[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[freewnn:00357] Re: security problem of jserver



 元木です。

In [freewnn : No.00356]
  Tatsuo Furukawa <frkwtto@osk3.3web.ne.jp> wrote:

| 修正の方針ですが、UNYUNさんのサンプルのように、とりあえず、オーバーフ
| ローを起こす可能性のある関数を片っ端から「最大サイズを指定して呼び出す」
| ように書き換えるというのでいいでしょうか?

 賛成です。

| # セキュリティが絡んでいるので安全側に倒しておくことが必要かと思って…
| でもそうするとプログラムがますます読みにくくなっていく…

 どの辺が読みにくくなりますか?

 逆に受け側の領域のサイズが明示されてない方がわかりにくいと
 思いますが....

 gets_cur, getws_cur の中でサイズを制限する方法もありますが、
 その制限より多くデータを読みたい時に困ります。

 「gets 使うな、fgets 使え」と同じ問題だと思いますが、gets 
 のかわりに fgets を使うとプログラムの可読性が落ちるでしょう
 か?

sin.