Re: systemd
В Sun, 15 Nov 2015 13:11:43 +0300
Artem Chuprina <ran@lasgalen.net> пишет:
>
> EN> А у вас есть гарантия что вам отвечает ваша-же программа, или что
> EN> программа той-же версии что ваша? Если нет, то валидация всех
> EN> полей, особенно на переполнение, преобразование во внутренне
> EN> представление и так далее.
>
> EN> Та же самба торпеду в протокол много раз получала, причем с
> EN> исполнение произвольного кода - ну что-то не провалидировали.
>
> EN> С текстом устроить такую подлость гораздо сложнее...
>
> Ой, да ладно... SQL injection, Javascript injection, XSS...
>
> Проблема валидации недоверенных данных для текста стоит в тот же
> полный рост.
Разговор начался с оверхеда в текстовых протоколах, и быстроты разбора.
Несомненно, все типы взаимодействия с недостоверными источниками
требуют валидации. Просто не надо утверждать что валидация двоичных
данных менее затратна, чем валидация текста.
Хочу отметить что все приведенные вами примеры атак и происходят в
случае интерпретации текстового протокола как простого потока двоичных
данных, и решается все семантическим, или хотя-бы грамматическим
разбором поступивших данных.
Reply to: