-
Сообщение от
p2u
проблема переполнений буфера именно характерна для языков программирования Си и C++
Эту проблему можно получить в любом языке программирования, допускающем приведения типов и массивы Выделил нпамять под short и записал в него int64 - вот тебе и переполнение буфера. Выделил память на массив из 10 элементов и записал 11 - вот тебе еще одно переполнение буфера.
Просто в C/C++ наиболее часто встречаются ошибки при работе со строками - ибо первоначально для них были написаны функции, не контролирующие размер буфера.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
DVi, я далек от программирования, но мне интересно, почему компилятор не может проверять такие потенциальные уязвимости в коде?
-
-
Сообщение от
p2u
Комментарии приветствуются.
Мне кажется, что тема названа неправильно. В заражении веб-сайтов виноват, безусловно, тот, кто заражает. Пусть хоть тысячу раз будут дыры в заборе, но если не будет злоумышленника, то ничего не случится.
С другой стороны, уголовная ответственность за взлом сайтов применима исключительно ко взломщику. Я даже не представляю, что нужно, чтобы привлечь к ответственности программеров, пишущих дырявый код. Пусть даже как соучастников.
Добавлено через 3 минуты
Сообщение от
Maxim
почему компилятор не может проверять такие потенциальные уязвимости в коде?
Потому что он компилирует. То есть переводит с того же С в машинные коды. Чтобы проверить уязвимости нужно как минимум уметь эмулировать код.
Последний раз редактировалось borka; 22.10.2008 в 01:31.
Причина: Добавлено
---
С уважением,
Borka.
-
Сообщение от
[quote]
borka, так создаете свой опрос. Что мешает...
А смысл?
-
Сообщение от
borka
А смысл?
А смысл, что ктото пишет не думая, а ктото не читая предыдущего. Если ета тема неправильная, создайте свою правильную. А если и в этом для Вас нет смысла, то я не вижу смысла в подобных высказваниях. Вам то хот понятно, что никто не спрашивает про зараженье сайтов? А вопрос про заражение системы узера при заходе на сайт и кто в етом виноват.
Последний раз редактировалось anton_dr; 22.10.2008 в 10:07.
-
priv8v, скорость печати 10-палцевым методом опережат скорость мысли? Или руски экстерном сдали? Чо цепляетес? Ладно мне он не родной. Вы обсуждали... Что, заткнуться и освободит поле брани для спьециалистав? Вы хоть поняли, что обсуждали?
ну что я Вам могу сказать?.. могу сказать, что "каждый думает в меру своей испорченности". Если бы Вы лучше читали мои посты и созданные мной темы (некоторые из них Вы точно читали, т.к упомянули про 10-пальцевую печать), то заметили бы, что за свои почти 500 постов я никого не оскорбил, не обидел и не допустил никакого нехорошего намека в сторону какого-либо собеседника. Так с какой радости мне на этом посте отходить от своих жизненных принципов и хамить???...
Вам следовало бы учесть это...
Теперь по поводу моего и Вашего постов:
русский язык не родной?.. хм. я не знал. по Вашим сообщениям я не мог сказать, что Вы русский язык знаете плохо. возможно из-за этого и недопонимание...
Обратившись к вам и сказав про НТП я хотел найти единомышленника и развить далее эту интересную тему про косвенную вину в заражении сайтов (косвенная вина лежит на двигателях НТП - то бишь на создателях инета, на ученых, на строителях, которые заводы строят и т.д )
Вы же почему-то подумали, что Вас пытаются заткнуть. Почему?.. Странно.
Читая мои посты не стоит печатать на форум или мне в ЛС то, что первым придет в голову - стоит перечитать - посты я пишу не всегда простым для понимания русским языком - люблю и позаворачивать. Но стоит помнить, что собеседникам я не хамлю и не оскорбляю никого.
-
К сожалению, я не знаю Ваших жизненых принципов и того, что у Вас на уме. Читаю слова. Сами почитайте внимателно. Будет понятно, что и кто страный.
