使う必要があるのですが。必要な注意力の程度の差の問題です 注意力の程度の差、という意味がわかりません。 プログラミングをする際に故意に「手抜き」をするという習慣があるのですか?
>もっとも、これらの関数だって注意して使う必要があるのですが。必要な注意力の程度の差の問題です
注意力の程度の差、という意味がわかりません。 プログラミングをする際に故意に「手抜き」をするという習慣があるのですか?
なるべく楽にプログラムを書けるように、言語を選んだり実装方法を考えたりしますが、僕はそれを手抜きとは呼びません。注意力が必要な部分はなるべく減らしたいです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
「strcpyをstrncpyに変更しました」が意味すること (スコア:4, 興味深い)
長らく +Lhaca のユーザーだった者として、 Windows で圧縮ファイルの取り扱いに迷ったらとりあえず +Lhaca デラックス版を入れておけばよいという気楽さを提供してくれた作者の村山富男さんには感謝しています。
前回の脆弱性 [srad.jp]が見つかるまで +Lhaca 1.20 を使っていましたが、脆弱性への対応の中で
という記述を見て不安を覚えたので、 +Lhaca を使うのをやめました。
C 言語を知っている人の中には似たような印象を受けた人もいるのではないでしょうか。
どんなライブラリー関数もそうですが、 strncpy は魔法の関数
Re:「strcpyをstrncpyに変更しました」が意味すること (スコア:2, すばらしい洞察)
あなたがどう受け取ろうと自由ですが、私もこの記述が村山氏への侮辱としか受け取れません。
中身も確認せずに関数を置き換えて修正版リリース、なんてどこかの初心者の笑える失敗談ですか?
>もっとも、これらの関数だって注意して使う必要があるのですが。必要な注意力の程度の差の問題です
注意力の程度の差、という意味がわかりません。
プログラミングをする際に故意に「手抜き」をするという習慣があるのですか?
あなたにが今までもこれからもソフトウェアの開発に関わらないという選択をされることを祈ります。
Re:「strcpyをstrncpyに変更しました」が意味すること (スコア:1)
作者を侮辱するつもりはありませんでしたが、「僕はこの記述から作者のセキュリティーに関する技術力に不安を覚えた、だからそのソフトを使うのをやめた」と発言するのが侮辱なら、侮辱だと思います。
なるべく楽にプログラムを書けるように、言語を選んだり実装方法を考えたりしますが、僕はそれを手抜きとは呼びません。注意力が必要な部分はなるべく減らしたいです。
Re:「strcpyをstrncpyに変更しました」が意味すること (スコア:0)
その違いは判りますか?多くの人が指摘していますね。
問題の解決に比べて些少な事を指して「使う気が無くなるほど技術力に不安を覚えた」と
根拠も無く乱暴な言葉で煽り立てるのは人によっては侮辱と受け取られてもしょうがないでしょう。
貴方が「strncpyよりよい代替物を用いるべきである」と主張したいのなら、
最初からそう言えばよく、誰かを貶める必要はないのです。
そうすればこのようにフレームが起こることは無かったでしょう。