[gull] Sécurité
Marc SCHAEFER
schaefer at alphanet.ch
Wed Mar 3 07:48:53 CET 2021
On Tue, Mar 02, 2021 at 11:45:30PM +0100, Daniel Cordey wrote:
> Ensuite, il est vrai que le langage C, et C++ dans une moindre mesure,
> permet d'écrire du code non sûre. Cela ne veut pas dire que tous les
J'y ajoute que les langages dits sûrs, comme Java ou Perl, car ils ne
manipulent pas de pointeurs directs, ne le sont que tant qu'il n'y a pas
de bug dans la JVM ni dans le runtime ni dans aucun code natif utilisé,
ni dans la libc, ni dans le kernel.
C++ avec les tables de saut de l'orienté-objet dynamique augmente
d'ailleurs la surface d'attaque des heaps overflows.
Et il n'y a pas que les buffer overflows dans la vie(*): il y a des
millions d'autres bugs qui n'ont rien à voir avec ça.
Dans le domaine du web, par exemple:
https://owasp.org/www-project-top-ten/
PS: par contre, je pense qu'on a à apprendre du modèle de sécurité
Android et que nier le problème ne va pas nous aider!
(*) d'ailleurs de nombreuses améliorations ont été faites, sous
Linux et sous Microsoft, pour rendre plus difficile certains
types.
More information about the gull
mailing list