Usikkerhed med bufferoverflow

Den eneste måde at u´ndgå bufferoverflow problemer på er at holde øje med mailingslisterne for sikkerhed (f.eks. bugtraq) og sikkerhedsmailingslisterne fra producenterne at din software og så opdatere hver gang der kommer en patch, der lukker et hul.

Der er desværre ingen patentløsning

Nu er de jo mig der er i udvikler rollen ...

Generelt er det et spørgsmål om, at checke sine input - både for type og mængde. Det behøver nødvendigvis ikke være dit program, der har et overflow problem, men måske kan en hacker udnytte dit program til at genererer et overflow på den server du køre på.

Tag følgende eksempel:

Du har et program, der styre en mailing liste. Hackeren ved at den mailserver du bruger har et problem, hvis man forsøger at sende til en email addresse på mere en 1024 tegn (ren teori, men ikke umuligt). Hvis du ukritisk lader en sådan email adresse passerer igennem systemet er skaden sket...

Men... Som bufferzone også skrev, der er ingen patentløsning og du kan aldrig vide dig helt sikker. Tænk dig om, når du koder og hold din server opdateret med alle patche.

Du kunne e.v.t. prøve at udvikle et script, der forsøget alle de muligheder dine programmer har for bruger interference, med forskellige længter af strenge. Hvis du kan få din software til at gå ned, er der en god chance for at der er en mulighed for at udnytte en bufferocervlow

Risikoen ved buffer overflow er meget mindre for Java
programmer end for C programmer.

For C programmer kan man udnytte en buffer overflow til
at få udført kode og få kontrol med serveren.

For Java programmer kan man allerhøjest få serveren
til at gå ned med en ArrayIndexOutOfBoundsException.

Det er også meget nemmere at kode for at undgå dette,
da et array altid har længden med over i et metode
kald (i modsætning til C hvor den skal eksplicit med
over).

Arne
Det var lige præcis sådan et svar jeg ledte efter.
Takker.

Så godt at du vil give nogle point for det ?

Det kan jeg da