Последний раз редактировалось anton_dr; 22.10.2008 в 10:06.
-
Сообщение от
borka
Я даже не представляю, что нужно, чтобы привлечь к ответственности программеров, пишущих дырявый код.
Пусть даже как соучастников.
Будет недоказуемое преступление всё равно. Я уверен, что некоторые места, где переполняются буферы в Windows, например, были вставлены УМЫШЛЕННО с последующими инструкциями по работе в сети, но как это доказать? Если только весь код изучать по определённым признаком, но всё же - прямых улик мы не найдём никогда - будет либо 'баг', либо 'фича'. В эту сказку мы уже научились верить в течение лет 10. И так может случиться, что система обходит сама себя, и все программы защиты НЕ БУДУТ даже знать, что произошло. То, что андерграунд тоже 'пользуется' этими своеобразными 'бэкдорами' уже вторично...
Paul
Последний раз редактировалось XP user; 22.10.2008 в 09:44.
-
Сообщение от
Maxim
DVi, я далек от программирования, но мне интересно, почему компилятор не может проверять такие потенциальные уязвимости в коде?
Приведение типов компилятор в большинстве случаев покажет в логе в виде предупреждений. А выход за границы массива - никогда.
Как правильно отметил borka, для этого нужны другие инструменты. Они есть, но и они не идеальны.
-
-
Сообщение от
p2u
@ Shark
Но атакуют же нас? Веб-сайт лишь средство; барьер, который ОЧЕНЬ просто преодолевается.
Paul
Преодолевается с использованием уязвимостей при разработке сайта. От публикации е-майл вместо формы обратной связи до недостаточного контроля параметров запросов в методе GET. И то и другое относится к Дизайнерам и разработчикам движка. Всё осложняется тем, что такие ошибки трудно прогнозируемы на этапе разработки и их приходится править в процессе обнаружения.
Добавлено через 2 минуты
Сообщение от
p2u
Будет недоказуемое преступление всё равно. Я уверен, что некоторые места, где переполняются буферы в Windows, например, были вставлены УМЫШЛЕННО с последующими инструкциями по работе в сети, но как это доказать? Если только весь код изучать по определённым признаком, но всё же - прямых улик мы не найдём никогда - будет либо 'баг', либо 'фича'. В эту сказку мы уже научились верить в течение лет 10. И так может случиться, что система обходит сама себя, и все программы защиты НЕ БУДУТ даже знать, что произошло. То, что андерграунд тоже 'пользуется' этими своеобразными 'бэкдорами' уже вторично...
Paul
Тут скорее проблема в programm management, хотя некоторые ошибки могут вноситься намеренно.
Добавлено через 3 минуты
Сообщение от
borka
Пусть хоть тысячу раз будут дыры в заборе, но если не будет злоумышленника, то ничего не случится.
Если не будет дыр в заборе - не будет и желающих ими воспользоваться. А ответственность разработчиков всё - таки имеет место быть. Если бы не было всякого рода уязвимостей - не было бы злоумышленников, которые ими пользуются. Как - то так...
Последний раз редактировалось Shark; 22.10.2008 в 12:25.
Причина: Добавлено
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
-
Сообщение от
priv8v
это как?.. т.е не зазенженный?
Старый-престарый. Образца начала 2007 года.
-
-
У меня немного alter pars:
Кто виноват в том, что Вы заболели (в реальной жизни)?
Ответ тривиален - сам юзер.
A что он сделал чтобы не заболеть?
Меньше минимума.
Но если в реальной жизни болеть - это естественно и человек получает хоть какой-то имунитет, то в виртуальном мире - "проще всё снести и поставить заново" ИМХО.
Нас объединяет то, что разъединяет
-
По Вашему юзер виноват, что на сайте X появился зловред?
По меньшей мере странно. А если юзер не виноват - тогда кто виновник???
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
-
По Вашему юзер виноват, что на сайте X появился зловред?
