[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [FYI] Hacking Insurance

To: Florian Weimer <fw@deneb.enyo.de>
Subject: Re: [FYI] Hacking Insurance
From: Thomas Roessler <roessler@does-not-exist.org>
Date: Tue, 18 Jul 2000 16:36:35 +0200
Cc: debate@fitug.de
Comment: This message comes from the debate mailing list.
In-Reply-To: <87n1jfbknl.fsf@deneb.enyo.de>; from fw@deneb.enyo.de on Tue, Jul 18, 2000 at 04:03:26PM +0200
Mail-Followup-To: Florian Weimer <fw@deneb.enyo.de>, debate@fitug.de
References: <slrn8mu5m9.hu.lutz@taranis.iks-jena.de> <m2vgy8mte1.fsf@nb1001.inson.de> <20000717101202.A20682@artcom8.artcom-gmbh.de> <397bcdc3.259628465@195.21.214.42> <20000717113301.F20682@artcom8.artcom-gmbh.de> <874s5neta7.fsf@deneb.enyo.de> <20000718114450.D14695@sobolev.does-not-exist.org> <87vgy3d9gt.fsf@deneb.enyo.de> <20000718125339.C16016@sobolev.does-not-exist.org> <87n1jfbknl.fsf@deneb.enyo.de>
Sender: owner-debate@fitug.de
User-Agent: Mutt/1.3.5i

On 2000-07-18 16:03:26 +0200, Florian Weimer wrote:

> Andererseits: UTF-8 mit liberalem Decoder kann nur dann
> zu Problemen führen, falls man Parser schachtelt (d.h.
> erst Parser, dann Decoder, dann wieder Parser). So
> etwas wird auch ohne den Decoder selten sicher sein
> (siehe die mailcap-Geschichten).

Ja, sicher.  Genau diese mailcap-Geschichten demonstrieren
aber auch, daß solche Schachteleien in der Praxis mehr als
häufig vorkommen.  Zur Zeit beherrschen wir sie
einigermaßen.  Mit UTF-8 könnte es spaßig werden, wenn
etwa die Shell anfängt, es zu interpretieren - mir fällt
da auf Anhieb einiges lustige ein, was man machen könnte.

> Ich habe iconv()-Exploit im Hinterkopf, der kein buffer
> overflow ist. (Die meisten iconv()-Implementationen
> sind vermutlich nicht für suid-Binaries ausgelegt.)

Welche iconv-Implementierung?  Ich frage, weil mutt die
zugrundeliegende iconv-Implementierung munter mit Daten
unbekannter Herkunft bewirft.

> Nimm GNU Emacs. Dann brauchst Du keine chinesische
> Tastatur. ;-)

Danke.  Ich möchte Domains auch weiterhin per Telephon
buchstabieren können.  Und nein, ich habe keine Lust, aus
einer Tabelle mit 16000 Einträgen den richtigen
herauszuklicken, nur um dann zu erfahren, daß ich leider
die japanische Variante des gleichen Schriftzeichens
erwischt habe.

Aber wir schweifen ab.

> PS: Eigentlich wollte ich hier ein kleines chinesisches
> Grußwort einflechten, aber leider hat sich GNU Emacs
> als fehlerhaft erwiesen. *sigh* (Ein prinzipielles
> Problem von GNU Emacs ist, daß bei eingeschalteter
> MULE-Unterstützung bestimmte Zeichen mit gesetztem
> achten Bit für inband signalling eingesetzt werden. Bei
> UTF-8-Kodierung treten diese Zeichen bevorzugt auf,
> weshalb die quoted-printable-Codierung manchmal etwas
> eigenwillige Ergebnisse liefert.)

Mit anderen Worten: Der Code ist Mist. :->

-- 
Thomas Roessler              <roessler@does-not-exist.org>

References:
- Re: [FYI] Hacking Insurance
  - From: lutz@iks-jena.de (Lutz Donnerhacke)
- Re: [FYI] Hacking Insurance
  - From: Martin Lesser <m-lesser@lesser-com.de>
- Re: [FYI] Hacking Insurance
  - From: Martin Schröder <martin@oneiros.de>
- Re: [FYI] Hacking Insurance
  - From: Holger Koepke <holger@koepke.net>
- Re: [FYI] Hacking Insurance
  - From: Martin Schröder <martin@oneiros.de>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: [FYI] Hacking Insurance
  - From: Thomas Roessler <roessler@does-not-exist.org>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: [FYI] Hacking Insurance
  - From: Thomas Roessler <roessler@does-not-exist.org>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>
- Re: [FYI] Hacking Insurance
  - From: Florian Weimer <fw@deneb.enyo.de>

Prev by Date: Re: [FYI] U.S. Lawyers Want Cyberborders
Next by Date: Re: [FYI] U.S. Lawyers Want Cyberborders
Prev by thread: Re: [FYI] Hacking Insurance
Next by thread: Re: [FYI] Hacking Insurance
Index(es):
- Date
- Thread