[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[freewnn:00364] Re: PATCH: gets_cur & getws_cur size limit (Re: security problem of jserver)
- To: freewnn@tomo.tomo.gr.jp
- Subject: [freewnn:00364] Re: PATCH: gets_cur & getws_cur size limit (Re: security problem of jserver)
- From: KATAYAMA Yoshio <kate@XXXX>
- Date: Fri, 10 Mar 2000 02:12:14 +0900
- In-Reply-To: Your message of 09 Mar 2000 19:16:30 +0900. <86zos8a1oh.fsf@fenrir.itl.co.jp>
- Reply-To: freewnn@tomo.gr.jp
- Sender: kate@XXXX
片山@PFUです。
Date: 09 Mar 2000 19:16:30 +0900
From: sin@itl.co.jp (MOTOKI Sinichi)
> てなわけで、パッチの第2弾です。
> 片山さんからのアドバイスにより、バッファサイズを越えた場合
> 空読みするように修正しました。
有難うございます。(_ _)
>| ! while (--buffer_size && (*b = getc_cur ()) != '\0')
>| ! b++;
>| ! *b = '\0';
>|
>| #これでは '\0' がはみ出しませんか?
> う。そんなはずは (^^;
> なので大丈夫なのではないでしょうか?
大変失礼しました。(_ _;;;
いつも --i > 0 とか、--i >= 0 とかしてるので、早とちりしました。
>| 普通はないと思いますが、万一、マットウなクライアントが長い文字列
>| を送ってきた時に、プロトコルが狂ってしまいますので、、、
> あるとすれば、FILENAME (128 byte) 辺りで引っかかるような気
> もします。
気になったので Egg 4 のソースを見直してみたのですが、ファイル名
の長さのチェックをしてませんでした。(^^;;;
> プロコトルとサーバの設計上の弱点については、修正すると便利
> さを潰すのも多いのでつらいですが、妥協点はどこかにあるだろ
> うし、現状を見直してみるいい機会ですね。
旧いクライアントもサーバーに繋げるようにする必要があると思います
ので、ユーザー認証を行なえるようにして、
認証を行なったクライアントは保護する(他人に見せない)
認証を行なわないクライアント(=旧いクライアント)保護しない
とするのがいいかなと(おぼろげに)考えています。
#認証はどうやるとかの具体的なことは、まだ考えていません(_ _)
--
片山@PFU