J'ai passe plus de 6 ans a faire de la securite sur l'OS le plus utilise de la planete, ecrit par certains des meilleurs developpeurs C de la planete avec probablement un des meilleurs niveau de QA tous OS confondus, et j'ai vu nombre de problemes avec ces fonctions au point ou maintenant elles ont TOUTES ete remplacees par d'autres fonctions plus sures, bref on va dire que de l'exeperience niveau BOFs j'en ai jusqu'au cou.
Alos dis-moi donc, pourquoi un groupe comme le notre compose de gens pourtant tres solides niveau C, avec des outils d'analyse statique parmis les plus avances qui soient, avec une utilisation systematique du fuzzing, avons pris cette decision ? On avait envie pour le fun de virer ces appels partout ?
Parer des BOFs n'est PAS simple. C'est simple dans le cas simple et basic ou t'as un printf dans un hello world evidemment, mais c'est pas le cas de la majorite des printf dans des vrais softs un tant soit peu complexe.
[^] # Re: Dépassement de tampon
Posté par pasBill pasGates . En réponse à la dépêche Naissance d'un géant : Java. Évalué à 6.
J'ai passe plus de 6 ans a faire de la securite sur l'OS le plus utilise de la planete, ecrit par certains des meilleurs developpeurs C de la planete avec probablement un des meilleurs niveau de QA tous OS confondus, et j'ai vu nombre de problemes avec ces fonctions au point ou maintenant elles ont TOUTES ete remplacees par d'autres fonctions plus sures, bref on va dire que de l'exeperience niveau BOFs j'en ai jusqu'au cou.
Alos dis-moi donc, pourquoi un groupe comme le notre compose de gens pourtant tres solides niveau C, avec des outils d'analyse statique parmis les plus avances qui soient, avec une utilisation systematique du fuzzing, avons pris cette decision ? On avait envie pour le fun de virer ces appels partout ?
Parer des BOFs n'est PAS simple. C'est simple dans le cas simple et basic ou t'as un printf dans un hello world evidemment, mais c'est pas le cas de la majorite des printf dans des vrais softs un tant soit peu complexe.