n****1
发帖数: 1136 | 1 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
了.
jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
往往是C/C++的解释器或JIT自己的问题. | a*****g
发帖数: 19398 | 2 有趣。
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| s*******8
发帖数: 12734 | 3 对,都是C++的错,这个话题最近没有炒作了...
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| G**Y
发帖数: 33224 | 4 这这这。。。
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| d****i
发帖数: 4809 | 5 It is not language issue, it is the human being who made the fault. Remember
that C has to deal with all kinds of hardware, all kinds of OS, and bare
metal directly.
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| f****4
发帖数: 1359 | 6 OS才是安全问题万恶之源
晶体管才是安全问题万恶之源
。。。
电子是所有安全问题万恶本源 | q*c
发帖数: 9453 | 7 since human being make mistake anyway, the language designer should be aware
of it and make it harder to error.
Remember
【在 d****i 的大作中提到】
: It is not language issue, it is the human being who made the fault. Remember
: that C has to deal with all kinds of hardware, all kinds of OS, and bare
: metal directly.
| n****1
发帖数: 1136 | 8 同意
Remember
【在 d****i 的大作中提到】
: It is not language issue, it is the human being who made the fault. Remember
: that C has to deal with all kinds of hardware, all kinds of OS, and bare
: metal directly.
| d****i
发帖数: 4809 | 9 For high-level languages such as Java or Python, Yes. For low-level
primitive language like C, No.
aware
【在 q*c 的大作中提到】
: since human being make mistake anyway, the language designer should be aware
: of it and make it harder to error.
:
: Remember
| s********k
发帖数: 6180 | 10 你不能这么看,一般男人如果看到一个美女穿得花枝招展自然会想入非非但是碍于各种
障碍也就意淫,但是真的你有了机会美女穿得若影若现在床上等你男人都是守不住的。
C之后语言都看到了让尤物穿得暴露的危险,所以不停地做各种限制而已
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| | | k**********g
发帖数: 989 | 11
在这些大是大非的关节上,我建议把 C 和 C++ 分得清清楚楚,不要混为一谈。
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| n****1
发帖数: 1136 | 12 tls性能消耗本不是啥问题, java和go等较快的语言都有自己的独立实现. 所以这波
openssl风波, 用java的不用发愁.
我觉得这些与安全有关的代码都该用高级语言来写, 否则还会出大问题. | g*********e
发帖数: 14401 | 13 一切都很好,是天气的问题!
It's the cold weather | N******K
发帖数: 10202 | 14 汇编才是万恶之源 什么 mov jae 的 太随意了 什么都不管
应该每一句汇编指令 都要进行安全检查 cpu应该带一个安全检查专用模块
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| m********5
发帖数: 17667 | 15 其实说得没错
现在是时候reinvent C了
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| N******K
发帖数: 10202 | 16 你来干
【在 m********5 的大作中提到】
: 其实说得没错
: 现在是时候reinvent C了
| m********5
发帖数: 17667 | 17 如果有1亿美金funding让我干这个
我肯定来
【在 N******K 的大作中提到】
: 你来干
| N******K
发帖数: 10202 | 18 资本家是万恶之源 钱都胡折腾了
【在 m********5 的大作中提到】
: 如果有1亿美金funding让我干这个
: 我肯定来
| g*******1
发帖数: 103 | | x****k
发帖数: 2932 | 20 不管用什么语言,自以为是的傻B程序员+不完备的开发流程是安全问题的万恶之源。
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| | | d***a
发帖数: 13752 | 21 很有道理...
【在 f****4 的大作中提到】
: OS才是安全问题万恶之源
: 晶体管才是安全问题万恶之源
: 。。。
: 电子是所有安全问题万恶本源
| b*******s
发帖数: 5216 | 22 根据cisco的统计,90%以上的安全问题是java的
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
| b*******s
发帖数: 5216 | 23 暂时还没有需求
【在 m********5 的大作中提到】
: 其实说得没错
: 现在是时候reinvent C了
| n******t
发帖数: 4406 | 24 别扯了,用C的还知道有安全问题。别的都是一团浆糊。
【在 n****1 的大作中提到】
: 继gnutls之后, openssl也沦陷了, 原因竟然是没有做bound check
: 其实C里面也不乏做auto bound check的工具和api, 哪怕是bsd里面的strlcpy也是多少
: 能缓解overflow威胁的. 但C程序员的大多是抱着性能压倒一切的心态写代码, 不愿意
: 使用这些工具, 宁可把安全当儿戏, 连openssl这种基本的程序里也要玩火, 终于出事
: 了.
: jvm和浏览器引擎里的绝大部分安全bug也是来自于C/C++代码, 都说java不安全, 其实
: 往往是C/C++的解释器或JIT自己的问题.
|
|