Именно так, хотя я этого и не утверждал: болезни (и "болезни") есть всегда, но почему-то не все болеют. Если пользователь заранее побеспокоился, то он либо совсем не заболеет, либо проболеет в лёгкой форме. Админ сайта тоже в какой-то мере пользователь. ИМХО.
Нас объединяет то, что разъединяет
-
Вообще - то в данном случае "не болеть" - это пользоваться Гуглом. (Он сайты со зловредами метит). Только обычный Пользователь всё равно не отвечает за то, что Админ сайта через кривой движок заразу хапанул.
Что мешает пользоваться POST вместо GET? Или параметры GET - запроса контролировать? Кстати, методики хака описаны достаточно подробно. Нужно этим интересоваться - только и всего!
Я не увижу очередных оскорблений в свой адрес. Да я фрик. Этим и горжусь. Всем огромное спасибо! Удачи Вам!
-
Сообщение от
[quote]
А смысл, что ктото пишет не думая, а ктото не читая предыдущего. Если ета тема неправильная, создайте свою правильную. А если и в этом для Вас нет смысла, то я не вижу смысла в подобных высказваниях.
О! Теперь я вижу, кто пишет не читая.
Сообщение от
[quote]
Вам то хот понятно, что никто не спрашивает про зараженье сайтов? А вопрос про заражение системы узера при заходе на сайт и кто в етом виноват.
Вам-то хоть понятно, что заражение системы юзера невозможно без заражения сайта, на который он заходит? Никак невозможно. Физически.
Добавлено через 4 минуты
Сообщение от
p2u
Будет недоказуемое преступление всё равно. Я уверен, что некоторые места, где переполняются буферы в Windows, например, были вставлены УМЫШЛЕННО с последующими инструкциями по работе в сети, но как это доказать? Если только весь код изучать по определённым признаком, но всё же - прямых улик мы не найдём никогда - будет либо 'баг', либо 'фича'. В эту сказку мы уже научились верить в течение лет 10. И так может случиться, что система обходит сама себя, и все программы защиты НЕ БУДУТ даже знать, что произошло.
Если недоказуемое - то какое ж это преступление? Преступником может назвать человека только суд. При наличии железных доказательств. А так - одни подозрения...
Сообщение от
p2u
То, что андерграунд тоже 'пользуется' этими своеобразными 'бэкдорами' уже вторично...
Хм... Кто бы пользовался при отсутствии андерграунда?
Добавлено через 3 минуты
Сообщение от
Shark
Если не будет дыр в заборе - не будет и желающих ими воспользоваться. А ответственность разработчиков всё - таки имеет место быть. Если бы не было всякого рода уязвимостей - не было бы злоумышленников, которые ими пользуются. Как - то так...
С точностью до наоборот: не было бы злоумышленников, никто не пользовался бы всякого рода уязвимостями.
Добавлено через 3 минуты
Сообщение от
Shark
Нужно этим интересоваться - только и всего!
Вот это Вы домохозяйке скажите, что она должна интересоваться чем-то еще вместо того, чтобы зайти на сайт и посмотреть погоду.
Последний раз редактировалось borka; 22.10.2008 в 16:31.
Причина: Добавлено
---
С уважением,
Borka.
-
Сообщение от
borka
Хм... Кто бы пользовался при отсутствии андерграунда?
Очень просто - Заказчик, который потребовал чтобы они были.
Paul
-
В заражении на сайте виноват тот, кто выложил ссылку на зараженный сайт. Прямо, если намеренно. Косвенно, если нет.
-
а как на счёт тех, кто заразился и вместо того чтобы лечиться заражает (например, по безалаберности) других? Самый виноватый этот тот, у кого самый ранний штам?
Или вина пропорционально дате заражения и карантина?
Теоретически практика и теория сходятся, а практически - нет.
__________________
Невиновность ничего не доказывает: абсолюно невиновных нет, есть только разные степени вины
Нас объединяет то, что разъединяет
-
Решил все-таки проголосовать за "Сам Троян". На остальных действует презумпция невиновности.