umqの日記: Secure programmer: Countering buffer overflows
日記 by
umq
IBM の dW サイトに、David Wheeler のバッファオーバフロー対策に関する
ちょっと参考にしたい記事がある。この記事は、dW での連載の4回目に
相当する。
1回目はセキュアなコードを書く際の考え方について
2回目は入力処理の基本について
3回目は入力チェックについて
だった。
いずれも取っ掛かりとして読むのにふさわしいだろう。David Wheeler は、
おそらく、Secure Programming for Linux and Unix HOWTO(slashdot.jp
での日本語訳の紹介)で最もよく知られているだろう。このガイドラインを
元にプログラムの監査をしたりもできる(Flawfinderという支援ツールもある)。
# OpenBSD Journal の記事で知ったのだが。
因みに、strncpy(3) が、\0 で文字列の終端処理をしないのは
昔のファイルシステムでファイル名を収めるのに 16bytes 割当てて
そのうち、14bytes をファイル名、残り 2bytes を i-node にしていた
ときに、ファイル名を正しくうつすための実装が残っているからだと
聞いたことがある
そんな経緯を聞くとなるほどと思わないでもない
Secure programmer: Countering buffer overflows More ログイン