アカウント名:
パスワード:
あえて脆弱性を入れ込むとかでなければメモリ以外のセキュリティ問題って滅多にない気がする・仕様に由来するセキュリティ(WebGL 問題みたいなの)・API のパラメータの取り違えなどぐらい?
結局重大度の高い問題って「任意コードの実行」「メモリの読み取り」が大半だと思うので、メモリ起因がほとんどだよね# とはいえ、「安全な」言語の使用って今以上にメモリ喰いしそうで嫌だな
いかに事前に済ませるか、だよな。
C++だって、全機能がいつも最先端だったわけじゃない。他言語の「あれいいなあ」と思うものを、少しずつ取り込んで今がある。Rustが大成功を収めつつあり、「何がよかったのか」がプログラミング哲学的にわかってくる日は近い。C++の生ポインタにフットプリント0のトレイトを付与することは可能だと思うので、Rustの知見を取り込める日も来ると思う。
unique_ptrは既にあるのだけども、過去との互換性とかで複雑になるわね
30%あることを滅多にないと表現するのは、とても違和感があります
ご指摘ごもっとで、感覚と違いすぎるなと思い残りの 3 割について調べてみましたSeverity Guidelines for Security Issues [googlesource.com]
・A bug that allows full circumvention of the same origin policy. Universal XSS bugs fall into this category, as they allow script execution in the context of an arbitrary origin (534923).・Site Isolation bypasses:
細かい内訳はないのでこれがどの程度の比率かは不明ですが、XSS などポリシー外で情報を読めてしまうものも重大度が高いとして扱われていました確かに読まれたくない情報もあるし、クレジット番号など機密度の高い情報もあるのでこれも重大度の高い問題ですね
Apple案件でセミコロンが一個多かったか閉じ括弧が一個抜けてたかで判別ロジックが腐ったっていうのがなかったっけ
かの有名な goto fail 問題ですねiOS7.0.6で修正された「最悪のセキュリティバグ」はありがちなコーディングミスで発生していた [apple.srad.jp]
コーディング規約で「必ずブロック化すること、理由はコレ」って書いても単行の場合は中括弧省略する人が多いのツライ
そりゃ、中括弧を省略したことが問題の本質じゃないことを理由にしたって納得するわけないじゃないの
中括弧を省略したことじゃなくて、ブロック化しなかったことで起きた問題でしょ。ブロックの明示は可読性を上げてミスの発見につながる。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie
メモリ以外のセキュリティ問題 (スコア:0)
あえて脆弱性を入れ込むとかでなければメモリ以外のセキュリティ問題って滅多にない気がする
・仕様に由来するセキュリティ(WebGL 問題みたいなの)
・API のパラメータの取り違えなど
ぐらい?
結局重大度の高い問題って「任意コードの実行」「メモリの読み取り」が大半だと思うので、メモリ起因がほとんどだよね
# とはいえ、「安全な」言語の使用って今以上にメモリ喰いしそうで嫌だな
Re:メモリ以外のセキュリティ問題 (スコア:1)
// 調べなくても済む問題は調べずに「いかにすませるか」が最適化の鍵だったりするのだ
Re: (スコア:0)
いかに事前に済ませるか、だよな。
C++だって、全機能がいつも最先端だったわけじゃない。他言語の「あれいいなあ」と思うものを、少しずつ取り込んで今がある。
Rustが大成功を収めつつあり、「何がよかったのか」がプログラミング哲学的にわかってくる日は近い。
C++の生ポインタにフットプリント0のトレイトを付与することは可能だと思うので、Rustの知見を取り込める日も来ると思う。
Re: (スコア:0)
unique_ptrは既にあるのだけども、過去との互換性とかで複雑になるわね
Re: (スコア:0)
30%あることを滅多にないと表現するのは、とても違和感があります
Re:メモリ以外のセキュリティ問題 (スコア:1, 参考になる)
ご指摘ごもっとで、感覚と違いすぎるなと思い残りの 3 割について調べてみました
Severity Guidelines for Security Issues [googlesource.com]
細かい内訳はないのでこれがどの程度の比率かは不明ですが、XSS などポリシー外で情報を読めてしまうものも重大度が高いとして扱われていました
確かに読まれたくない情報もあるし、クレジット番号など機密度の高い情報もあるのでこれも重大度の高い問題ですね
Re: (スコア:0)
Apple案件でセミコロンが一個多かったか閉じ括弧が一個抜けてたかで判別ロジックが腐った
っていうのがなかったっけ
Re:メモリ以外のセキュリティ問題 (スコア:1)
かの有名な goto fail 問題ですね
iOS7.0.6で修正された「最悪のセキュリティバグ」はありがちなコーディングミスで発生していた [apple.srad.jp]
コーディング規約で「必ずブロック化すること、理由はコレ」
って書いても単行の場合は中括弧省略する人が多いのツライ
Re: (スコア:0)
そりゃ、中括弧を省略したことが問題の本質じゃないことを理由にしたって
納得するわけないじゃないの
Re: (スコア:0)
中括弧を省略したことじゃなくて、ブロック化しなかったことで起きた問題でしょ。
ブロックの明示は可読性を上げてミスの発見につながる。