Keresés: - [Re:] Megszólalt az OpenSSL hibájáért felelős programozó

Legfrissebb anyagok

Mobilarena témák

PROHARDVER! témák

IT café témák

GAMEPOD témák

LOGOUT témák

Keresés

Új hozzászólás Aktív témák

#58 joghurt addikt proci985 #54

Új Válasz 2014-04-16 10:53:52 #58
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

joghurt

addikt

LOGOUT blog

válasz proci985 #54 üzenetére

Az általad írt példában
1. sok esetben már maga a fordító ad figyelmeztetést, hogy a második ág sosem kerül végrehajtásra,
2. egy lefedettségi teszt kidobja, hogy a második ágra sosem tudsz eljutni,
3. több forráselemző program is tudja észlelni ezt az esetet, mivel direkt arra készítik fel őket, hogy a feltételeket és azok +/- 1-es környezetét próbálgassák ki [a > vs >= hibák kiszúrására].
És hiába kerülnek sokba a tesztelő eszközök, még mindig olcsóbbak, mint a lehetséges következmények ára (ld. a jelen esetet is). Ha semmit nem loptak el, semmi sem zuhant le, akkor is kb. tízszer annyiba kerül a cégnek egy hiba, ha kikerül az ügyfelekhez, mint ha bétateszten sikerült megtalálni. És még egy nagyságrenddel olcsóbb, ha még házon belül sikerül megfogni. Egy újabb nagyságrend a különbség a költségekben, ha még az automatizált teszt hozza ki a hibát, a tesztverzió legyártása előtt.
#55 bambano titán proci985 #54

Új Válasz 2014-04-15 21:56:33 #55
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

bambano

titán

válasz proci985 #54 üzenetére

szerencsére nem vagyok infós. villanytanos se, azt kicsit bánom.
valószínűleg neked meg valami ilyen háttered lehet, de legalábbis biztosan nem vagy magyarszakos, ellenkező esetben értetted volna, hogy nem a programozási hibákról beszéltem általában, hanem egy, konkrét hibáról, melyben a stringek hosszának megfelelő ellenőrzését elfelejtik. ez egy olyan osztálya a hibáknak, amelyet triviális ellenőrizni. például eleresztesz egy find . -type f | xargs grep strcpy utasítást, és ha ad találatot, akkor van hibád, ha nincs, akkor ezen hibaosztály egyik alosztályát kiszűrted.
ez csak egy példa volt, a többit ugyanígy, illetve automatizált penntesttel ki lehet szűrni. és még mindig csak erről az egy hibaosztályról beszélek.
"coding style meg szep es jo, de altalanos esetben hibak ellen nem ved": megint csak azt kell mondanom, hogy nem beszéltem általános esetbeli hibákról. ezzel szemben a buffer overrun típusú, paraméter hossz ellenőrzési hiba miatti exploitokkal tele van a napozóm, mert ezek legalább húsz éve ismert hiba-fajták és mégse csináltak velük semmit?
a threadre visszatérve: tényleg akkora baromi nagy probléma, hogy én örülnék egy olyan mondatnak a faszi szájából, hogy ezentúl ellenőrzöm a stringek hosszát? nem pénzt (kártérítést) akarok tőle, nem akarok kötelet a nyakába, ezt a rohadt tetves mondatot szeretnék hallani tőle, ha már mélytorokra tolta az egész világot.