[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Hacking Insurance

To: Thomas Roessler <roessler@does-not-exist.org>
Subject: Re: [FYI] Hacking Insurance
From: Florian Weimer <fw@deneb.enyo.de>
Date: 18 Jul 2000 12:22:10 +0200
Cc: debate@fitug.de
Comment: This message comes from the debate mailing list.
In-Reply-To: Thomas Roessler's message of "Tue, 18 Jul 2000 11:44:50 +0200"
References: <396A22CD.35E2BC57@koehntopp.de> <m27latgk7b.fsf@nb1001.inson.de><slrn8mu5m9.hu.lutz@taranis.iks-jena.de><m2vgy8mte1.fsf@nb1001.inson.de><20000717101202.A20682@artcom8.artcom-gmbh.de><397bcdc3.259628465@195.21.214.42><20000717113301.F20682@artcom8.artcom-gmbh.de><874s5neta7.fsf@deneb.enyo.de><20000718114450.D14695@sobolev.does-not-exist.org>
Sender: owner-debate@fitug.de
User-Agent: Gnus/5.0808 (Gnus v5.8.8) Emacs/20.6

Thomas Roessler <roessler@does-not-exist.org> writes:

> On 2000-07-18 10:28:48 +0200, Florian Weimer wrote:
> 
> > Er arbeitet schon daran, siehe seine Einstufung von
> > Unicode als Sicherheitsrisiko.
> 
> URL?

http://www.counterpane.com/crypto-gram-0007.html#9

| Unicode is just too complex to ever be secure.

Der gute Mann hat vermutlich noch nie einen Parser für ISO 2022
oder Shift-JIS geschrieben oder ein nicht-englischsprachiges Land
besucht. Wenn Unicode (oder UTF-8 bzw. UTF-16, es ist nicht ganz
klar, was er meint) bereits zu komplex ist, soll er bitteschön
internationalisierte Software generell als unsicher einstufen, da die
Behandlung verschiedener Zeichensätze ohne Unicode noch komplexer wird
und eine Reihe völlig unterschiedlicher Parser verlangt.

Der Kommentar bezüglich UTF-16 ist völlig falsch. Mit Surrogates
lassen sich nämlich gerade nicht Zeichen in der BMP codieren, sondern
nur Zeichen in den Planes 1 bis 16. Zusätzliche Mehrdeutigkeiten
entstehen also nicht.

Seine Sorge, daß mit Unicode zusätzliche Punktierungszeichen
eingeführt werden, die Parser beeinflussen könnten, teile ich
ebenfalls nicht. Theoretisch haben wir das Problem schon heute mit
locales, warum sehen wir es nicht in der Praxis? Weil niemand sich auf
die locale-Unterstützung verläßt, wenn er sicherheitsrelevante Parser
schreibt. Außerdem sind Punktierungszeichen, die nicht alle Nutzer
eintippen können, irgendwie unpraktisch.

Sicherlich können Probleme entstehen, wenn man unsauber arbeitet
und z.B. RFC 2279 in den Wind schlägt, aber dann wird man schon an
korrekten ASCII-Parsern scheitern.

Follow-Ups:
- Re: [FYI] Hacking Insurance
  - From: Thomas Roessler <roessler@does-not-exist.org>
- Re: [FYI] Hacking Insurance
  - From: kris@koehntopp.de (Kristian Koehntopp)

References:
- [FYI] Hacking Insurance
  - From: Kristian Köhntopp <kris@koehntopp.de>
- Re: [FYI] Hacking Insurance
  - From: Martin Lesser <m-lesser@lesser-com.de>
- Re: [FYI] Hacking Insurance
  - From: lutz@iks-jena.de (Lutz Donnerhacke)
- Re: [FYI] Hacking Insurance
  - From: Martin Lesser <m-lesser@lesser-com.de>
- Re: [FYI] Hacking Insurance
  - From: Martin Schröder <martin@oneiros.de>
- Re: [FYI] Hacking Insurance
  - From: Holger Koepke <holger@koepke.net>
- Re: [FYI] Hacking Insurance
  - From: Martin Schröder <martin@oneiros.de>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: [FYI] Hacking Insurance
  - From: Thomas Roessler <roessler@does-not-exist.org>

Prev by Date: Re: [FYI] MMR 7/2000: Freie Software: Eine Widerlegung der Urheberrechtstheorie
Next by Date: [FYI] U.S. Lawyers Want Cyberborders
Prev by thread: Re: [FYI] Hacking Insurance
Next by thread: Re: [FYI] Hacking Insurance
Index(es):
- Date
- Thread