Re: strcpy, strlcpy.
新城@筑波大学情報です。こんにちは。
In article <c2hsnp$18oi$1@nsvn01.zaq.ne.jp>
shirai@unixusers.net (Takashi SHIRAI) writes:
> では、「最初からバグを入れない」という話も「(A) と (B) を
> 分類する」という話もこの際置いておきますが、この「strlcpy()
> を使うと云々」という発言自体に過信はありませんか?
もう少し正確に書くと、こんな感じです。
・strlcpy() を「正しく」使うと、strcpy() を使えば生じていた
ようなバッファオーバーフローが完全に防げる。
・strcpy() を strlcpy() で置換えるように書き換えることは、比
簡単である。
・strlcpy() を「正しく」使うことも簡単である。
> この辺りは言葉の綾もあるかも知れませんので、本人が自覚さえ
> していれば構わないのですが、言葉だけが一人歩きしてしまうと、
> 「strlcpy() を使うと security 上の弱点に繋がる bug は起きな
> い」という思い込みが蔓延してしまい兼ねません。
自覚ですか。私は、自覚とか根性とか気合いとか、そういうのでは
なくて、何か工学的に再生産可能なノウハウで安全なプログラムを
書きたいわけです。
\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報 \\
Fnews-brouse 1.9(20180406) -- by Mizuno, MWE <mwe@ccsf.jp>
GnuPG Key ID = ECC8A735
GnuPG Key fingerprint = 9BE6 B9E9 55A5 A499 CD51 946E 9BDC 7870 ECC8 A735