• [^] # Re: Un avis différent sur bash

    Posté par . En réponse à la dépêche Une faille nommée « shellshock ». Évalué à 3.

    Je vais prendre un en exemple la CVE-2007-1381 dans PHP, où un développeur voulant rendre le code plus « sécure » a remplacé une utilisation parfaitement valide de strncpy par un emploi erroné de strlcpy causant un trou béant de sécurité. Et parce que cette leçon n'est pas suffisante, php refait une erreur similaire 4 ans plus tard en remplaçant un strcat par un strlcat https://bugs.php.net/bug.php?id=55439
    Vive les bonne pratiques, hein !

    Bah si ç’avait été un programme qui avait automatiquement corrige le code pour le mettre a jour, ce n'aurait jamais été un problème.

    Je ne suis pas d'accord avec la politique qui consiste a dire que l'on ne touche a rien parce que ça marche. C'est comme ça que l'on arrive a une base de code morte parce que personne ne veut mettre le nez dedans parce que c'est moche / buggue / etc.
    C'est comme ça que l'on arrive a avoir du code legacy que l'on ne peut plus toucher parce que l'on ne sais pas ce que ça fait, ni comment ça le fait.
    Le meilleur moyen d’éviter tout cela et de faire évoluer le code continuellement.