気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
gihyo.jpエントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント28件
- 注目コメント
- 新着コメント
ockeghem
『現在のほとんどの…ミドルウェアでは,このような冗長なUTF-8表現は禁止されている』<メジャーなところではJavaが最近(2008年12月)まで禁止されていなかった。よって、「最新のミドルウェアを使う」という原則も欲しい
nilab
本当は怖い文字コードの話:第4回 UTF-8の冗長なエンコード : 「現在のUnicode仕様ではバイト数が最小になるもの以外は不正なバイト列であるとして,UTF-8として解釈することを明確に禁止」「2001年のNimdaウイルス」
kaito834
UTF-8 の冗長なエンコードにおけるセキュリティ上の問題点。Nimda ワームがこういった脆弱性を悪用したこと、CVE-2008-2938 を覚えておこう。はてぶのコメントも参考になる。
willnet
このように,UTF-8では特定の文字を複数の形式のバイト列で表現できる/現在のUnicode仕様ではバイト数が最小になるもの以外は不正なバイト列であるとして,UTF-8として解釈することを明確に禁止しています
tree3yama
EUC-JP の 声(C0 BC)、西(C0 BE)、成(C0 AE)、政(C0 AF) あたりを覚えていると、CVE-2007-0242 とか CVE-2008-2938 とかの検証は簡単に出来る。
ockeghem
『現在のほとんどの…ミドルウェアでは,このような冗長なUTF-8表現は禁止されている』<メジャーなところではJavaが最近(2008年12月)まで禁止されていなかった。よって、「最新のミドルウェアを使う」という原則も欲しい
girled
便利だけどその反面、いろいろとリスクも含んでるって話だよな。確かに自前のエンコードデコードは避けて信頼性あるライブラリに任すべきだよな。内部エンコードとインターフェースエンコードをわざと変えるっていう
fukken
本当は1バイトで済む文字を、無理やりマルチバイトとしてエンコードする事で、バックスラッシュとかを潜り込ませる。1つのUnicodeに複数のUTF-8表現が(禁止されてるけど)使えちゃう処理系に起因する脆弱性
TAKESAKO
『冗長なUTF-8による検査の漏れを防ぐもっとも最善の方法は,UTF-8の検査や他の符号化形式への変換をライブラリやフレームワークに任せ,「自前でUTF-8を処理しない」ということに尽きます。』
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
第4回 UTF-8の冗長なエンコード | gihyo.jp
今回は、文字コードに関連するセキュリティの話題では古参ともいえるUTF-8の冗長なエンコードというテー... 今回は、文字コードに関連するセキュリティの話題では古参ともいえるUTF-8の冗長なエンコードというテーマについて紹介します。 UTF-8とは UTF-8は、各文字を1~4バイトの可変長で表現するUnicodeの符号化方式のひとつです。 U+0000からU+007Fの範囲の文字を0x00から0x7Fの1バイトで表現しているため、US-ASCIIと互換性がある、バイト列の途中からでも文字の先頭バイトを簡単に検出できる、多バイト文字の途中に0x00や0x5C(\)、0x2F(/)などが現れない、などの特徴があります。 UTF-8での文字のビットパターンは表1のようになります。 表1 UTF-8でのビットパターン
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
gihyo.jp
gihyo.jp
gihyo.jp
gihyo.jp
anond.hatelabo.jp
zenn.dev/praha
www.tokyo-sports.co.jp
togetter.com
togetter.com
anond.hatelabo.jp
onaji.me
togetter.com
note.com/hyouhon
anmin7.hatenadiary.jp
freebsd.sing.ne.jp
2010/09/11 リンク