http://gengwg.blogspot.com/发信人: domini (none), 信区: Programming
标 题: Re: 感觉C语言是安全问题万恶之源
发信站: BBS 未名空间站 (Tue Apr 8 14:00:27 2014, 美东)
It is not language issue, it is the human being who made the fault. Remember
that C has to deal with all kinds of hardware, all kinds of OS, and bare
metal directly.
【 在 nod101 (exchange) 的大作中提到: 】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
标 题: Re: 感觉C语言是安全问题万恶之源
发信站: BBS 未名空间站 (Tue Apr 8 14:00:27 2014, 美东)
It is not language issue, it is the human being who made the fault. Remember
that C has to deal with all kinds of hardware, all kinds of OS, and bare
metal directly.
【 在 nod101 (exchange) 的大作中提到: 】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
Comments
Post a Comment
https://gengwg.blogspot.com/