新城@筑波大学情報です。こんにちは。

In article <c2hsnp$18oi$1@nsvn01.zaq.ne.jp>
        shirai@unixusers.net (Takashi SHIRAI) writes:
>  では、「最初からバグを入れない」という話も「(A) と (B) を
> 分類する」という話もこの際置いておきますが、この「strlcpy()
> を使うと云々」という発言自体に過信はありませんか?

もう少し正確に書くと、こんな感じです。

・strlcpy() を「正しく」使うと、strcpy() を使えば生じていた
  ようなバッファオーバーフローが完全に防げる。
・strcpy() を strlcpy() で置換えるように書き換えることは、比
  簡単である。
・strlcpy() を「正しく」使うことも簡単である。

>  この辺りは言葉の綾もあるかも知れませんので、本人が自覚さえ
> していれば構わないのですが、言葉だけが一人歩きしてしまうと、
> 「strlcpy() を使うと security 上の弱点に繋がる bug は起きな
> い」という思い込みが蔓延してしまい兼ねません。

自覚ですか。私は、自覚とか根性とか気合いとか、そういうのでは
なくて、何か工学的に再生産可能なノウハウで安全なプログラムを
書きたいわけです。

\\ 新城 靖 (しんじょう やすし) \\
\\ 筑波大学 電子・情報       \\