Il faut que tu prouves que le style du code de bash soit une cause de la faille. Parce que c'est vraiment une critique gratuite : « Bouh, ils n'utilisent pas le dernier style à la mode, quels incapables ! »
Que le style soit responsable, c'est dur a prouver de maniere certaine (si ca se trouve c'est pas le cas...)
Ce qui est sur par contre, c'est que le style de programmation utilise (si on peut appeler ca un style...) est connu pour tres frequemment causer des problemes. Le meilleur exemple etant les variables globales, il devient tres dur d'arriver a savoir comment ces variables se comportent lorsque tu as des variables accessible de partout, que tu ne sais pas qui les change et qui ne les change pas (et non, un 'simple' grep ne suffit pas, vive les pointeurs).
Un certain minimum de variables globale peut avoir un sens, mais un nombre pareil rend le code impossible a maintenir et relire proprement.
Idem avec les fonctions considerees dangereuses. Leur presence n'indique evidemment pas automatiquement une faille, mais quand tu as fais assez de code reviews securite pour voir des patterns, tu sais que statistiquement, le risque est bcp plus eleve.
[^] # Re: Un avis différent sur bash
Posté par pasBill pasGates . En réponse à la dépêche Une faille nommée « shellshock ». Évalué à 8.
Que le style soit responsable, c'est dur a prouver de maniere certaine (si ca se trouve c'est pas le cas...)
Ce qui est sur par contre, c'est que le style de programmation utilise (si on peut appeler ca un style...) est connu pour tres frequemment causer des problemes. Le meilleur exemple etant les variables globales, il devient tres dur d'arriver a savoir comment ces variables se comportent lorsque tu as des variables accessible de partout, que tu ne sais pas qui les change et qui ne les change pas (et non, un 'simple' grep ne suffit pas, vive les pointeurs).
Un certain minimum de variables globale peut avoir un sens, mais un nombre pareil rend le code impossible a maintenir et relire proprement.
Idem avec les fonctions considerees dangereuses. Leur presence n'indique evidemment pas automatiquement une faille, mais quand tu as fais assez de code reviews securite pour voir des patterns, tu sais que statistiquement, le risque est bcp plus eleve.