Vlákno názorů k článku
Operační systém Tizen od Samsungu je prý bezpečnostní katastrofa
od Ondra Satai Nekola - "One example he cites is the use of...
-
Ondra Satai NekolaZlatý podporovatel"One example he cites is the use of strcpy() in Tizen."
A to jsme, prosim pekne, v roce 2017.
-
Ondra Satai NekolaZlatý podporovatel
Ta funkce je proste spatne navrzena a zadna lepsi "libc" ji nepomuze. Muze nanejvys odstranit sem-tam nektere situace, kdy by doslo ke katastrofe, ale obecne nepouzivat. Ale to se snad rika uz na zakladnich kurzech Cecka?
-
Ondra Satai NekolaZlatý podporovatel
Ona je vetsina tech "klasickych" funkci, jak je Cecko prineslo spatne a existuji alterantivy.
strcpy vs strncpy vs strlcpy atp.Zakladni problemy s C to samozrejme neporesi, ale kdyz uz se nekde pouzit musi, tak alespon neco.
-
O (neregistrovaný)
strncpy a strlcpy nejsou o nic bezpečnější než strcpy, nanejvýš jejich použitím dá programátor explicitně najevo, že (snad) myslel na kapacitu výstupního bufferu. Tahle paranoia z použití strcpy nejspíš vznikla, když v C začali zkoušet psát lidi, kteří do té doby viděli jen PHP nebo Javu.
-
O (neregistrovaný)
Fakt by mě zajímalo, za co jsou ty minusy. Kdo neví, jak použít strcpy bezpečným způsobem, ten podle mě není v programování v C ani na úrovni juniora a neměl by vůbec psát produkční kód. Navíc takový člověk nejspíš netuší ani to, jak použít bezpečně strncpy/strlcpy, se kterými spáchám buffer overflow stejně snadno jako se strcpy. Ad absurdum můžou v Samsungu během pár minut přepsat všechna volání
strcpy(dst, src)nastrncpy(dst, src, strlen(src) + 1)a auditor si spokojeně odškrtne ten bod jako vyřešený, protože se mu ze statistiky vytratí všechna ta "zlá" volání.
ČLÁNKY DO MAILU