C'est tout le problème, tu mets le doigt dessus en plus.
Si tu réfléchis simplement au niveau IO, il te manque le contexte du protocole : tu prouves seulement qu'une réception, indépendamment des autres, se passe bien.
Si tu réfléchis au niveau du protocole (i.e. spec.) tu trouves des cas, comme celui que la faille exploite, qui mettent en jeu une séquence de requêtes plus ou moins complexe (et non une seule requête) et des individus byzantins, c'est-à-dire des individus qui pourront exploiter n'importe quelque comportement pour compromettre le système.
Le correctif se traduit évidemment par un patch au niveau du code, mais pour voir la faille il faut se placer au niveau du protocole.
[^] # Re: On verra
Posté par vlamy . En réponse à la dépêche Core Infrastructure Initiative. Évalué à 1.
C'est tout le problème, tu mets le doigt dessus en plus.
Si tu réfléchis simplement au niveau IO, il te manque le contexte du protocole : tu prouves seulement qu'une réception, indépendamment des autres, se passe bien.
Si tu réfléchis au niveau du protocole (i.e. spec.) tu trouves des cas, comme celui que la faille exploite, qui mettent en jeu une séquence de requêtes plus ou moins complexe (et non une seule requête) et des individus byzantins, c'est-à-dire des individus qui pourront exploiter n'importe quelque comportement pour compromettre le système.
Le correctif se traduit évidemment par un patch au niveau du code, mais pour voir la faille il faut se placer au niveau du protocole.