[so] Re: Am o nelamurire

Octavian PURDILA so@atlantis.cs.pub.ro
Sat, 15 Nov 2003 13:34:22 +0200


Quoting Murgan Mihai <murganm@yahoo.com>:

Acest raspuns este unul generic pentru toate
plangerile de genul celor de mai jos 
(buguri de tip buffer overflow). Nu se va
mai raspunde la alte plangeri similare.

> Domnule profesor,
> 
> nedumerit. Din ceea ce spuneati dumneavoastra pe lista
> reiesea clar ca se pot limita comenzile la maxim 500
> de caractere, dar sa specificam acest lucru in readme.
> Exact asa am facut si eu, am specificat in readme
> acest lucru si intr-adevar nu am mai verificat in
> program daca se depaseste sau nu aceasta limita, din

Dupa cum reiese din discutia de pe lista, puteai sa
limitezi buferele, DAR trebuia sa verifici atunci 
cand scrii in ele astfel incat sa nu le depasesti.

Problema care s-a intalnit la tine poarte numele
de buffer overflow si este responsabila de 90% (sau
poate chiar mai mult) de exploiturile existente.
Problema buffer overflow nu poate fi corectata decat

- daca programatorul programeaza corect si nu scrie
in bufere mai mult decat este cazul

- limbajul verifica la fiecare scriere dimensiunea
bufferului

Cum optiunea doi nu este implementata in C,
singura solutie corecta este optiunea unu.

tavi







-------------------------------------------------
This mail sent through IMP: http://horde.org/imp/