[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Hacking Insurance

To: Florian Weimer <fw@deneb.enyo.de>
Subject: Re: [FYI] Hacking Insurance
From: Thomas Roessler <roessler@does-not-exist.org>
Date: Tue, 18 Jul 2000 12:53:39 +0200
Cc: debate@fitug.de
Comment: This message comes from the debate mailing list.
In-Reply-To: <87vgy3d9gt.fsf@deneb.enyo.de>; from fw@deneb.enyo.de on Tue, Jul 18, 2000 at 12:22:10PM +0200
Mail-Followup-To: Florian Weimer <fw@deneb.enyo.de>, debate@fitug.de
References: <396A22CD.35E2BC57@koehntopp.de> <m27latgk7b.fsf@nb1001.inson.de> <slrn8mu5m9.hu.lutz@taranis.iks-jena.de> <m2vgy8mte1.fsf@nb1001.inson.de> <20000717101202.A20682@artcom8.artcom-gmbh.de> <397bcdc3.259628465@195.21.214.42> <20000717113301.F20682@artcom8.artcom-gmbh.de> <874s5neta7.fsf@deneb.enyo.de> <20000718114450.D14695@sobolev.does-not-exist.org> <87vgy3d9gt.fsf@deneb.enyo.de>
Sender: owner-debate@fitug.de
User-Agent: Mutt/1.3.5i

On 2000-07-18 12:22:10 +0200, Florian Weimer wrote:

> Sicherlich können Probleme entstehen, wenn man unsauber
> arbeitet und z.B. RFC 2279 in den Wind schlägt, aber
> dann wird man schon an korrekten ASCII-Parsern
> scheitern.

... was auch viele tun, nicht wahr?

Tatsache ist, daß Code, der _eigentlich_ UTF-8 als
irgendeine Obermenge von US-ASCII betrachten könnte, durch
die faktische Mehrdeutigkeit der Codierung zusätzlich die
Aufgabe aufgebrummt bekommt, die Eingabedaten auf
ungültige Sequenzen zu überprüfen, da man ja nie weiß, ob
nicht irgendein darüberliegender Decoder etwas zu "liberal
in what it accepts" ist und diese ungültigen Sequenzen
schluckt.  Das fügt unter Umständen eine ganze Menge an
Komplexität zum Code hinzu - und damit Gelegenheiten,
Fehler zu machen, die zu Sicherheitslücken führen.

Selbst wide-character- bzw. iconv-Implementierungen in
Sytembibliotheken sind häufig schlicht reif für den Müll.
(Und können, ganz nebenbei, gleich wieder zu neuen buffer
overflows führen, wenn etwa die erwartete Länge der
decodierten/codierten Daten falsch zurückgegeben wird.)

Und was schließen wir daraus?  Von us-ascii verschiedene
Zeichensätze haben in Kontrollinformationen nichts zu
suchen, weil sie zu Interoperabilitätsalbträumen,
Sicherheitslöchern und Bugs aller Art führen.

(Ich freue mich schon auf die erste Internet-Domain, die
ich nur mit einer chinesischen Tastatur eintippen kann.)

-- 
Thomas Roessler              <roessler@does-not-exist.org>

Follow-Ups:
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>

References:
- [FYI] Hacking Insurance
  - From: Kristian Köhntopp <kris@koehntopp.de>
- Re: [FYI] Hacking Insurance
  - From: Martin Lesser <m-lesser@lesser-com.de>
- Re: [FYI] Hacking Insurance
  - From: lutz@iks-jena.de (Lutz Donnerhacke)
- Re: [FYI] Hacking Insurance
  - From: Martin Lesser <m-lesser@lesser-com.de>
- Re: [FYI] Hacking Insurance
  - From: Martin Schröder <martin@oneiros.de>
- Re: [FYI] Hacking Insurance
  - From: Holger Koepke <holger@koepke.net>
- Re: [FYI] Hacking Insurance
  - From: Martin Schröder <martin@oneiros.de>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: [FYI] Hacking Insurance
  - From: Thomas Roessler <roessler@does-not-exist.org>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>

Prev by Date: Re: [FYI] Jenaer Schulen bekommen M$-Software geschenkt
Next by Date: Re: [FYI] U.S. Lawyers Want Cyberborders
Prev by thread: Re: [FYI] Hacking Insurance
Next by thread: Re: [FYI] Hacking Insurance
Index(es):
- Date
- Thread