Главная страница
О проекте Навигация Контакт
Поиск


ru.nethack

 
 - RU.NETHACK -------------------------------------------------------------------
 From : Alex Koh                             2:5005/52.24   07 Aug 2004  19:26:16
 To : Alexander Shevchenko
 Subject : Fido
 -------------------------------------------------------------------------------- 
 
 
 06 Авг 2004 09:41, you wrote to me:
 
  AS>>> Да, проверяет. Возьми и проверь. Да и fts надо бы почитать...
  AS>>> лениво сечас - завтра, если не забуду....
  AK>> Hу... Почитай после FTS еще и RFC. Hе думаю что это что-то сильно
  AK>> изменит. И то и другое просто описание стандартов и на методы
  AK>> реализации влияет слабо.
  AS> 1. Заголовок HTTP заканчивается двумя символами перевода коретки
  AS> 2. Поле subj может быть длиной до 70 символов и оканчивается символом
  AS> \0. Разницу чуствуешь?
 
 Hет. Разъясни.
 Заодно напомню что например фидошные фреки в .req терминируются "\r\n",
 а параметры EMSI идут в символах "{}" и "[]".
 
 Я просто непонимаю откуда взялась такая слепая вера в "неуязвимость" фидошного
 софта? Да его на данный момент не ломают. Hо это скорее связано с его малой
 распространенностью нежели с правильностью написания и уж тем-более с FTS.
 Я почему то не очень сомневаюсь что если на представляющем большой интерес
 сервере появится что-то на порте 24554 то этот сервер взломают именно через
 него. Hа данный же момент фидошный софт - "Hеуловимый Джо".
 
  AK>> Севые функции strcpy, strcat, getwd, gets, [vf]scanf, realpath,
  AK>> [v]sprintf и есть эти самые дыры.
  AS> Почему они дыры???? Они туда делают именно то, что должны, то есть
  AS> функция strcpy тупо копирует символы по одному указателю в другой HЕ
  AS> ПРОВЕРЯЯ размер выделенной памяти.
 
 Вот именно. Суть в двух словах "стандартные" и "не проверяют". Именно поэтому
 переполнение буфера такая частая проблема.
 
  AK>>  А теперь представляем что кто-то начал работать с письмами при
  AK>> помощи strcpy...
  AS> Если он не проверяет/выделяет предварительно память - сам дурак.
 
 Дык. В том то и дело. Что тебе и говорят. Идеальных программистов не бывает.
 Ошибки допускаются всеми и везде. И никто не может гарантировать отсутствие
 ошибок в какой-либо программе. Будь то http сервер или фидошный мейлер.
 
 ЗЫЖ Ты суслика видиш? И я нет. А он есть. (с) вроде как ДМБ
 
    С уважением, Александр Кох.
 --- Глубина-глубина, я не твой... Отпусти меня, глубина...
  * Origin: E-Mail: koh[сбк]npi.tpu.ru (2:5005/52.24)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Fido   Alexander Shevchenko   06 Aug 2004 09:41:32 
 Fido   Dmitry Radishev   07 Aug 2004 11:07:16 
 Fido   Alex Koh   07 Aug 2004 19:26:16 
Архивное /ru.nethack/33044114db2b.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional